返回首页

IT-утилит вредоносная реклама: атаки SmokedHam и Qilin

В начале 2026 года европейские компании подвергаются атакам через вредоносную рекламу IT-утилит. Злоумышленники распространяют бэкдор SmokedHam и программу-вымогатель Qilin. Аналитики связывают кампанию с группой UNC2465.

Как поддельные установщики IT-инструментов дают хакерам доступ к вашей сети
Advertisement 728x90

恶意IT工具广告:黑客如何通过虚假安装程序渗透欧洲企业

2026年初,欧洲组织面临新一轮网络攻击浪潮,攻击者利用搜索引擎中的恶意广告分发伪装成合法IT工具的SmokedHam后门。在某些情况下,攻击最终会部署Qilin勒索软件。Orange Cyberdefense专家将这一活动与UNC2465组织联系起来,该组织此前曾以使用DarkSide、LockBit和Hunters International进行攻击而闻名。

攻击机制:从广告到完全控制

攻击始于购买搜索引擎广告,这些广告推广流行系统管理员工具的虚假下载页面。例如,搜索RVTools或Remote Desktop Manager的用户可能会点击广告并下载恶意安装程序。一旦执行,SmokedHam后门就会被加载到设备上,授予攻击者远程访问权限。

在Orange Cyberdefense调查的一起事件中,感染导致了Qilin加密器的部署。操作者使用了复杂的隐藏方法:他们使用了两种不同的员工监控解决方案,将恶意活动与合法管理工具(PuTTY、Kitty、Zoho Assist、Total Commander)混合在一起,并使用Cloudflare Workers和标准AWS端点来掩盖流量。

Google AdInline article slot

SmokedHam:后门的演变

Orange Cyberdefense分析师检查了2025-2026年间收集的30多个SmokedHam样本。他们发现操作者不断修改该工具:交付方法、持久化技术和利用的漏洞随时间变化。这表明该组织活动频繁,且不断改进其武器库。该后门可以加载额外模块,为实施攻击提供了灵活性。

攻击幕后黑手:UNC2465组织

Orange Cyberdefense以中等置信度将这一活动与UNC2465联系起来。该组织或其关联的附属机构此前曾参与使用知名勒索软件(如DarkSide、LockBit和Hunters International)的攻击。这一结论基于重叠的策略、技术和基础设施。攻击者正积极针对欧洲组织,2026年2月至4月事件的地理分布证明了这一点。

关键要点

  • 搜索引擎中的恶意广告是渗透欧洲公司的有效初始入侵向量。
  • SmokedHam后门伪装成合法IT工具(RVTools、Remote Desktop Manager、PuTTY)进行分发。
  • 在某些攻击中,SmokedHam之后会部署Qilin加密器。
  • 操作者使用多层隐藏手段:合法管理工具、Cloudflare Workers、AWS。
  • 与过去勒索软件攻击相关的UNC2465组织很可能是此次活动的幕后黑手。

背景与影响

使用恶意广告分发恶意软件并非新策略,但由于能够针对特定专业群体,其有效性正在增长。搜索工作工具的系统管理员和IT专业人员成为优先目标。由于攻击针对欧洲组织,企业需要加强下载控制,实施多因素认证,并培训员工识别可疑广告。

Google AdInline article slot

为进行防护,建议使用官方下载源,验证安装程序数字签名,并限制管理权限。同时,监控网络流量中通过Cloudflare Workers或AWS的可疑连接也很重要。

— Editorial Team

Advertisement 728x90

继续阅读