越南黑客利用 DarkGate 恶意软件瞄准英国、美国和印度

利用 DarkGate 商品恶意软件针对英国、美国和印度实体的攻击与使用臭名昭著的Ducktail 窃取程序有关的越南行为者有关。

WithSecure在今天发布的一份报告中表示：“工具和活动的重叠很可能是由于网络犯罪市场的影响。” “威胁行为者能够出于同一目的获取和使用多种不同的工具，他们所要做的就是提出目标、活动和诱饵。”

近几个月来，使用 DarkGate的恶意软件活动有所增加，这主要是由于其作者自 2018 年以来私下使用它后决定以恶意软件即服务 (MaaS) 的方式将其出租给其他威胁参与者。

不仅仅是 DarkGate 和 Ducktail，负责这些活动的越南威胁行动者集群也利用相同或非常相似的诱饵、主题、目标和交付方法来交付 LOBSHOT和RedLine Stealer。

分发 DarkGate 的攻击链的特点是使用通过钓鱼电子邮件或 Skype 或 Microsoft Teams 上的消息发送的 Visual Basic 脚本检索的 AutoIt 脚本。AutoIt 脚本的执行导致了 DarkGate 的部署。

然而，在这种情况下，最初的感染媒介是 LinkedIn 消息，该消息将受害者重定向到 Google Drive 上托管的文件，这是 Ducktail 攻击者常用的技术。

WithSecure 表示：“Ducktail 和 DarkGate 使用了非常相似的活动主题和诱饵，”尽管最后阶段的功能有很大不同。

Ducktail 充当窃取者，而 DarkGate 是一种远程访问木马 (RAT)，具有信息窃取功能，还可以在受感染的主机上建立隐蔽的持久性以进行后门访问。

WithSecure 的高级威胁情报分析师、安全研究员 Stephen Robinson 表示：“DarkGate 已经存在很长时间了，并且被许多组织用于不同的目的，而不仅仅是越南的这个组织或集群。”

“另一方面，攻击者可以在同一活动中使用多种工具，这可能会从纯粹基于恶意软件的分析中掩盖他们活动的真实范围。”

原文来自: thehackernews.com