政府机构面临新威胁：利用 Discord 和非营利网站的攻击

文章重点

• 一个未知的威胁集团正通过滥用 Discord 和被劫持的非营利网站，针对亚太及北美的政府机构发动攻击。
• 此攻击分为两个阶段，受害者被诱导安装 PureCrypter 下载器，进而传递多种潜在的恶意软件。
• 研究者强调，这一威胁集团对政府机构的目标值得重视，他们的行为会持续利用受害者的基础设施。
• 此攻击可能导致敏感信息泄漏，包括各种浏览器的储存密码及萤幕记录。

据 Menlo Labs 的最新，一个未知的威胁集团正针对亚太和北美的政府机构通过滥用受欢迎的 Discord网络和一个被劫持的非营利网站发动攻击。这两阶段的攻击包含诱使受害者安装 PureCrypter 下载器，该下载器随后会传递各种恶意软件。

研究者指出，“这个威胁行为者似乎并不是威胁环境中的主要玩家，但是针对政府机构的攻击无疑是需要引起警惕的原因。”他们强调，该行为者的目标是盗取“来自不同浏览器的储存密码、剪贴板记录、萤幕键盘记录和萤幕捕捉。该软件是以
.Net 编写，支持所有版本的 Windows 操作系统。”

攻击方法

研究者表示，PureCrypter 攻击运作方式是利用一个被妥协的非营利组织的域名作为命令与控制 (C2)
通信，发送次级有效载荷。这一活动交付了几种类型的恶意软件，包括 Redline Stealer、AgentTesla、Eternity、Blackmoon和 Philadelphia 勒索病毒。

威胁行为者 | 目标 | 利用工具
—|—|—
不明威胁集团 | 政府机构 | PureCrypter

Menlo Labs预测，这个未知的威胁行为者将继续利用被妥协的基础设施，直到他们找到新据点。研究者指出，虽然在恶意软件中留存凭证是该威胁行为者的操作安全失误，但这却使分析师能够追踪其行踪。幸运的是，Menlo的云安全平台成功阻止了这次攻击，使 Menlo Labs 得以了解并开始追踪这一行为者。

Cybrary 的威胁情报高级总监 David Maynor 表示，威胁行为者越来越发现，他们面临著与企业界一样的问题：找到可靠的帮手非常困难。

“为了缩短这一差距，威胁行为者越来越多地使用由第三方撰写和测试的付费恶意软件，”Maynor 说。“在 Discord上托管这些恶意软件已成为一种共同的战术，尽管根据个人经验，我知道 Discord 对于恶意软件下架请求的响应非常快速。”

Bugcrowd 的创始人及首席技术官 Casey Ellis补充道，任何攻击政府机构的持续进攻都令人担忧，尤其是在这些早期阶段，尚未完全了解其身份及主要驱动动机的情况下。

这一事件凸显