一个名为"稀有狼人"的网络犯罪组织正针对俄罗斯及独联体国家企业开展定向钓鱼攻击,通过劫持设备进行加密货币挖矿并窃取敏感数据。
卡巴斯基研究显示,这个也被称为"图书管理员食尸鬼"和"Rezet"的APT组织持续活跃至五月,对俄罗斯及独联体地区的机构发动了不间断的攻击。
该组织使用伪装成合法机构邮件的钓鱼邮件诱骗受害者打开恶意附件。一旦文件被执行,攻击者就能远程控制设备,窃取敏感数据(包括凭证和加密钱包信息),随后部署门罗币(XMR)矿机榨取系统算力。为规避检测,他们将受控设备的运行时间设定在凌晨1点至5点自动唤醒,确保攻击行为不被察觉。
卡巴斯基报告指出,该组织主要瞄准工业领域企业,同时对工程院校表现出特殊兴趣。钓鱼邮件使用俄语撰写,附件通常包含俄语命名的诱饵文档,表明其主要攻击目标位于俄罗斯或以俄语为母语的人群。
调查还发现数个可能与"图书管理员食尸鬼"行动关联的域名,尽管关联可信度较低。其中users-mail[.]ru和deauthorization[.]online两个仍在活跃的域名托管了钓鱼页面。这些使用PHP脚本构建的页面专门窃取俄罗斯主流邮箱服务Mail.ru的登录凭证。
截至卡巴斯基报告发布时,"图书管理员食尸鬼"APT攻击仍在持续,最新攻击活动发生在上个月。