长达数年的网络钓鱼活动针对汽车行业的德国公司，试图用窃取密码的恶意软件感染他们的系统。

目标包括德国的汽车制造商和汽车经销商，攻击者通过克隆该领域各个组织的合法站点，注册了多个相似的域以用于其操作。

这些站点用于发送用德语编写的网络钓鱼电子邮件，并托管下载到目标系统的恶意软件有效负载。

此活动中使用的各种相似域 （检查点）
Check Point 的研究人员发现了这一活动并发布了一份技术报告，其中详细介绍了他们的发现。根据该报告，该活动于 2021 年 7 月左右开始，目前仍在进行中。

瞄准德国汽车工业
感染链始于发送给特定目标的电子邮件，其中包含绕过许多互联网安全控制的 ISO 磁盘映像文件。

例如，下面的网络钓鱼电子邮件假装包含发送给目标经销商的汽车转账收据。

Check Point 看到的恶意电子邮件之一
该档案又包含一个 .HTA 文件，该文件包含通过 HTML 走私执行的 JavaScript 或 VBScript 代码。

通用感染链 （检查点）
这是所有技能级别的黑客都使用的一种常用技术，从依赖自动化工具包的“脚本小子”到部署自定义后门的国家资助的演员。

当受害者看到由 HTA 文件打开的诱饵文档时，恶意代码会在后台执行以获取恶意软件有效负载并启动它们。

诱饵文件 （检查点）
“我们发现了这些脚本的多个版本，一些触发 PowerShell 代码，一些经过混淆处理，以及其他纯文本版本。它们都下载并执行各种 MaaS（恶意软件即服务）信息窃取程序。” -检查点。

此活动中使用的 MaaS 信息窃取器各不相同，包括 Raccoon Stealer、AZORult 和 BitRAT。这三个都可以在网络犯罪市场和暗网论坛上购买。

在 HTA 文件的更高版本中，运行 PowerShell 代码以更改注册表值并启用 Microsoft Office 套件上的内容。这使得威胁参与者无需诱骗接收者启用宏并提高其有效负载丢弃率。

恶意 Windows 注册表修改 （检查点）
目标和归因

Check Point 表示，他们可以将这些攻击追踪到 14 个目标实体，这些都是与汽车制造行业有一定联系的德国组织。但是，报告中没有提到具体的公司名称。

信息窃取有效载荷托管在由伊朗人注册的站点（“bornagroup[.]ir”）上，而同一电子邮件用于网络钓鱼子域，例如“groupschumecher[.]com”。

威胁分析人员能够找到针对桑坦德银行客户的不同网络钓鱼操作的链接，支持该活动的网站托管在伊朗 ISP 上。

威胁参与者的基础设施 （检查点）
总之，伊朗威胁行为者很有可能策划了这场运动，但 Check Point 没有足够的证据证明其归属。

最后，关于该活动的目标，它很可能是针对这些公司或其客户、供应商和承包商的工业间谍活动或 BEC（商业电子邮件泄露）。

发送给目标的电子邮件留有足够的通信余地，因此与受害者建立融洽的关系并获得他们的信任是一种可能使 BEC 假设具有可信度的场景。