AveMaria是一种最早在2018年12月出现的窃密木马,攻击者越来越喜欢使用其进行攻击,运营方也一直在持续更新和升级。在过去六个月中,研究人员观察到AveMaria的传播手段发生了许多变化。2022年12月攻击行动研究人员发现了名为 .Vhd(x)的攻击行动,攻击者使用了虚拟硬盘文件格式进行载荷投递。针对哈萨克斯坦官员的攻击攻击链攻击者冒充俄罗斯政府的名义发送会议通知的钓鱼邮件,带有 .vhdx附件文件。恶意邮件执行附件文件后,会创建一个新的驱动器。其中包含恶意LNK文件、诱饵文件与其他相关文件,点击快捷方式后会通过curl命令下载其他恶意软件。最终,Payload执行会使用AveMari
