据security affairs消息,安全研究人员近期发现了一个名为Balikbayan Foxes(TA2722)网络攻击组织。
该组织多次冒充菲律宾政府组织,包括卫生部、海外就业管理局和海关局,并伪装成沙特驻马尼拉大使馆和菲律宾DHL包括木马病毒和恶意软件在内的邮递和物流集团不断传播Remcos 、 NanoCore木马等远程访问。Remcos和NanoCore木马病毒常用于计算机信息收集、数据过滤、监控和控制感染。
该组织主要活动在北美、欧洲和东南亚,涉及航运、物流、制造、商业服务、制药、能源和金融等领域。其目的是获得计算机权限,窃取企业数据和信息,以及后续的商业欺诈。
安全专家说,“该组织通常直接或间接冒充菲律宾政府部门,不断攻击受害者,诱使用户下载带木马的文件或点击恶意链接。”
该组织于2020年8月冒充菲律宾DHL和沙特驻马尼拉领事馆(KSA),发起鱼叉式网络钓鱼攻击。值得一提的是,攻击者的钓鱼邮件重复使用了很长一段时间,这意味着他们一直没有被发现。他们在邮件中设置了多种诱饵,包括Covid-19感染率、账单、票据等。
根据现有信息,只要包括:
- 发送的网络钓鱼电子邮件包含指向恶意 .RAR 文件的 OneDrive 链接;
- 精心制作的邮件附加在邮件中。PDF该文件包括指向恶意可执行文件的嵌入 URL;
- 包括宏压缩 MS Excel 文档,启用后会下载恶意软件。
根据披露的信息,该组织自2018年8月以来一直活跃,直到2020年10月才逐渐停止。2021年9月,该组织再次活跃起来,并将菲律宾海关客户数据注册系统(CPRS)作为诱饵,收集凭证的恶意链接设置在其中。
总的来说,Balikbayan Foxes它是一个高度活跃的网络攻击组织,多次冒充菲律宾政府的各个部门,在东南亚、欧洲和北美发起钓鱼邮件攻击,传播各种恶意软件和木马病毒。该组织一直试图远程访问和控制受害者的计算机,收集系统数据,安装恶意软件,并参与商业电子邮件妥协(BEC)攻击等。