据信，越南的网络犯罪分子是使用 DarkGate 恶意软件进行攻击的幕后黑手，这些恶意软件自 2018 年以来一直针对英国、美国和印度的组织。

WithSecure 研究人员使用 Ducktail infostealer 追踪到了活跃的网络犯罪分子集群的这些攻击，该攻击已在最近针对元企业帐户的活动中使用。

根据研究人员观察到的非技术指标，DarkGate 和 Ducktail 活动被联系在一起。其中包括诱饵文件、主题、定位和交付方法。例如，初始向量通常是 LinkedIn 消息，它将受害者重定向到 Google Drive 上的恶意文件。

WithSecure 还分析了相关元数据，包括 LNK 文件元数据、使用 Canva 设计服务/工具创建的 PDF 以及使用未经许可版本的 EXEMSI 创建的 MSI 文件。

WithSecure 高级威胁情报分析师 Stephen Robinson 评论道：“我们观察到的 DarkGate 攻击具有非常强大的标识符，这使我们能够在这些攻击与我们看到的使用不同信息窃取程序和恶意软件（包括 Ducktail）的其他攻击之间建立联系。根据我们的观察，我们一直在跟踪的目标元业务帐户的多个活动很可能是由一个参与者幕后操纵的。”

广泛的活动

虽然这些活动的初始感染途径非常相似，但研究人员承认，这两个有效负载的功能存在显着差异：

• Ducktail 是一个专用的信息窃取程序，执行后，它会快速从本地设备窃取凭据和会话 cookie，并将其发送回攻击者。它还具有一个额外的以 Facebook 为中心的功能，如果它找到 Facebook Business 帐户会话 cookie，它将尝试将攻击者以管理员身份添加到该帐户。
• DarkGate 是一种具有信息窃取功能的远程访问木马 (RAT)。与 Ducktail 不同，它是隐秘的，试图实现持久性。它还用于多种目的，包括部署Cobalt Strike和勒索软件。DarkGate 似乎也被多个不相关的参与者使用。然而，“与 Ducktail 活动最相似且重叠的 DarkGate 行为很可能是同一个越南威胁行为者集群。”

研究人员还将 Lobshot 和 Redline Stealer 恶意软件与同一越南威胁行为者联系起来。

Robinson 强调了网络犯罪即服务 (CaaS) 行业的发展如何使得识别特定活动背后的组织变得更加困难。

“DarkGate 已经存在很长时间了，并且被许多团体用于不同的目的，而不仅仅是越南的这个团体或集群。另一方面，攻击者可以在同一活动中使用多种工具，这可能会从纯粹基于恶意软件的分析中掩盖他们活动的真实范围，”他指出。