关注我们在 Facebook 上
全球间谍活动利用 Telegram 瞄准商业和金融科技行业
卡巴斯基全球研究与分析团队 (GReAT) 发现了一场复杂的全球间谍活动,攻击者利用 Telegram 应用程序植入特洛伊木马软件,目标是欧洲、亚洲和拉丁美洲多个国家的金融技术和商业领域的个人和企业。美国和中东。
该活动中的恶意软件旨在窃取密码等敏感数据,并出于间谍目的控制用户设备,从而威胁个人和企业的安全。
卡巴斯基专家认为,该活动与著名的“DeathStalker”组织有关,该组织活跃于高级持续威胁(APT)领域,因为该组织实施付费黑客攻击并提供专门的黑客和金融情报服务。
在卡巴斯基监控的最近一波攻击中,威胁源试图用 DarkMe 恶意软件感染受害者。它是一种远程访问特洛伊木马 (RAT),旨在从攻击者控制的服务器远程窃取信息并执行命令。
该活动针对商业和金融技术领域的受害者,因为技术指标表明该恶意软件是通过 Telegram 渠道分发的,很可能主要针对这些主题。该活动具有全球影响力,卡巴斯基在欧洲、亚洲、拉丁美洲和中东的 20 多个国家发现了受害者。
活动详情:
对感染链的分析表明,攻击者将恶意存档文件附加到 Telegram 频道的帖子中。这些存档文件(包括 RAR 或 ZIP 文件)本身并不是恶意的,但包含扩展名为 .lnk、.com 和 .lnk 的恶意文件。 cmd。当潜在受害者运行这些文件时,他们会通过一系列操作安装 DarkMe 恶意软件。
除了使用 Telegram 植入恶意软件之外,攻击者还提高了操作安全性和利用后删除实践。安装后,恶意软件删除了用于部署 DarkMe 的文件。
为了进一步阻碍分析并试图逃避检测,攻击者在达到目的后增加了植入文件的大小并删除了其他目录,例如文件、工具和泄露后的注册表项。
应该指出的是,Deathstalker 组织以前被称为霸天虎,至少自 2018 年以来,甚至可能自 2012 年以来一直是活跃的威胁源。据信该组织由受雇的网络雇佣兵或黑客组成,作为威胁源。看来有经验的会员。他们在内部开发工具包,并了解先进的持续威胁生态系统。该组织的主要目标是收集商业、财务和个人信息,可能用于竞争或商业情报目的,以服务其客户。
该组织通常针对中小企业、金融公司、金融科技公司、律师事务所,在某些情况下还针对政府实体。对于这些类型的目标,DeathStalker 从未被观察到窃取金钱,这就是为什么卡巴斯基认为它是一个私人情报组织。