【安全资讯】新兴的Unfurling Hemlock威胁组织通过恶意软件泛滥系统

概要：

Unfurling Hemlock是一个新兴的威胁组织，最近被发现通过一种被称为“恶意软件集群炸弹”的方法感染目标系统。该组织在一次攻击中同时分发多达十种恶意软件，影响范围广泛，涉及多个国家和地区。

主要内容：

Unfurling Hemlock的攻击始于执行名为'WEXTRACT.EXE'的文件，该文件通过恶意邮件或恶意软件加载器到达目标设备。该可执行文件包含嵌套的压缩文件，每一级都包含一个恶意软件样本和另一个压缩文件。每次解压都会在受害者的机器上释放一个恶意软件变种，最终阶段的文件按逆序执行。

KrakenLabs的研究人员发现了超过50,000个“集群炸弹”文件，这些文件具有独特的特征，链接到Unfurling Hemlock组织。该组织的攻击自2023年2月以来一直活跃，主要目标是美国系统，同时在德国、俄罗斯、土耳其、印度和加拿大也有较高的活动量。

Unfurling Hemlock使用的恶意软件包括Redline、RisePro、Mystic Stealer、Amadey、SmokeLoader等。这些恶意软件能够窃取敏感信息、下载和执行其他恶意软件、禁用Windows Defender等安全功能，并使用工具如Enigma Packer进行混淆以逃避检测。

研究人员推测Unfurling Hemlock可能位于东欧国家，基于样本中的俄语和使用的自治系统203727。Outpost24建议用户在执行下载的文件前使用最新的防病毒工具进行扫描，以防止感染。