信息來源：mottoin

馬上就要0202年了，我們要算經(jīng)歷過大風大浪的人了，什么攻擊活動沒見過，可是最近出現(xiàn)的攻擊活動大家還真不一定見過。研究人員發(fā)現(xiàn)了一個針對全球組織的大規(guī)模黑客攻擊活動，由于它一次性分發(fā)六種惡意軟件（是的，你沒看錯，就是六種），所以研究人員將其稱之為“Hornet's Nest”（馬蜂窩）。

研究人員認為，這次活動是網(wǎng)絡犯罪即服務的一部分。代碼中的線索指向由說俄語的攻擊者編寫的Legion Loader，研究人員注意到該惡意軟件仍在開發(fā)和更新中。這次攻擊活動的目標主要集中在美國和歐洲。

目前尚不清楚攻擊最初是怎么發(fā)生的，但是一旦在計算機上啟動并運行，Legion Loader將執(zhí)行PowerShell命令，開始檢索其惡意有效負載。然后，其將分發(fā)三種不同的特洛伊木馬惡意軟件，所有這些惡意軟件都可以在地下論壇上找到。

第一個是Vidar木馬，它主要用來竊取各種個人信息（包括屏幕截圖和數(shù)據(jù)）。Vidar由C++撰寫，于2018年10月出現(xiàn)，黑市價格在250-700美元之間，買家還可從C2（命令與控制）商店自動生成惡意代碼。Vidar的功能包括搜尋特定文件、竊取瀏覽器cookie中的ID、竊取瀏覽器歷史記錄、竊取加密貨幣錢包、從雙因素認證軟件中竊取數(shù)據(jù)、竊取通信軟件中的數(shù)據(jù)，還可獲取屏幕截圖。

值得注意的是，Vidar是一種高度商品化的惡意軟件，因此研究人員無法確認其背后的開發(fā)者具體是誰。

第二個木馬是Predator The Thief，這是一種惡意軟件，可以竊取數(shù)據(jù)并能夠使用受害者的網(wǎng)絡攝像頭捕獲圖像。該軟件使用C/C++語言編寫。與當今主流的惡意軟件一樣，該惡意軟件可以作為構(gòu)建器（Builder），也可以通過C&C渠道下載額外的惡意軟件。

第三個是Racoon Stealer，這是一種相對較新的信息竊取器，功能強大，但操作起來非常容易，使用者還能根據(jù)自己的需求對其進行自定義。

除了這三種惡意軟件外，Legion Loader還包含一個基于RDP的后門，為攻擊者提供了進入受感染計算機的入口。這讓那些使用Legion Loader的人將來進行其他攻擊。

Legion Loader可以讓攻擊者竊取大量個人數(shù)據(jù)，雖然買它需要花錢，但買了之后攻擊者可以通過進行欺詐或在暗網(wǎng)上出售信息來賺錢，可謂是一本萬利，不虧本的買賣。

但是，這個被研究人員稱之為Hornet's Nest的攻擊活動為攻擊者提供了另一條賺錢的思路：Legion Loader有效載荷還包括基于PowerShell的加密貨幣竊取程序，攻擊者可以利用該程序攻擊受害者的比特幣錢包，這樣你的比特幣就是他的了。

除此之外，Legion Loader有效載荷還帶有一個加密貨幣礦工，該礦工利用受害者計算機的處理能力來挖礦。

雖然這個攻擊活動并非十分復雜，但看看攻擊者能干多少事，心就涼了多少截，畢竟這種多管齊下的攻擊可是各種組織、企業(yè)的“安全噩夢”。