網(wǎng)絡(luò)安全公司 NSFOCUS 將 DarkCasino 描述為一個 "出于經(jīng)濟動機 "的行為者，該威脅行為者于 2021 年首次曝光。

該公司在一份分析報告中說：DarkCasino是一個APT威脅行為體，具有很強的技術(shù)和學(xué)習(xí)能力，善于將各種流行的APT攻擊技術(shù)整合到其攻擊流程中。

APT組織DarkCasino發(fā)起的攻擊非常頻繁，顯示其竊取網(wǎng)絡(luò)財產(chǎn)的強烈愿望。

DarkCasino最近與CVE-2023-38831（CVSS評分：7.8）的零日利用有關(guān)，該安全漏洞可被武器化以傳播惡意有效載荷。

2023 年 8 月，Group-IB 披露了將該漏洞武器化的真實攻擊，至少自 2023 年 4 月以來，該攻擊一直瞄準(zhǔn)在線交易論壇，以交付名為 DarkMe 的最終有效載荷，這是一個 Visual Basic 木馬，歸屬于 DarkCasino。

該惡意軟件可以收集主機信息、截圖、操作文件和 Windows 注冊表、執(zhí)行任意命令，并在被入侵主機上進(jìn)行自我更新。

雖然DarkCasino之前被歸類為EvilNum組織針對歐洲和亞洲在線賭博、加密貨幣和信貸平臺策劃的網(wǎng)絡(luò)釣魚活動，但NSFOCUS表示，通過對對手活動的持續(xù)跟蹤，它已經(jīng)排除了與已知威脅行為者的任何潛在聯(lián)系。

目前尚不清楚該威脅行為者的確切出處。

早期，DarkCasino 主要在地中海周邊國家和其他亞洲國家利用在線金融服務(wù)開展活動。

最近，隨著網(wǎng)絡(luò)釣魚方式的改變，其攻擊已波及全球加密貨幣用戶，甚至包括韓國和越南等非英語亞洲國家。

最近幾個月，多個威脅行為體加入了 CVE-2023-38831 漏洞利用的行列，包括 APT28、APT40、Dark Pink、Ghostwriter、Konni 和 Sandworm。

據(jù)觀察，Ghostwriter 利用該漏洞的攻擊鏈為 PicassoLoader 鋪平了道路，PicassoLoader 是一種中間惡意軟件，充當(dāng)其他有效載荷的加載器。

APT組織DarkCasino帶來的WinRAR漏洞CVE-2023-38831給2023年下半年的APT攻擊形勢帶來了不確定性。很多APT組織利用這個漏洞的窗口期攻擊政府等關(guān)鍵目標(biāo)，希望繞過目標(biāo)的防護(hù)系統(tǒng)，達(dá)到自己的目的。

參考鏈接：https://thehackernews.com/2023/11/experts-uncover-darkcasino-new-emerging.html