关于网络犯罪份子租用WikiLoader通过银行木马攻击意大利组织的动态情报-编程知识

一、基本内容

近期Proofpoint研究人员发现了一种新的恶意软件，被称为WikiLoader。这个恶意软件在2022年12月首次被发现，并且由攻击者组织TA544传播，他们通常使用Ursnif恶意软件来攻击意大利组织。Proofpoint观察到了多个与此相关的活动，其中大部分针对意大利组织。WikiLoader是一个复杂的下载器，其目的是安装第二个恶意软件负载。这个恶意软件使用了一些有趣的规避技术和自定义代码实现，旨在增加检测和分析的难度。这表明WikiLoader很可能是由某个黑客团队开发的，并且可以出租给特定的网络犯罪威胁参与者。根据对多个威胁行为者的观察，Proofpoint预计其他威胁行为者可能会开始使用这个恶意软件，尤其是那些作为初始访问代理（IAB）运行的威胁行为者。

二、相关发声情况

Proofpoint研究人员最近发现了8个犯罪活动，这些活动自2022年12月以来一直在分发WikiLoader恶意软件。这些活动通常通过包含Microsoft Excel、Microsoft OneNote或PDF附件的电子邮件来进行。Proofpoint观察到，至少有两个威胁行为者（TA544和TA551）在意大利使用WikiLoader进行分发。虽然大多数网络犯罪威胁行为者已经不再使用启用宏的文档作为传播恶意软件的工具，但TA544仍然在攻击过程中使用这种方法。在2022年12月27日、2023年2月8日和2023年7月11日发生了一系列引人注目的WikiLoader活动。根据观察，WikiLoader作为恶意软件，会安装Ursnif作为其后续有效负载。Proofpoint 数据分发 WikiLoader 中的第一个活动于 2022 年 12 月 27 日观察到。Proofpoint 研究人员观察到针对意大利公司的大量恶意电子邮件活动，该活动首先包含欺骗意大利税务局的 Microsoft Excel 附件的电子邮件。Microsoft Excel 附件包含特征性的 VBA 宏，如果收件人启用这些宏，就会下载并执行一个新的身份不明的下载程序，Proofpoint 研究人员最终将其称为 WikiLoader。此活动归因于 TA544。

Proofpoint 研究人员发现，2023 年 2 月 8 日的另一场针对意大利的高容量活动中使用了 WikiLoader 的更新版本，该活动归因于 TA544。该活动欺骗了一家意大利快递服务，并包含启用 VBA 宏的 Excel 文档，如果收件人启用这些文档，将导致安装 WikiLoader，随后下载 Ursnif。此版本的 WikiLoader 包含更复杂的结构、试图逃避自动分析的附加停顿机制以及编码字符串的使用。

2023 年 3 月 31 日，Proofpoint 观察到 TA551 使用包含嵌入式可执行文件的 OneNote 附件交付 WikiLoader。OneNote 附件在“打开”按钮后面包含一个隐藏的 CMD 文件，如果收件人单击该按钮，则会下载并执行 WikiLoader。该活动使用意大利语编写的消息和诱饵，也针对意大利组织，也是 Proofpoint 首次观察到WikiLoader 被 TA544 以外的攻击者使用。 2023 年 7 月 11 日，研究人员发现了积极开发的恶意软件在协议中的其他更改，这些更改用于到达受感染的网络主机、通过 HTTP cookie 泄露主机信息、要求样本长时间运行的额外停顿机制以及 shellcode 的处理。在此活动中，TA544 使用会计主题来传递带有 URL 的 PDF 附件，从而导致下载压缩的 JavaScript 文件。如果 JavaScript 由接收者执行，则会导致打包下载器 WikiLoader 的下载和执行。值得注意的是，这次活动的数量很大，包括超过 150,000 条消息，并且不像之前观察到的活动那样专门针对意大利组织。