【安全资讯】网络间谍活动利用新战术和“伏地魔”恶意软件针对全球组织

概要：

近期，Proofpoint研究人员揭露了一起疑似的网络间谍活动，涉及一种名为“伏地魔”的定制恶意软件。该活动影响了全球70多家组织，结合了常见和不常见的技术，能够进行信息收集并部署额外的有效载荷，如Cobalt Strike。此事件的复杂性和创新性引发了广泛关注。

主要内容：

此次网络间谍活动通过发送超过20,000封钓鱼邮件，针对全球70多家组织，尤其是保险公司、航空、运输和大学等行业。邮件伪装成来自各国税务机关的通知，使用了相应的语言，导致用户点击后进入恶意网站。这些网站通过Cloudflare隧道、WebDAV共享和Python脚本等步骤，悄然部署恶意软件。

“伏地魔”恶意软件的指挥与控制（C2）操作利用了Google Sheets，允许攻击者在不被检测的情况下进行数据外泄和命令接收。该恶意软件的复杂性在于其使用了Windows保存搜索文件格式（.search-ms），使得远程文件看似本地文件，从而掩盖其真实活动。通过这种方式，攻击者能够提高感染成功率。

此外，尽管该活动使用了高级技术，但某些方面却显得相对简单，例如使用“test”作为密码和文件名。这种复杂与简单的结合使得该活动被描述为“弗兰肯斯坦式的混合体”，难以评估攻击者的真正技能水平。总体来看，此次活动的重点在于信息收集，显示出强烈的间谍动机。