“幻鼠”组织针对我国的窃密攻击活动分析

点击上方"蓝字"

关注我们吧！

01

概述

2021年5月，安天CERT监测到一起对国内某化学品生产企业的窃密行动，经安天CERT分析发现了一个利用Telegram、Internet Archive和blogger博客分发Raccoon Stealer窃取木马活动。该起攻击行动主要通过钓鱼邮件进行传播，将邮件内容伪装成公司客户需求，诱导受害者下载附件并执行解压后的恶意程序。安天CERT跟踪发现该攻击活动从2021年4月一直持续至今，攻击者使用多种手法进行反溯源和反查杀，如使用Telegram作为C2进行通信、利用注册表实现恶意载荷访问、窃密载荷不落地和削弱Microsoft Defender防病毒功能等。针对其多种方式反追踪溯源的攻击特点，安天将其命名为“幻鼠”黑产组织。

RaccoonStealer窃密木马首次出现于2019年4月，是暗网中最受关注的10大恶意软件之一，目前已经感染了全球数十万台设备^[1]。该木马具有窃取登录凭据、信用卡信息、加密货币钱包和浏览器信息等多种恶意功能。

02

事件对应的ATT&CK映射图谱

该起攻击行动样本技术特点分布图：

                           

图2