新的RisePro通过PrivateLoader PPI服务进行分发；芝加哥的能源公司Sargent & Lundy遭到勒索攻击

1、新的RisePro通过PrivateLoader PPI服务进行分发

      据12月24日报道，研究团队发现了一种新型窃取信息的恶意软件RisePro。它于2022年12月13日首次被检测到，正在通过PrivateLoader按安装付费(PPI)恶意软件下载服务进行分发。RisePro由C++开发，似乎具有与Vidar类似的功能，旨在帮助攻击者从被感染的设备中窃取目标的信用卡、密码和加密钱包。Flashpoint报告称，攻击者已经在俄罗斯暗网市场上出售数以千计的RisePro日志（从被感染设备中窃取的数据包）。 

https://www.bleepingcomputer.com/news/security/new-info-stealer-malware-infects-software-pirates-via-fake-cracks-sites/

2、RansomHouse声称对瓦努阿图政府遭到的勒索攻击负责

      据媒体12月26日报道，RansomHouse声称对瓦努阿图政府遭到的勒索攻击负责。瓦努阿图曾在11月初宣布他们遭到了勒索攻击，在将近一个月后仍未完全恢复。12月24日，RansomHouse团伙将瓦努阿图政府列入了他们的网站，称已于10月6日加密他们的系统，并窃取了3.2 TB的文件。发布的样本中文件看起来确实与政府的文件一致，其中不包括个人或敏感的文件。目前尚不清楚赎金金额是多少，或是否进行过谈判。

https://www.databreaches.net/vanuatu-ransomware-attack-claimed-by-ransomhouse/

3、CrowdStrike披露GuLoader绕过安全检测的多个方法

      CrowdStrike在12月19日披露了GuLoader绕过安全检测的多个方法。GuLoader（又名CloudEyE），是一种Visual Basic Script(VBS)下载程序，于2019年首次在野外被发现。它使用多态shellcode加载程序来绕过传统安全解决方案，研究人员为恶意软件使用的每个API映射所有嵌入式DJB2哈希值来分析其活动。新的shellcode反分析技术通过扫描整个进程内存来查找与虚拟机(VM)相关的字符串，新的冗余代码注入机制意味着通过使用内联汇编绕过安全解决方案的用户模式hook来确保代码的执行。

https://www.crowdstrike.com/blog/guloader-dissection-reveals-new-anti-analysis-techniques-and-code-injection-redundancy/

4、TrendMicro发现利用谷歌PPC广告分发IcedID的活动

      12月23日，Trend Micro透露其发现僵尸网络IcedID的分发方式发生了重大变化。自2022年12月以来，研究人员观察到利用谷歌每次点击付费(PPC)广告分发IcedID的活动。IcedID运营团伙劫持了Adobe、Fortinet和Discord等品牌和应用所使用的关键词来显示恶意广告。当用户搜索关键字时，指向恶意网站的广告显示在自然搜索结果上方。在此活动中，加载程序是通过MSI文件分发的，这对于IcedID来说是不常见的。此外，攻击者利用了合法的Keitaro流量导向系统(TDS)来过滤来自研究人员和沙盒的流量。

https://www.trendmicro.com/en_us/research/22/l/icedid-botnet-distributors-abuse-google-ppc-to-distribute-malware.html   

5、芝加哥的能源公司Sargent & Lundy遭到勒索攻击

      媒体12月27日称，美国CNN透露黑客在近期的勒索攻击中窃取了多家电力公司的数据。此次勒索攻击针对的是总部位于芝加哥的Sargent & Lundy工程公司，该公司设计了900多个发电站和数千英里的电力系统，并持有这些项目的敏感数据。据其网站称，该公司还处理核安全问题。据悉，该事件已得到控制和补救，似乎并未对其它电力行业的公司造成影响，也没有数据被发布到暗网上。

https://www.databreaches.net/hackers-stole-data-from-multiple-electric-utilities-in-recent-ransomware-attack/

6、Kaspersky发布针对阿尔巴尼亚的两轮攻击的分析报告

      Kaspersky在12月22日发布了针对阿尔巴尼亚组织的两轮攻击活动的分析报告。该报告主要比较了这两轮攻击活动所使用的勒索软件和擦除恶意软件之间的区别。对于勒索软件，两轮攻击活动的样本具有相同的签名证书参数，与科威特电信公司有关。攻击者对第二轮使用的擦除恶意软件进行了多次修改，可能是为了绕过检测，主要变化是使用Nvidia证书对恶意软件签名、在恶意软件中嵌入EldoS RawDisk驱动程序，以及在驱动程序安装后立即启动删除例程。

https://securelist.com/ransomware-and-wiper-signed-with-stolen-certificates/108350/

易受攻击的NodeJS应用程序

      为Web应用程序渗透测试人员、开发人员和安全代码审查而开发的易受攻击的NodeJS应用。

https://github.com/payatu/vuln-nodejs-app

powershell obfuscation

      简单有效的powershell免杀混淆的小工具。

https://github.com/H4de5-7/powershell-obfuscation

研究团队在多个PyPI包中发现W4SP Stealer

https://thehackernews.com/2022/12/w4sp-stealer-discovered-in-multiple.html

ZyXEL路由器中漏洞CVE-2022-40602

https://securityaffairs.co/wordpress/139974/hacking/backdoor-credentials-zyxel-lte3301-m209.html

新的YouTube Bot恶意软件窃取用户的信息

https://blog.cyble.com/2022/12/23/new-youtube-bots-malware-spotted-stealing-users-sensitive-information/

Cuba勒索软件的技术分析

https://infosecwriteups.com/know-your-adversary-cuba-ransomware-7b899be0410d

Passwordstate企业密码管理器中的漏洞

https://thehackernews.com/2022/12/critical-security-flaw-reported-in.html

苏黎世保险公司遭到网络攻击

https://www.databreaches.net/cyber-attacks-set-to-become-uninsurable-says-zurich-chief/

推荐阅读：

芯片制造商ADATA否认其遭到RansomHouse攻击的说法

IcedID 的攻击活动的分析