APT28 釋放 SkinnyBoy 惡意軟件
以別名 APT28 或 Fancy Bear 進行跟踪的俄羅斯高級持續威脅 (APT) 組織最近發布了一款新的惡意軟件。這種名為 SkinnyBoy 的惡意軟件在 2021 年被用於攻擊多個政府機構。犯罪分子似乎針對與外交、軍事和國防以及外國大使館相關的實體。雖然一些攻擊針對的是歐盟成員國,但在屬於美國組織的受感染網絡上也發現了 SkinnyBoy 惡意軟件。
但是 SkinnyBoy 惡意軟件究竟做了什麼?這種威脅通常通過帶有 Microsoft Word 文檔的魚叉式網絡釣魚電子郵件傳遞。雖然文件附件看起來合法,但它實際上包含了一個惡意腳本,用於提取和初始化惡意軟件下載程序。犯罪分子很可能會根據收件人更改他們的網絡釣魚電子郵件——他們經常假裝通知用戶即將舉行的國際活動的邀請未決。
威脅部署成功後,不會立即啟動。相反,SkinnyBoy 惡意軟件會將 Windows 編程為在下次啟動時啟動它。延遲執行是網絡犯罪分子用來逃避檢測的典型伎倆。一旦運行,SkinnyBoy 惡意軟件將利用合法的 Windows 功能來獲取有關受感染系統軟件配置的數據——systeminfo.exe 和 tasklist.exe。除此之外,它將嘗試下載和啟動額外的有效載荷,但到目前為止,這些還沒有被識別出來。
看起來 SkinnyBoy 惡意軟件的主要重點是間諜活動並獲得對受感染系統/網絡的更多控制。值得慶幸的是,防病毒產品供應商已經意識到這種新威脅,他們軟件的最新補丁應該足以阻止 SkinnyBoy 惡意軟件的攻擊。