近日，有黑客利用一種名為 Rhadamanthys 的信息竊取惡意軟件發起網絡釣魚活動，專門針對石油和天然氣行業。

Cofense研究員 Dylan Duncan 表示：這些釣魚郵件使用了比較獨特的車輛事故作為“誘餌”，并在感染鏈的后期階段，用一個PDF文件誘騙聯邦運輸局，其中提到了對事故的巨額罰款。

據悉，該電子郵件附帶的惡意鏈接利用了開放重定向漏洞，會將收件人重定向到一個托管了虛假 PDF 文檔的鏈接，但實際上是一個圖片，點擊后會引導收件人下載包含竊取程序有效載荷的 ZIP 壓縮包。

Rhadamanthys 用 C++ 編寫，旨在與命令與控制（C2）服務器建立連接，以便從被入侵的主機上獲取敏感數據。

Dylan Duncan 表示：這個活動是在執法部門摧毀LockBit勒索軟件組織后幾天內出現的。雖然這可能只是巧合，但趨勢科技在 2023 年 8 月披露了一個 Rhadamanthys 變種，該變種捆綁了泄漏的 LockBit 有效載荷、剪切惡意軟件和加密貨幣挖掘器。

該公司指出：黑客在 Rhadamanthys 捆綁軟件中添加了信息竊取程序和 LockBit 勒索軟件變種的組合，這可能表明該惡意軟件仍在不斷進化。

在出現 Sync-Scheduler 和 Mighty Stealer 等新的竊取程序惡意軟件家族的同時，StrelaStealer 等現有病毒也在通過改進混淆和反分析技術不斷發展。

在此之前，還出現了針對印度尼西亞的惡意垃圾郵件活動，該活動利用與銀行業務相關的誘餌傳播 Agent Tesla 惡意軟件，以掠奪登錄憑證、財務數據和個人文件等敏感信息。

Check Point稱，2023 年11 月觀察到的 Agent Tesla 網絡釣魚活動還將目標鎖定了澳大利亞和美國，Check Point 將這些攻擊行動歸咎于兩名非洲裔威脅行為者，追蹤到的Bignosa（又名Nosakhare Godson和Andrei Ivan）和Gods（又名GODINHO或Kmarshal或Kingsley Fredrick），后者是一名網頁設計師。

網絡安全

以色列網絡安全公司提到：Bignosa 似乎是一個針對組織機構實施惡意軟件和網絡釣魚活動團伙的成員，美國和澳大利亞的電子郵件業務數據庫也證實了這一點，同時也證實了Bignosa 的個人身份。

通過這些攻擊鏈分發的 Agent Tesla 惡意軟件現已被 Cassandra Protector 保護起來，該軟件有助于保護軟件程序免受逆向工程或修改行為的攻擊。據調查，這些郵件均是通過一個名為 RoundCube 的開源網絡郵件工具發送的。

Check Point 稱：從這些黑客的行動描述中可以看出，在過去幾年中最流行的惡意軟件家族之一背后開展網絡犯罪行動的準入門檻教低，只要是愿意通過垃圾郵件活動激怒受害者來啟動惡意軟件的人，都能通過這種方式實施網絡釣魚攻擊。