微软研究人员发现了一个新的威胁活动集群，他们将其跟踪为 DEV-0569。此外，自 8 月以来，该组织已切换到多种投放策略，最近的一种是滥用 Google Ads 来投放 BatLoader。

揭示了什么？
根据该报告，DEV-0569 的攻击在不断发展，因为该组织正在改进其规避策略、妥协后有效负载交付和勒索软件便利化。

从 8 月到 10 月，该组织通过恶意广告攻击瞄准了受害者，向他们发送了伪装成 Microsoft Teams、Zoom、Adobe Flash Player、AnyDesk 或 LogMeIn 等简单应用程序的下载器链接。

它使用恶意软件下载器 BatLoader 来投放下一阶段的有效载荷（通过 PowerShell 命令），包括 Royal 勒索软件和 Cobalt Strike Beacon 植入物。

此外，该组织一直在使用开源工具 Nsudo 来禁用目标机器上的防病毒解决方案。

交付方式的转变
DEV-0569 可能在今年年初使用ZLoader作为交付方式，然后在 4 月份 ZLoader中断后转移到 BatLoader 。

9 月，该组织伪装成国家金融机构， 开始使用公共网站上的联系表格来提供信息窃取器有效载荷。

当受害者通过电子邮件回复时，他们会收到一条消息，其中包含指向上述合法应用程序的所谓安装程序的链接，但交付的是托管在 GitHub 和 OneDrive 存储库上的 BatLoader。

除了安装程序文件外，该组织还利用虚拟硬盘 (VHD) 文件格式来冒充合法软件。

10 月下旬，观察到 DEV-0569 恶意广告活动利用 Google Ads，混合在正常的网络流量中以避免被发现。进一步观察到该组织使用合法的流量分配系统 (TDS) Keitaro 有选择地挑选受害者来交付有效载荷。

结束语，DEV-0569 滥用 Google Ads、GitHub 和 OneDrive 等真正的服务以及 Keitaro 等工具来保持隐身。为了免受此类攻击，建议组织定义严格的电子邮件策略并实施邮件流规则，以限制允许在组织内部流通的 IP 范围和域级别。

• 天门市茶圣故里园游记 - 参观茶经楼
• 我和傲慢的初级程序员一起工作的那段痛苦经历
• 去东坡赤壁旅游看这篇!最全最细的东坡赤壁攻略
• 探索明显陵 - 你该知道的明显陵知识大全
• 祈福必去武汉归元禅寺 - 为什么归元禅寺祈福很灵
• 白兆山李白旅游风景区 - 我在湖北旅游
• 什么是思维模型?思维模型有什么用?