網路安全公司趨勢科技（Trend Micro）發現了名叫Confucius的網路犯罪團夥最近進行的惡意活動。 駭客們利用臭名昭著的以色列Pegasus（飛馬惡意軟體）誘餌發起了一場釣魚活動，欺騙使用者點擊下載數據盜竊代碼的惡意檔。

攻擊以一封乾淨的電子郵件開始，其中包含從巴基斯坦合法報紙文章中複製的文字。 兩天后，受害者收到一封新的電子郵件，其中包含冒充巴基斯坦軍方官員關於PegASUS間諜軟體的警告，其中包括一個 cutt.ly 連結到加密的Word文檔和一個解密密碼。

無論受害者採取什麼行動，點擊其中任何一個鏈接都會下載Word文檔。 如果目標人物輸入了電子郵件中的密碼，電腦螢幕上就會出現一個帶有宏的文檔。 如果該特定機器上啟用了宏，下一步就是簡單地載入惡意代碼。 一個名為skfk.txt的.NET DLL檔就會在臨時目錄中被創建，該檔包含文檔註釋欄的材料。 PowerShell被用來將該文件載入到記憶體中，並用於竊取數據。

簡單地說，當列出的擴展名的MD5哈希值匹配時，該檔就會通過C&C伺服器被檢索出來。 沒有列出的檔被保存到同一C&C伺服器的不同資料夾，使用機器名對應使用者名字符串。

“Confucius”網络犯罪團伙過去曾使用幾個文件竊取工具對巴基斯坦軍隊進行網络間諜攻擊。 開發者在創建惡意檔時使用創新技術，其中一些技術包括使用加密檔來防止自動分析，或將有害代碼隱藏在評論部分。

存取趨勢科技博客以瞭解更多細節：

https://www.trendmicro.com/en_us/research/21/h/confucius-uses-pegasus-spyware-related-lures-to-target-pakistani.html