瑞星威胁情报平台于2021年12月捕获到一起疑似针对中东地区阿拉伯语国家的攻击事件。捕获到的样本是一个伪装成docx文档的可执行文件,根据其文件名可知攻击者以互联网盈利为噱头来诱骗用户主动打开捕获到的恶意程序。此恶意程序首先会打开内嵌于自身资源段中的诱饵文档,此文档显示为阿拉伯文,之后恶意程序会在后台进行一系列不被用户察觉的恶意行为,从而达到窃取机密信息的目的。其攻击模式极具诱惑性和隐蔽性,普通用户很容易中招。根据对此次行动的详细分析,判断疑似为APT-C-23组织所为。
2023年7月末客户反馈收到可疑邮件,经确认最终执行的是FormBook 4.1版本窃密木马,FormBook是一款非常活跃的商业窃密木马,经常通过广撒网式投递钓鱼邮件,其主要由C#编写的加载器和C或汇编语言编写的核心PE程序组成,加载器采用套娃模式执行PE程序,PE程序无任何直接的API调用,无法静态分析,其代码包含各种反调试、反沙箱操作,对抗分析强度极大。
2022年7月17日。阿尔巴尼亚新闻媒体报告了两起起具有针对性的大规模网络攻击,该攻击于此前另一版针对于阿尔巴尼亚的勒索攻击类型相同,极有可能是相同攻击者。威胁行为者同样使用了英伟达(Nvidia)和科威特电信公司(Kuwait Telecommunications Company)的有效证书来签署他们的恶意软件,目前该证书已被吊销。
Mimic勒索,最早发现于2022年6月,其特点是利用了合法的文件搜索工具Everything提供的API,通过Everything32.dll中的函数可以实现文件快速检索,获得指定后缀格式文件的路径,从而大大提高文件加密的效率。Mimic勒索中还使用了泄露的Conti勒索软件代码实现访问共享与端口扫描,使用CryptoPP库提供的加密算法。不仅如此,Mimic勒索开发者添加了许多额外的功能来保证顺利完成加密。