关于网络犯罪份子租用WikiLoader通过银行木马攻击意大利组织的动态情报

一、基本内容

近期Proofpoint研究人员发现了一种新的恶意软件，被称为WikiLoader。这个恶意软件在2022年12月首次被发现，并且由攻击者组织TA544传播，他们通常使用Ursnif恶意软件来攻击意大利组织。Proofpoint观察到了多个与此相关的活动，其中大部分针对意大利组织。WikiLoader是一个复杂的下载器，其目的是安装第二个恶意软件负载。这个恶意软件使用了一些有趣的规避技术和自定义代码实现，旨在增加检测和分析的难度。这表明WikiLoader很可能是由某个黑客团队开发的，并且可以出租给特定的网络犯罪威胁参与者。根据对多个威胁行为者的观察，Proofpoint预计其他威胁行为者可能会开始使用这个恶意软件，尤其是那些作为初始访问代理（IAB）运行的威胁行为者。

二、相关发声情况

Proofpoint研究人员最近发现了8个犯罪活动，这些活动自2022年12月以来一直在分发WikiLoader恶意软件。这些活动通常通过包含Microsoft Excel、Microsoft OneNote或PDF附件的电子邮件来进行。Proofpoint观察到，至少有两个威胁行为者（TA544和TA551）在意大利使用WikiLoader进行分发。虽然大多数网络犯罪威胁行为者已经不再使用启用宏的文档作为传播恶意软件的工具，但TA544仍然在攻击过程中使用这种方法。在2022年12月27日、2023年2月8日和2023年7月11日发生了一系列引人注目的WikiLoader活动。根据观察，WikiLoader作为恶意软件，会安装Ursnif作为其后续有效负载。Proofpoint 数据分发 WikiLoader 中的第一个活动于 2022 年 12 月 27 日观察到。Proofpoint 研究人员观察到针对意大利公司的大量恶意电子邮件活动，该活动首先包含欺骗意大利税务局的 Microsoft Excel 附件的电子邮件。Microsoft Excel 附件包含特征性的 VBA 宏，如果收件人启用这些宏，就会下载并执行一个新的身份不明的下载程序，Proofpoint 研究人员最终将其称为 WikiLoader。此活动归因于 TA544。

Proofpoint 研究人员发现，2023 年 2 月 8 日的另一场针对意大利的高容量活动中使用了 WikiLoader 的更新版本，该活动归因于 TA544。该活动欺骗了一家意大利快递服务，并包含启用 VBA 宏的 Excel 文档，如果收件人启用这些文档，将导致安装 WikiLoader，随后下载 Ursnif。此版本的 WikiLoader 包含更复杂的结构、试图逃避自动分析的附加停顿机制以及编码字符串的使用。

2023 年 3 月 31 日，Proofpoint 观察到 TA551 使用包含嵌入式可执行文件的 OneNote 附件交付 WikiLoader。OneNote 附件在"打开"按钮后面包含一个隐藏的 CMD 文件，如果收件人单击该按钮，则会下载并执行 WikiLoader。该活动使用意大利语编写的消息和诱饵，也针对意大利组织，也是 Proofpoint 首次观察到WikiLoader 被 TA544 以外的攻击者使用。 2023 年 7 月 11 日，研究人员发现了积极开发的恶意软件在协议中的其他更改，这些更改用于到达受感染的网络主机、通过 HTTP cookie 泄露主机信息、要求样本长时间运行的额外停顿机制以及 shellcode 的处理。在此活动中，TA544 使用会计主题来传递带有 URL 的 PDF 附件，从而导致下载压缩的 JavaScript 文件。如果 JavaScript 由接收者执行，则会导致打包下载器 WikiLoader 的下载和执行。值得注意的是，这次活动的数量很大，包括超过 150,000 条消息，并且不像之前观察到的活动那样专门针对意大利组织。

三、分析研判

在当前案例中，我们可以清晰的了解到攻击意大利组织的为恶意软件。在日常网络安全维护中恶意软件会造成以下危害：

1.数据盗取：恶意软件可以通过窃取个人敏感信息，如登录凭证、银行账户信息、信用卡号码等。这些信息可能被黑客用于非法活动或财务欺诈。

2.金融损失：某些恶意软件可以操纵系统或攻击银行、支付平台等金融机构，导致用户资金被盗或遭受其他财务损失。

3.系统瘫痪：某些恶意软件可以通过加密文件、删除系统文件或破坏关键组件来导致系统崩溃或无法正常运行。这可能会造成数据丢失、业务中断和生产力下降。

4.网络攻击：恶意软件可以被用来发起分布式拒绝服务攻击（DDoS攻击），通过大量请求淹没目标服务器，使其无法正常工作。

5.身份盗窃：恶意软件可以用来窃取用户的身份信息，如社交安全号码、护照号码等。这些信息可以被用于冒充身份进行欺诈活动。

6.隐私侵犯：恶意软件可以植入广告软件、跟踪器或键盘记录器，以窃取用户的隐私信息并滥用。

四、应对策略

在日常网络安全维护中，我们可以使用以下方法：

1.安装可靠的安全软件：确保你的设备上安装了可信赖的防病毒软件和防火墙，及时更新它们的病毒库和定义文件。

2.定期更新操作系统和软件：及时安装操作系统和软件的更新补丁，这些补丁通常包含了修复安全漏洞的重要修复程序。

3.谨慎点击附件和链接：避免点击来自不可信来源的附件和链接，尤其是邮件、社交媒体和即时通讯应用中的陌生人发送的。

4.下载软件要谨慎：只从官方网站或可信赖的下载渠道下载软件，并确保软件的数字签名有效。

5.不轻易暴露个人信息：避免在不可信的网站或应用程序上输入个人敏感信息，如银行账号、密码等。

6.备份重要数据：定期备份重要数据到离线存储介质或云存储中，以防止数据丢失或被加密勒索。

7.教育用户提高安全意识：培养用户对恶意软件的辨识能力，提醒他们不要随意打开、下载或共享可疑内容。