俄罗斯用户遭遇多阶段钓鱼攻击：部署Amnesia RAT与勒索软件

俄罗斯机构成复杂钓鱼攻击目标

网络安全研究机构Fortinet FortiGuard Labs近日揭露了一起针对俄罗斯用户的多阶段钓鱼攻击，该攻击同时部署勒索软件与Amnesia远程访问木马（RAT）。攻击者通过伪装成常规业务文档的社会工程学手段诱导受害者执行恶意载荷。

攻击链技术解析

据Fortinet研究员Cara Lin分析，此次攻击始于看似合法的恶意文档，诱骗受害者执行恶意代码。尽管完整技术细节仍在调查中，但攻击流程遵循多阶段感染模式，可能涉及以下步骤：

• 通过包含武器化文档的钓鱼邮件实现初始入侵
• 执行恶意宏或漏洞利用下载二级载荷
• 部署Amnesia RAT以获取远程访问权限并维持持久性
• 最终释放勒索软件进行文件加密

Amnesia RAT的使用表明攻击者旨在长期控制受感染系统，以便窃取数据、横向移动或部署更多恶意软件。

影响与威胁分析

此次攻击对俄罗斯机构构成严重威胁，包括：

• 通过远控木马能力导致数据泄露
• 勒索软件加密造成业务中断
• 勒索赎金或恢复成本带来经济损失
• 若攻击者窃取敏感信息，可能引发间谍活动风险

攻击者瞄准业务主题文档，表明其目标为企业或政府机构，因日常文件交换为恶意附件提供了可信掩护。

防御建议

安全团队应采取以下缓解措施：

• 强化宏安全策略，阻止来源不明文档的宏执行
• 部署高级邮件过滤，拦截钓鱼诱饵
• 监控异常进程执行（如文档衍生的可疑二进制文件）
• 网络分段，限制横向移动
• 维护离线备份，降低勒索软件影响
• 员工培训，提升识别社会工程学攻击的能力

Fortinet目前尚未将此次攻击归因于特定威胁组织，亦未将其与已知恶意软件家族（除Amnesia RAT外）建立关联。相关**攻击指标（IOCs）**的进一步分析仍在进行中。

来源：The Hacker News