信息来源：mottoin

马上就要0202年了，我们要算经历过大风大浪的人了，什么攻击活动没见过，可是最近出现的攻击活动大家还真不一定见过。研究人员发现了一个针对全球组织的大规模黑客攻击活动，由于它一次性分发六种恶意软件（是的，你没看错，就是六种），所以研究人员将其称之为“Hornet's Nest”（马蜂窝）。

研究人员认为，这次活动是网络犯罪即服务的一部分。代码中的线索指向由说俄语的攻击者编写的Legion Loader，研究人员注意到该恶意软件仍在开发和更新中。这次攻击活动的目标主要集中在美国和欧洲。

目前尚不清楚攻击最初是怎么发生的，但是一旦在计算机上启动并运行，Legion Loader将执行PowerShell命令，开始检索其恶意有效负载。然后，其将分发三种不同的特洛伊木马恶意软件，所有这些恶意软件都可以在地下论坛上找到。

第一个是Vidar木马，它主要用来窃取各种个人信息（包括屏幕截图和数据）。Vidar由C++撰写，于2018年10月出现，黑市价格在250-700美元之间，买家还可从C2（命令与控制）商店自动生成恶意代码。Vidar的功能包括搜寻特定文件、窃取浏览器cookie中的ID、窃取浏览器历史记录、窃取加密货币钱包、从双因素认证软件中窃取数据、窃取通信软件中的数据，还可获取屏幕截图。

值得注意的是，Vidar是一种高度商品化的恶意软件，因此研究人员无法确认其背后的开发者具体是谁。

第二个木马是Predator The Thief，这是一种恶意软件，可以窃取数据并能够使用受害者的网络摄像头捕获图像。该软件使用C/C++语言编写。与当今主流的恶意软件一样，该恶意软件可以作为构建器（Builder），也可以通过C&C渠道下载额外的恶意软件。

第三个是Racoon Stealer，这是一种相对较新的信息窃取器，功能强大，但操作起来非常容易，使用者还能根据自己的需求对其进行自定义。

除了这三种恶意软件外，Legion Loader还包含一个基于RDP的后门，为攻击者提供了进入受感染计算机的入口。这让那些使用Legion Loader的人将来进行其他攻击。

Legion Loader可以让攻击者窃取大量个人数据，虽然买它需要花钱，但买了之后攻击者可以通过进行欺诈或在暗网上出售信息来赚钱，可谓是一本万利，不亏本的买卖。

但是，这个被研究人员称之为Hornet's Nest的攻击活动为攻击者提供了另一条赚钱的思路：Legion Loader有效载荷还包括基于PowerShell的加密货币窃取程序，攻击者可以利用该程序攻击受害者的比特币钱包，这样你的比特币就是他的了。

除此之外，Legion Loader有效载荷还带有一个加密货币矿工，该矿工利用受害者计算机的处理能力来挖矿。

虽然这个攻击活动并非十分复杂，但看看攻击者能干多少事，心就凉了多少截，毕竟这种多管齐下的攻击可是各种组织、企业的“安全噩梦”。