信息來(lái)源：mottoin

馬上就要0202年了，我們要算經(jīng)歷過(guò)大風(fēng)大浪的人了，什么攻擊活動(dòng)沒(méi)見(jiàn)過(guò)，可是最近出現(xiàn)的攻擊活動(dòng)大家還真不一定見(jiàn)過(guò)。研究人員發(fā)現(xiàn)了一個(gè)針對(duì)全球組織的大規(guī)模黑客攻擊活動(dòng)，由于它一次性分發(fā)六種惡意軟件（是的，你沒(méi)看錯(cuò)，就是六種），所以研究人員將其稱之為“Hornet's Nest”（馬蜂窩）。

研究人員認(rèn)為，這次活動(dòng)是網(wǎng)絡(luò)犯罪即服務(wù)的一部分。代碼中的線索指向由說(shuō)俄語(yǔ)的攻擊者編寫(xiě)的Legion Loader，研究人員注意到該惡意軟件仍在開(kāi)發(fā)和更新中。這次攻擊活動(dòng)的目標(biāo)主要集中在美國(guó)和歐洲。

目前尚不清楚攻擊最初是怎么發(fā)生的，但是一旦在計(jì)算機(jī)上啟動(dòng)并運(yùn)行，Legion Loader將執(zhí)行PowerShell命令，開(kāi)始檢索其惡意有效負(fù)載。然后，其將分發(fā)三種不同的特洛伊木馬惡意軟件，所有這些惡意軟件都可以在地下論壇上找到。

第一個(gè)是Vidar木馬，它主要用來(lái)竊取各種個(gè)人信息（包括屏幕截圖和數(shù)據(jù)）。Vidar由C++撰寫(xiě)，于2018年10月出現(xiàn)，黑市價(jià)格在250-700美元之間，買(mǎi)家還可從C2（命令與控制）商店自動(dòng)生成惡意代碼。Vidar的功能包括搜尋特定文件、竊取瀏覽器cookie中的ID、竊取瀏覽器歷史記錄、竊取加密貨幣錢(qián)包、從雙因素認(rèn)證軟件中竊取數(shù)據(jù)、竊取通信軟件中的數(shù)據(jù)，還可獲取屏幕截圖。

值得注意的是，Vidar是一種高度商品化的惡意軟件，因此研究人員無(wú)法確認(rèn)其背后的開(kāi)發(fā)者具體是誰(shuí)。

第二個(gè)木馬是Predator The Thief，這是一種惡意軟件，可以竊取數(shù)據(jù)并能夠使用受害者的網(wǎng)絡(luò)攝像頭捕獲圖像。該軟件使用C/C++語(yǔ)言編寫(xiě)。與當(dāng)今主流的惡意軟件一樣，該惡意軟件可以作為構(gòu)建器（Builder），也可以通過(guò)C&C渠道下載額外的惡意軟件。

第三個(gè)是Racoon Stealer，這是一種相對(duì)較新的信息竊取器，功能強(qiáng)大，但操作起來(lái)非常容易，使用者還能根據(jù)自己的需求對(duì)其進(jìn)行自定義。

除了這三種惡意軟件外，Legion Loader還包含一個(gè)基于RDP的后門(mén)，為攻擊者提供了進(jìn)入受感染計(jì)算機(jī)的入口。這讓那些使用Legion Loader的人將來(lái)進(jìn)行其他攻擊。

Legion Loader可以讓攻擊者竊取大量個(gè)人數(shù)據(jù)，雖然買(mǎi)它需要花錢(qián)，但買(mǎi)了之后攻擊者可以通過(guò)進(jìn)行欺詐或在暗網(wǎng)上出售信息來(lái)賺錢(qián)，可謂是一本萬(wàn)利，不虧本的買(mǎi)賣(mài)。

但是，這個(gè)被研究人員稱之為Hornet's Nest的攻擊活動(dòng)為攻擊者提供了另一條賺錢(qián)的思路：Legion Loader有效載荷還包括基于PowerShell的加密貨幣竊取程序，攻擊者可以利用該程序攻擊受害者的比特幣錢(qián)包，這樣你的比特幣就是他的了。

除此之外，Legion Loader有效載荷還帶有一個(gè)加密貨幣礦工，該礦工利用受害者計(jì)算機(jī)的處理能力來(lái)挖礦。

雖然這個(gè)攻擊活動(dòng)并非十分復(fù)雜，但看看攻擊者能干多少事，心就涼了多少截，畢竟這種多管齊下的攻擊可是各種組織、企業(yè)的“安全噩夢(mèng)”。