AceCryptor 惡意軟體

出現了許多與 AceCryptor 工具相關的新感染病例，顯示了令人擔憂的趨勢。該工具因其能夠偽裝惡意軟體並滲透到傳統反惡意軟體防禦無法檢測到的系統而受到駭客的青睞，已在針對整個歐洲組織的活動中得到利用。多年來一直監控 AceCryptor 活動的研究人員觀察到最近的這次活動出現了明顯的變化。與先前的情況不同，攻擊者擴大了其漏洞利用中捆綁的篡改程式碼的範圍，對目標實體構成了更大的威脅。

AceCryptor 用於傳遞有害的後期威脅

AceCryptor 通常與Remcos或Rescoms等惡意軟體搭配使用，這些惡意軟體是強大的遠端監視工具，經常用於針對烏克蘭組織的攻擊。除了 Remcos 和著名的SmokeLoader 之外，研究人員現在還觀察到 AceCryptor 還在傳播其他惡意軟體，包括STOP/Djvu Ransomware和Vidar Stealer的變種。

此外，研究人員也注意到目標國家的獨特模式。雖然 SmokeLoader 參與了烏克蘭的攻擊，但波蘭、斯洛伐克、保加利亞和塞爾維亞的事件都使用了 Remcos。

在精心策劃的活動中，AceCryptor 已被用來針對多個歐洲國家，旨在提取敏感資訊或建立對各公司的初步存取權。這些攻擊中的惡意軟體通常透過垃圾郵件傳播，其中一些郵件非常令人信服；有時，合法的電子郵件帳號會被劫持和濫用來發送這些誤導性訊息。

最新行動的主要目標是獲取電子郵件和瀏覽器憑證，以進一步攻擊目標公司。值得注意的是，大多數記錄的 AceCryptor 事件都是這些攻擊的初始入侵點。

AceCryptor 的目標在 2023 年發生了變化

在 2023 年的六個月中，主要受到 AceCryptor 惡意軟體影響的國家是秘魯、墨西哥、埃及和土耳其，其中秘魯首當其衝，遭受了 4,700 次攻擊。然而，下半年發生了一個顯著的轉變，駭客將注意力轉向了歐洲國家，特別是波蘭，該國遭受了超過 26,000 次攻擊。烏克蘭、西班牙和塞爾維亞也遭受了數千次攻擊。

今年下半年，Rescoms 成為透過 AceCryptor 分發的主要惡意軟體家族，發生了超過 32,000 起事件。其中波蘭佔一半以上，其次是塞爾維亞、西班牙、保加利亞和斯洛伐克。

針對波蘭企業的攻擊具有相似的主題，通常偽裝成與受害公司相關的 B2B 優惠。駭客在電子郵件中使用真實的波蘭公司名稱和現有員工身分來增加可信度。這些襲擊背後的動機仍然不明確；目前還不確定駭客的目的是利用竊取的憑證供個人使用，還是將其出售給其他威脅行為者。

目前，現有證據無法明確地將攻擊活動歸因於特定來源。然而，值得注意的是，隸屬於俄羅斯政府的駭客在其行動中經常使用 Remcos 和 SmokeLoader。