APT28 释放 SkinnyBoy 恶意软件

以别名 APT28 或 Fancy Bear 进行跟踪的俄罗斯高级持续威胁 (APT) 组织最近发布了一款新的恶意软件。这种名为 SkinnyBoy 的恶意软件在 2021 年被用于攻击多个政府机构。犯罪分子似乎针对与外交、军事和国防以及外国大使馆相关的实体。虽然一些攻击针对的是欧盟成员国，但在属于美国组织的受感染网络上也发现了 SkinnyBoy 恶意软件。

但是 SkinnyBoy 恶意软件究竟做了什么？这种威胁通常通过带有 Microsoft Word 文档的鱼叉式网络钓鱼电子邮件传递。虽然文件附件看起来合法，但它实际上包含了一个恶意脚本，用于提取和初始化恶意软件下载程序。犯罪分子很可能会根据收件人更改他们的网络钓鱼电子邮件——他们经常假装通知用户即将举行的国际活动的邀请未决。

威胁部署成功后，不会立即启动。相反，SkinnyBoy 恶意软件会对 Windows 进行编程以在下次启动时启动它。延迟执行是网络犯罪分子用来逃避检测的典型伎俩。一旦运行，SkinnyBoy 恶意软件将利用合法的 Windows 功能来获取有关受感染系统软件配置的数据——systeminfo.exe 和 tasklist.exe。除此之外，它将尝试下载和启动额外的有效载荷，但到目前为止，这些还没有被识别出来。

看起来 SkinnyBoy 恶意软件的主要重点是间谍活动并获得对受感染系统/网络的更多控制。值得庆幸的是，防病毒产品供应商已经意识到这种新威胁，他们软件的最新补丁应该足以阻止 SkinnyBoy 恶意软件的攻击。