1.概述
年5月,安天CERT监测到一起对国内某化学品生产企业的窃密行动,经安天CERT分析发现了一个利用Telegram、InternetArchive和blogger博客分发RaccoonStealer窃取木马活动。该起攻击行动主要通过钓鱼邮件进行传播,将邮件内容伪装成公司客户需求,诱导受害者下载附件并执行解压后的恶意程序。安天CERT跟踪发现该攻击活动从年4月一直持续至今,攻击者使用多种手法进行反溯源和反查杀,如使用Telegram作为C2进行通信、利用注册表实现恶意载荷访问、窃密载荷不落地和削弱MicrosoftDefender防病*功能等。针对其多种方式反追踪溯源的攻击特点,安天将其命名为“幻鼠”组织,与Gorgon组织TTP手法类似。
RaccoonStealer窃密木马首次出现于年4月,是暗网中最受