“多次入侵尝试”与正在进行的社会工程活动有关，该活动据称与Black Basta勒索软件组织有关，该组织旨在窃取凭据并安装名为SystemBC的恶意软件投放器。

我们对这次行动了解多少？

根据网络安全专业人士的说法，这种方法并没有什么不寻常的，它遵循通常的社会工程攻击模式，电子邮件炸弹，然后试图打电话给受害者并提供虚假解决方案。

随后，攻击链说服用户下载并安装 AnyDesk，这是一个真正的远程访问程序，可作为提供额外有效载荷和泄露私人信息的渠道。

这涉及使用一个名为“AntiSpam.exe”的应用程序，该应用程序要求用户提供其 Windows 登录信息以完成更新，并声称下载垃圾邮件过滤器。

之后，运行许多程序、DLL 文件和 PowerShell 脚本。其中包括 SOCKS 代理、SystemBC 和 Golang 中内置的 HTTP 信标，该信标连接到远程服务器。

建议禁止所有未经授权的远程桌面解决方案，并将声称来自 IT 专业人员内部的可疑电话和消息拒之门外，以降低攻击带来的风险。

这一发现恰逢 SocGholish（也称为 FakeUpdates）、GootLoader 和 Raspberry Robin 成为 2024 年最常检测到的装载机菌株。这些菌株是勒索软件的垫脚石。

这些加载器通常通过订阅模式提供，按月付费可以访问定期更新、支持和新功能。这种订阅模式的一个优势是，它甚至允许技术专长有限的威胁行为者发起复杂的攻击。