AceCryptor 恶意软件

出现了许多与 AceCryptor 工具相关的新感染病例，表明了令人担忧的趋势。该工具因其能够伪装恶意软件并渗透到传统反恶意软件防御无法检测到的系统而受到黑客的青睐，已在针对整个欧洲组织的活动中得到利用。多年来一直监控 AceCryptor 活动的研究人员观察到最近的这次活动出现了明显的变化。与之前的情况不同，攻击者扩大了其漏洞利用中捆绑的篡改代码的范围，对目标实体构成了更大的威胁。

AceCryptor 用于传递有害的后期威胁

AceCryptor 通常与Remcos或Rescoms等恶意软件搭配使用，这些恶意软件是强大的远程监视工具，经常用于针对乌克兰组织的攻击。除了 Remcos 和著名的SmokeLoader 之外，研究人员现在还观察到 AceCryptor 还在传播其他恶意软件，包括STOP/Djvu Ransomware和Vidar Stealer的变种。

此外，研究人员还注意到目标国家的独特模式。虽然 SmokeLoader 参与了乌克兰的攻击，但波兰、斯洛伐克、保加利亚和塞尔维亚的事件都使用了 Remcos。

在精心策划的活动中，AceCryptor 已被利用来针对多个欧洲国家，旨在提取敏感信息或建立对各个公司的初步访问权限。这些攻击中的恶意软件通常通过垃圾邮件进行传播，其中一些邮件非常令人信服；有时，合法的电子邮件帐户会被劫持和滥用来发送这些误导性消息。

最新行动的主要目标是获取电子邮件和浏览器凭据，以进一步攻击目标公司。值得注意的是，大多数记录的 AceCryptor 事件都是这些攻击的初始入侵点。

AceCryptor 的目标在 2023 年发生了变化

在 2023 年的六个月中，主要受到 AceCryptor 恶意软件影响的国家是秘鲁、墨西哥、埃及和土耳其，其中秘鲁首当其冲，遭受了 4,700 次攻击。然而，下半年发生了一个显着的转变，黑客将注意力转向了欧洲国家，特别是波兰，该国遭受了超过 26,000 次攻击。乌克兰、西班牙和塞尔维亚也遭受了数千次袭击。

今年下半年，Rescoms 成为通过 AceCryptor 分发的主要恶意软件家族，发生了超过 32,000 起事件。其中波兰占一半以上，其次是塞尔维亚、西班牙、保加利亚和斯洛伐克。

针对波兰企业的攻击具有相似的主题，通常伪装成与受害公司相关的 B2B 优惠。黑客在电子邮件中使用真实的波兰公司名称和现有员工身份来增加可信度。这些袭击背后的动机仍然不明确；目前还不确定黑客的目的是利用窃取的凭据供个人使用，还是将其出售给其他威胁行为者。

目前，现有证据无法明确地将攻击活动归因于特定来源。然而，值得注意的是，隶属于俄罗斯政府的黑客在其行动中经常使用 Remcos 和 SmokeLoader。