AceCryptor 惡意軟體在歐洲的使用激增

在針對歐洲各地組織的共同努力中，發現了與 AceCryptor 工具相關的數千個新感染事件，該工具使駭客能夠隱藏惡意軟體並滲透到防毒軟體未偵測到的系統中。

研究人員多年來致力於監控 AceCryptor。他們週三透露，最近的攻擊活動與先前的攻擊活動不同，攻擊者擴大了封裝的惡意程式碼範圍。

傳統上，AceCryptor 伴隨著 Remcos 或 Rescoms 等惡意軟體——經常用於針對烏克蘭組織的強大遠端監控工具。除了 Remcos 和另一個已知工具 SmokeLoader 之外，研究人員還注意到 AceCryptor 分發 STOP 勒索軟體和 Vidar 竊取程式等惡意軟體的實例。

研究人員觀察到目標國家有明顯差異。雖然 SmokeLoader 參與了烏克蘭的攻擊，但波蘭、斯洛伐克、保加利亞和塞爾維亞的事件也涉及 Remcos。

在這些行動中，AceCryptor 被用來針對多個歐洲國家，提取資訊或獲得對眾多公司的初步存取權。惡意軟體透過垃圾郵件傳播，其中一些郵件非常可信，有時來自合法但已被利用的電子郵件帳戶。

AceCryptor 攻擊針對瀏覽器憑證

最近的行動旨在獲取電子郵件和瀏覽器憑證，以便隨後對目標實體進行攻擊。大多數惡意軟體樣本都是最初的妥協媒介。

2023 年上半年，受 AceCryptor 惡意軟體影響最嚴重的國家是秘魯、墨西哥、埃及和土耳其，其中秘魯遭受的攻擊數量最多，達到 4,700 起。

2023 年下半年，焦點轉移到歐洲國家，其中波蘭遭受了超過 26,000 次攻擊。烏克蘭、西班牙和塞爾維亞也遭受了數千起攻擊。

今年下半年，Rescoms 成為 AceCryptor 打包的主要惡意軟體家族，實例數量超過 32,000 個。研究人員報告說，波蘭記錄了一半以上的嘗試，其次是塞爾維亞、西班牙、保加利亞和斯洛伐克。

在此期間，波蘭總共記錄了超過 26,000 起此類攻擊。

對波蘭企業的攻擊具有與受害公司 B2B 優惠相關的類似主題行。駭客試圖利用真實的波蘭公司名稱和現有員工姓名來使電子郵件具有合法性。

研究人員指出，駭客的目的是保留被盜憑證供其使用還是將其出售給其他威脅行為者，這一點存在不確定性。

雖然研究人員無法查明攻擊活動的來源，但 Remcos 和 SmokeLoader 經常與代表俄羅斯政府運作的駭客聯繫在一起。