网络间谍活动针对意大利三星服务中心发起攻击

意大利安全公司TG Soft的安全研究人员发现了针对意大利三星服务中心的持续恶意软件活动。
“TG Soft的研究中心（CRAM）分析了 针对三星意大利服务中心的 2018年4月2日的鱼叉式网络钓鱼活动 。”阅读TG Soft发布的分析报告。

“分析的广告系列仅针对三星意大利的服务中心 ， 这是一个攻击多阶段，我们已经监控到2018年7月”
该活动与针对Fortinet在6月发现的类似电子服务中心的攻击活动有相似之处。攻击者的动机仍不明确，专家解释说恶意代码并不是特别复杂。

攻击者使用发送给三星意大利服务中心工作人员的鱼叉式网络钓鱼电子邮件。这些消息附有武器化的Excel文档。

这些文档会触发 CVE-2017-11882 Office 公共编辑器漏洞以感染用户。
根据 专家公布的技术 报告，这次袭击以及针对各种电子产品的维护和支持的俄罗斯服务中心的攻击始于3月的同一时期。

虽然俄罗斯服务中心受到迫近监视器RAT的攻击，但对三星意大利服务中心的攻击也涉及其他RAT，如Netwire和 njRAT。

两个广告系列中鱼叉式网络钓鱼邮件的质量都很高，它们似乎分别由意大利语和俄语的本地人编写。

此广告系列中使用的附件是标题为“QRS non autorizzati.xlsx”的Excel文档，而网络钓鱼邮件则使用三星IT服务管理器（Samsung Italia的真正员工）的名称进行签名，并包含电子邮件和电话号码。员工。
当时，专家们无法将攻击归因于特定的威胁行为者。对于攻击者而言，电子服务中心似乎并不是特别有趣，因为它管理的数据量很少。

可能攻击者想要破坏这些服务使用的远程管理工具，以便控制请求支持电子服务中心的客户的计算机。

“命令和控制服务器使用像noip.me或ddns.net这样的服务，它们与VPN结合使用， 可以隐藏发送已泄露数据的服务器的IP地址。”报告总结道。
“在某些情况下，在分析过程中，C2服务器不在线，RAT无法收缩，然后在几个小时后使用新IP地址返回活动状态。
这次袭击背后的演员仍然不明......“