据安全事务部消息,安全研究人员近日发现了一个名为BalikbayanFoxes(TA2722)的网络攻击组织。该组织多次冒充菲律宾政府机构,包括卫生部、海外就业管理局和海关局。它还冒充沙特驻马尼拉大使馆和菲律宾DHL邮政物流集团,不断传播木马病毒和恶意软件,包括Remcos、NanoCore等远程访问木马。其中,Remcos和NanoCore木马病毒常被用于对被感染计算机进行信息收集、数据过滤、监控和控制。该组织的主要活动在北美、欧洲和东南亚,涉及航运、物流、制造、商业服务、医药、能源、金融等各个领域。目的是获取电脑权限,窃取企业数据信息,后续进行商业诈骗等。安全专家表示,“该组织通常直接或间接冒充菲律宾政府部门,不断向受害人发起钓鱼邮件攻击,引诱用户下载带有木马的文件或点击恶意链接。”在现有记录的攻击中,该组织于2020年8月冒充菲律宾DHL和沙特驻马尼拉领事馆(KSA)发起鱼叉式网络钓鱼攻击。值得一提的是,攻击者的网络钓鱼电子邮件在很长一段时间内被重复使用,这意味着它们一直未被发现。他们在电子邮件中设置了多种诱饵,包括Covid-19感染率、账单、票据等。根据可用信息,安全研究人员将这些活动分为两个不同的网络攻击集群,并确定了该组的多种攻击机制,只要它们包括:附在电子邮件中的精心制作的PDF文件,其中包含指向恶意可执行文件的嵌入式URL;包含宏的压缩MSExcel文档,启用后会下载恶意软件。根据披露的信息,该组织自2018年8月开始活跃,直到2020年10月才逐渐停止活动。2021年9月,该组织再次活跃起来,以菲律宾海关客户数据注册系统(CPRS)为诱饵,在它收集凭据。总的来说,BalikbayanFoxes是一个高度活跃的网络攻击组织。它多次冒充菲律宾政府各部门,发起针对东南亚、欧洲、北美的钓鱼邮件攻击,传播各种恶意软件和木马病毒。据了解,该组织一直试图远程访问和控制受害者的计算机、收集系统数据、安装恶意软件、参与商业电子邮件妥协(BEC)攻击等。
