網絡安全公司 NSFOCUS 將 DarkCasino 描述為一個 "出于經濟動機 "的行為者，該威脅行為者于 2021 年首次曝光。

該公司在一份分析報告中說：DarkCasino是一個APT威脅行為體，具有很強的技術和學習能力，善于將各種流行的APT攻擊技術整合到其攻擊流程中。

APT組織DarkCasino發起的攻擊非常頻繁，顯示其竊取網絡財產的強烈愿望。

DarkCasino最近與CVE-2023-38831（CVSS評分：7.8）的零日利用有關，該安全漏洞可被武器化以傳播惡意有效載荷。

2023 年 8 月，Group-IB 披露了將該漏洞武器化的真實攻擊，至少自 2023 年 4 月以來，該攻擊一直瞄準在線交易論壇，以交付名為 DarkMe 的最終有效載荷，這是一個 Visual Basic 木馬，歸屬于 DarkCasino。

該惡意軟件可以收集主機信息、截圖、操作文件和 Windows 注冊表、執行任意命令，并在被入侵主機上進行自我更新。

雖然DarkCasino之前被歸類為EvilNum組織針對歐洲和亞洲在線賭博、加密貨幣和信貸平臺策劃的網絡釣魚活動，但NSFOCUS表示，通過對對手活動的持續跟蹤，它已經排除了與已知威脅行為者的任何潛在聯系。

目前尚不清楚該威脅行為者的確切出處。

早期，DarkCasino 主要在地中海周邊國家和其他亞洲國家利用在線金融服務開展活動。

最近，隨著網絡釣魚方式的改變，其攻擊已波及全球加密貨幣用戶，甚至包括韓國和越南等非英語亞洲國家。

最近幾個月，多個威脅行為體加入了 CVE-2023-38831 漏洞利用的行列，包括 APT28、APT40、Dark Pink、Ghostwriter、Konni 和 Sandworm。

據觀察，Ghostwriter 利用該漏洞的攻擊鏈為 PicassoLoader 鋪平了道路，PicassoLoader 是一種中間惡意軟件，充當其他有效載荷的加載器。

APT組織DarkCasino帶來的WinRAR漏洞CVE-2023-38831給2023年下半年的APT攻擊形勢帶來了不確定性。很多APT組織利用這個漏洞的窗口期攻擊政府等關鍵目標，希望繞過目標的防護系統，達到自己的目的。

參考鏈接：https://thehackernews.com/2023/11/experts-uncover-darkcasino-new-emerging.html