Hack for Hire Group以旅行和金融实体为目标，采用新的Janicab恶意软件变体

旅行社已经成为一个被称为“雇佣黑客”的组织的目标恶毒的作为针对中东和欧洲法律和金融投资机构的更广泛运动的一部分。

卡巴斯基在本周发布的一份技术报告中表示，这些攻击发生在2020年和2021，可能最早可追溯到2015年，涉及一种名为Janicab的恶意软件的改进变体，该恶意软件利用WordPress和YouTube等多个公共服务作为死机解析器。

Janicab感染由埃及、格鲁吉亚、沙特阿拉伯、阿联酋和英国的多个受害者组成。这一事态发展标志着沙特阿拉伯的法律组织首次成为这一群体的目标。

该威胁扮演者也被称为死亡追踪者，已知其部署了Janicab、Evilnum、Powersing和PowerPepper等后门，以窃取公司机密信息。

这家俄罗斯网络安全公司在2020年8月指出:“他们对收集敏感商业信息的兴趣让我们相信，‘死亡追踪者’是一群雇佣兵，提供雇佣黑客服务，或在金融界充当某种信息经纪人”。

根据ESET的说法，黑客团队有一种获取公司内部演示文稿、软件许可证、电子邮件凭据以及包含客户名单、投资和交易操作的文档的模式。

今年早些时候，Zscaler和Proofpoint发现了Evilnum策划的新的攻击，这些攻击自2021年底以来一直针对加密和金融科技垂直行业的公司。

卡巴斯基对死亡追踪者入侵事件的分析显示，在ZIP档案中嵌入了一个基于LNK的滴管，用于通过鱼叉式网络钓鱼攻击进行初始访问。

诱饵附件声称是与动力液压系统相关的工业概要文件，打开后，将部署基于VBScript的Janicab植入物，该植入物能够执行命令并部署更多工具。

较新版本的模块化恶意软件同时删除了录音功能，并添加了一个键盘记录器模块，该模块与以前的Powersing攻击有重叠之处。其他功能包括检查已安装的防病毒产品和获取指示恶意软件分析的进程列表。

2021的攻击还因使用未列出的旧YouTube链接而著名，这些链接用于托管Janicab破译的编码字符串，以提取命令和控制（C2）IP地址，用于检索后续命令和过滤数据。

研究人员表示：“由于威胁者使用未列出的YouTube旧链接，在YouTube上找到相关链接的可能性几乎为零”。“这也有效地允许威胁行为者重用C2基础设施”。

调查结果强调，威胁行为体一直在持续更新其恶意软件工具集，以在较长时间内保持隐蔽性。

除了应用程序允许列表和操作系统强化之外，建议组织监视Internet Explorer进程，因为浏览器以隐藏模式与C2服务器通信。

由于法律和金融部门是威胁行为者的共同目标，研究人员进一步推测，死亡追踪者的客户和运营商可能正在将入侵武器化，以监视诉讼、勒索知名人士、追踪金融资产，并获取有关潜在并购的商业情报。