APT攻击

• APT组织Andariel使用Xctdoor恶意软件对韩国展开攻击

• SneakyChef 间谍组织利用SugarGh0st恶意软件针对政府机构展开攻击

• 揭秘APT-C-56（透明部落）利用Linux桌面文件的攻击手法

攻击活动

• 全球120多起恶意活动瞄准Android设备

• CopyCop利用假新闻网站和生成式人工智能影响即将到来的美国总统选举

• Apple XNU内核漏洞CVE-2024-27815被披露，POC代码发布

数据泄露

• 伦敦医院遭受严重网络攻击，400GB敏感数据被泄露

• 美国德克萨斯教育组织遭网络攻击，逾40万数据泄露

恶意软件

• 新型Medusa银行木马变种——Medusa Reborn

• 利用Microsoft Word文档传播Remcos（RAT）远程访问木马

勒索软件

• 美国美联储系统被勒索攻击，33TB敏感数据面临泄露风险

• P2PInfect僵尸网络针对Redis服务器发动新型勒索软件攻击

APT攻击

APT组织Andariel使用Xctdoor恶意软件对韩国展开攻击

近期，韩国安全厂商ASEC揭露了一起针对韩国国内公司的网络攻击事件，攻击者利用名为Xctdoor的恶意软件，通过滥用国内ERP解决方案进行攻击。这一事件引起了业界的广泛关注，因为它不仅暴露了企业在网络安全方面的脆弱性，也揭示了攻击者日益复杂的攻击手段。攻击行动是由不明身份的攻击者发起的，他们通过精心策划的渗透手段成功入侵了目标公司的系统。据分析，攻击者锁定了目标公司使用的特定ERP解决方案的更新服务器作为其攻击的切入点。通过这种策略，攻击者不仅能够利用ERP系统的更新机制，还能将其作为进一步控制和操纵公司内部网络的支点，从而在不被察觉的情况下深入公司的信息系统，为后续的恶意活动打下基础。这种攻击手段表明攻击者具有高度的技术能力和对目标系统架构的深刻理解。在另一次攻击中，攻击者利用了一个易受攻击的Web服务器，通过它分发恶意软件。目标主要集中在国防公司和制造业，这些行业对国家安全和经济具有重要意义。Xctdoor恶意软件与Andariel Group过去使用的Rifdoor后门有相似之处，后者是Lazarus Group的一个子群，自2015年11月首次被发现以来一直活跃。Xctdoor的开发者在开发过程中使用了“XctMain”等关键字，最终的后门被归类为Xctdoor。这种恶意软件以DLL格式存在，可以通过Regsvr32.exe进程运行，并且是用Go语言开发的。当Xctdoor被执行时，它会将自己注入到多个系统进程中，并在本地路径下复制自身，创建快捷方式以实现持久性。它还具备多种恶意功能，包括但不限于屏幕截图捕获、键盘记录、剪贴板记录和信息窃取，以及执行攻击者的命令。Xctdoor使用HTTP协议与C&C服务器通信，并通过Mersenne Twister算法和Base64算法对数据包进行加密，增加了分析和追踪的难度。ASEC的研究人员还发现了XcLoader，这是一种注入器恶意软件，负责将Xctdoor注入正常进程。XcLoader是用Go语言开发的，并在这次攻击中首次被发现。它能够将恶意软件注入到Explorer进程，甚至选择“sihost.exe”进程进行注入。XcLoader还负责将日志写入特定路径，这表明Web服务器已被攻击者接管。这次攻击的复杂性和针对性表明，攻击者具有高度的技术和资源。ASEC建议用户和企业提高警惕，避免打开未知来源的电子邮件附件或下载可疑文件。

图 1 攻击示意图

参考链接：

https://asec.ahnlab.com/ko/67034/

SneakyChef 间谍组织利用SugarGh0st恶意软件针对政府机构展开攻击

网络安全厂商Cisco Talos揭露了一起由名为SneakyChef的间谍组织发起的网络攻击活动。该组织自2023年8月起，使用名为SugarGh0st的远程访问木马（RAT），对包括亚洲和EMEA（欧洲、中东和非洲）地区在内的多个国家的政府机构进行了针对性的网络攻击。SneakyChef组织此次攻击的目标范围广泛，与以往主要针对韩国和乌兹别克斯坦的情况相比，其攻击范围明显扩大。该组织使用的诱饵是扫描的政府机构文件，大多数与各国外交部或大使馆有关。除了 Talos在去年11月披露的两种感染链外，研究人员还发现了另一种使用SFX RAR 文件传递SugarGh0st的感染链。Cisco Talos以中等信心评估，SneakyChef操作者很可能是讲中文的，这一判断基于他们的语言偏好、使用的Gh0st RAT变种以及特定的目标选择，包括多国外交部和其他政府实体。Talos还发现了另一种名为“SpiceRAT”的远程访问木马在此次攻击活动中被使用。此次攻击活动中，SneakyChef组织使用了多种诱饵文件，包括模仿安哥拉外交部、土库曼斯坦和哈萨克斯坦外交部、印度外交部以及沙特阿拉伯王国驻阿布扎比大使馆的官方文件。此外，还有针对南非、中亚、中东和南亚国家的诱饵文件，内容涉及债务调解会议、法律法令、官方假期公告、护照申请表格以及与美国关系有关的事件列表等。

图 2 攻击示意图

参考链接：

https://blog.talosintelligence.com/sneakychef-sugarghost-rat/

揭秘APT-C-56（透明部落）利用Linux桌面文件的攻击手法

APT-C-56，也被称为透明部落、APT36、ProjectM或C-Major，是一个以南亚为基地的高级持续性威胁组织，以印度及其周边国家为主要攻击目标。该组织擅长利用社会工程学进行精准的鱼叉式攻击，并且具备多平台攻击能力，包括开发了针对Windows系统的专属木马CrimsonRAT。最近，360高级威胁研究院发现透明部落组织通过Linux桌面应用分发恶意载荷的攻击活动，这种分发方式在以往的攻击中较为罕见。攻击者诱导用户在Linux环境下执行desktop文件，该文件是Linux系统中用于定义应用程序启动器的快捷方式。一旦执行，desktop文件会下载并打开诱饵文件，同时下载执行一个名为Poseidon的ELF恶意样本，该样本是使用Golang编写的，属于Mythic框架下的一部分。这个恶意样本能够实现持久化，通过创建隐藏目录、脚本和cron任务来维持其在系统上的活动。Poseidon组件的功能强大，包括键盘记录、文件上传下载、端口扫描、屏幕捕获、内存执行、远程管理和命令执行等。它在执行时会收集并发送当前IP、进程名、进程PID、主机名、操作系统版本和UUID等信息到指定的C2服务器地址149.248.51.25，然后等待服务器的进一步指令。360高级威胁研究院在去年8月份也捕获到了使用相同攻击方式的恶意样本，样本同样由印度地区上传，显示透明部落组织持续对印度进行定向攻击。通过对攻击活动的深入分析，研究人员认为这次攻击符合透明部落组织的行为模式，包括使用Poseidon组件、增加xgb库进行通信、以及使用特定的命名方式来伪装成合法应用程序。透明部落组织主要针对印度的军事和政府人员，鉴于Linux系统在印度政府中的广泛使用，预计该组织将继续开发针对Linux系统的攻击工具。为了防范此类攻击，用户需要提高安全意识，避免执行未知样本或点击不明链接，以防止系统被攻陷和重要信息的泄露。

图 3 攻击示意图

参考链接：

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247498775&idx=1&sn=36a98dfabbd6f751faa53747b586cbb9&chksm=f9c1cf1eceb64608ff28360d3c62a3d6a5d9b2006f24e28a1588612cb69d4e6acdb758d30de6#rd

攻击活动

全球120多起恶意活动瞄准Android设备

在全球网络安全领域，一个新出现的威胁正在迅速蔓延。Check Point Research的最新研究揭示了Rafel RAT——一款开源的Android远程管理工具（RAT）正被多个威胁行为者用于发起针对Android设备的攻击。这一发现引起了国际社会的广泛关注，因为Rafel RAT的利用不仅表明了网络间谍活动的复杂性，也暴露了全球Android设备的安全漏洞。Rafel RAT以其强大的远程访问、监视、数据泄露和持久性机制等功能，成为了网络间谍和犯罪分子进行隐蔽操作和渗透高价值目标的理想工具。Check Point研究人员发现，包括APT-C-35 / DoNot Team在内的多个网络间谍组织正在使用Rafel RAT，这进一步证明了该工具在不同威胁行为者中的广泛适用性和有效性。在对Rafel RAT的分析中，Check Point观察到大约120个不同的恶意活动正在利用这一工具，成功针对了包括军事部门在内的高知名度组织。受害者遍布全球，其中大多数来自美国、中国和印度尼西亚。此外，大多数受害者使用的是三星、小米、Vivo和华为等品牌的Android设备，且超过87%的受害者使用的是不再支持的Android版本，这些版本不再接收安全更新，使设备面临更高的风险。Rafel RAT的恶意软件通过冒充Instagram、WhatsApp、电子商务平台、反病毒程序等广泛认可的应用，以合法实体的伪装进行传播。它在后台运行，生成带有欺骗性标签的通知，同时启动内部服务来管理C2通信。Rafel RAT主要使用HTTP(S)进行C2通信，但也可以通过Discord API与C2基础设施联系，使用基于PHP的C2面板远程控制被入侵的设备。Check Point Research还识别了一个由所谓的伊朗人发起的勒索软件活动，攻击者通过短信发送了用阿拉伯语写成的勒索信，指示巴基斯坦的受害者通过Telegram与他们联系。这一活动进一步证实了Rafel RAT在不同网络犯罪活动中的多样化应用。

参考链接：

https://securityaffairs.com/164844/breaking-news/multiple-threat-actors-used-rafel-rat.html

CopyCop利用假新闻网站和生成式人工智能影响即将到来的美国总统选举

在当前的数字时代，信息战已成为国家间较量的新战场。最近，一个名为CopyCop的俄罗斯关联威胁行为组织被发现正在利用假新闻网站和生成性人工智能，试图影响即将到来的美国总统选举。Recorded Future的Insikt Group研究人员的最新报告揭露了这一活动。CopyCop组织很可能与俄罗斯政府保持一致，并被创建用来大规模传播被操纵的政治内容。该网络最初于5月被报道，当时主要针对法国、乌克兰和欧盟的政治领导人。随着11月美国总统选举的临近，CopyCop将其焦点缩小至美国，特别是针对前总统唐纳德·特朗普和现任总统乔·拜登。该团体突出了拜登在演讲中的错误，并批评了拜登政府未能遏制通货膨胀。相比之下，它对特朗普的批评较少，淡化了他在封口费审判中的定罪，并声称这将不会影响选举。为了快速创建被操纵的政治主题内容，CopyCop可能从其他媒体机构——主要是倾向于美国保守派的新闻组织或与俄罗斯国有媒体有关联的媒体——抓取文章，然后使用生成性AI进行剽窃。CopyCop还扩展了其使用AI生成不真实记者人物形象的范围，用于其文章的作者档案。研究人员在CopyCop于5月创建的120个新网站上发现了超过1000个不同的作者档案和描述。Recorded Future表示：“AI生成的影响内容允许像CopyCop这样的影响行为者快速洗白针对2024年美国总统选举的新兴叙述，并模糊其起源，使得将影响行动归因于外国对手变得更加困难。”鉴于今年使用AI破坏全球选举的威胁，美国司法部副部长丽莎·莫纳科最近表示，司法部“将保持警惕，防止外国对手滥用AI加速在线仇恨和虚假信息，模仿可信赖的信息来源，并扩散深度伪造。”CopyCop只是许多俄罗斯关联的影响网络之一，这些网络试图传播关于美国选举、乌克兰战争或格鲁吉亚抗议等热门政治话题的误导性叙述。本月早些时候，研究人员发现了一个名为Doppelgänger的俄罗斯关联恶意网络在社交媒体平台X上针对美国用户开展的活动，目的是诋毁由一项威胁当地媒体独立的不受欢迎法律引发的格鲁吉亚抗议。一些与俄罗斯有关联的影响团体在社交媒体上相互促进对方的内容。

参考链接：

https://therecord.media/russia-linked-threat-actors-disinfo-trump

Apple XNU内核漏洞CVE-2024-27815被披露，POC代码发布

近日，一位安全研究人员公布了一个影响Apple XNU内核的严重漏洞（CVE-2024-27815）的详细信息和概念验证（PoC）代码。该漏洞可能被利用来以内核权限执行任意代码，给用户的设备安全带来重大威胁。该漏洞首次出现在随macOS 14.0和iOS 17.0发布的XNU内核版本xnu-10002.1.13中。MIT CSAIL的Joseph Ravichandran报告了这一问题，指出该漏洞影响使用CONFIG_MBUF_MCACHE编译的内核。Ravichandran已在macOS 14.2、14.3和14.4 的 X86_64构建版本上验证了该漏洞的存在。漏洞的根本原因在于内核处理消息缓冲区（mbuf）的方式。消息缓冲区由一个固定大小的头部和数据部分组成。在受影响的内核中，消息缓冲区的总大小（_MSIZE）为256字节，其中头部占用32字节，留下224字节（MLEN）用于数据部分。漏洞由sbconcat_mbufs函数中的错误的边界检查触发。具体来说，该函数中使用的宏仅在_MSIZE小于一个字节时才发出边界检查，而不是使用MLEN，即数据实际可用空间的长度。这种疏忽允许攻击者将最多255字节的数据写入长度仅为224字节的消息缓冲区数据字段，导致缓冲区溢出。Apple的安全公告指出，“应用程序可能能够以内核权限执行任意代码。”如果被利用，这种越界写入问题可以为攻击者提供在内核级别执行任意代码的能力，可能导致整个系统被完全破坏。Apple已在随macOS 14.5、iOS 17.5和visionOS 1.2发布的XNU内核版本 xnu-10063.121.3中解决了这一漏洞。修复措施包括正确比较MLEN而不是 _MSIZE到UINT8_MAX。这确保了边界检查得到正确执行，防止了溢出。编译器可以在常量MLEN总是大于UINT8_MAX时优化此检查，确保了安全性，因为CASSERT 保证了sa_len最多为255。对技术细节感兴趣的人士，可以通过Joseph Ravichandran和MIT CSAIL提供的资源，找到CVE-2024-27815的概念验证（PoC）利用代码和进一步分析。

参考链接：

https://securityonline.info/cve-2024-27815-apple-xnu-kernel-vulnerability-uncovered-poc-code-released/

数据泄露

伦敦医院遭受严重网络攻击，400GB敏感数据被泄露

伦敦一家医院最近成为一起严重网络攻击的目标，黑客公布了高达400GB的敏感数据，这一事件在医疗保健领域引起了极大的警觉。此次数据泄露不仅侵犯了患者隐私，还对医院运营造成了重大干扰，凸显了网络犯罪分子对关键基础设施，尤其是公共卫生服务构成的日益严重的威胁。据信，这次攻击是由一个复杂的黑客组织发起的，他们渗透了医院的IT系统，窃取了大量数据，并最终将其在线发布。被泄露的数据据报包括病患记录、内部通信和运营细节，给医院带来了严重的隐私风险和运营挑战。网络犯罪分子最初要求支付巨额赎金以解密被盗数据，并威胁说如果不支付就将其公之于众。当医院管理层根据政府反对支付赎金的政策拒绝屈服时，黑客兑现了他们的威胁，将数据发布到了公共领域。这一行为不仅侵犯了患者隐私，还导致了医院运营的严重中断。专家警告说，由于数据的敏感性质和对运营连续性的关键需求，医疗保健部门正日益成为勒索软件攻击的主要目标。此次事件再次突显了医疗保健机构迫切需要加强网络安全措施的必要性。公共医疗保健提供者通常运行着复杂的IT系统，预算有限，使它们成为网络攻击的脆弱目标。此类违规行为的后果影响深远，不仅影响目标机构，还影响依赖其服务的患者。为了应对这次违规，医院加强了其网络安全协议，与网络安全专家和执法机构密切合作，以减轻损害并防止未来事件的发生。同时，也在努力支持受影响的患者，确保他们的数据安全，并在违规发生后提供必要的帮助。这一事件是对医疗提供者所面临的持续和不断演变的威胁形势的严峻提醒。它强调了对网络安全基础设施进行持续投资的必要性，以及实施积极措施以保护敏感数据免受潜在违规行为的侵害。

参考链接：

https://www.cysecurity.news/2024/06/massive-data-breach-hits-london.html

美国德克萨斯教育组织遭网络攻击，逾40万数据泄露

美国德克萨斯州专业教育工作者协会（Association of Texas Professional Educators，简称ATPE）近期遭受了一起网络攻击，导致大量敏感信息数据泄露。该组织在上周发出了数据泄露通知，警告此次攻击暴露了涉及其成员、员工及其家属的个人信息。ATPE于6月14日向监管机构提交的文件显示，此次事件影响了426,280人。ATPE代表着德克萨斯州近100,000名教师、行政人员和公共教育工作者。在这次网络攻击中，所有受影响人员的社会保险号码、出生日期和地址都被泄露。该攻击于2月12日被发现。对于ATPE的员工而言，数据泄露还包括了护照号码、驾驶执照号码、财务信息和医疗记录。在2021年5月15日之前加入的成员的税务识别号码也在攻击中被泄露。从ATPE接收付款的成员的财务信息也可能已经泄露。该组织表示，在2月份发现其网络上有“可疑活动”，并立即断开了所有访问权限。对此次攻击的调查于3月20日结束，ATPE于4月12日发布了事件通知。直到6月3日，ATPE才有了一个最终的名单，列出了所有黑客在事件中访问的系统上拥有数据的人员。受害者将获得为期12个月的身份保护服务。此次事件发生在加州学校行政人员协会警告54,682人受到2023年9月勒索软件攻击的几周后，那次攻击同样暴露了社会保险号码、地址和姓名。

参考链接：

https://therecord.media/texas-atpe-educators-data-breach-notification

恶意软件

新型Medusa银行木马变种——Medusa Reborn

Cleafy实验室的威胁情报团队在2024年05月发现了一种新型银行木马——Medusa Reborn。这一发现标志着恶意软件领域的一次重大进化，为全球网络安全带来了新的挑战。Medusa Reborn是Medusa银行木马家族的新变种，它继承了原家族的复杂性和危险性，同时引入了新的技术和策略。Medusa最初于2020年被发现，以其远程访问木马（RAT）能力而闻名，能够执行键盘记录、屏幕控制和短信读写等操作，为威胁行为者提供了执行设备上欺诈（ODF）的能力。Cleafy实验室的研究人员在对一款名为“4K Sports”的应用程序进行分析时，发现了与Medusa家族相似的行为模式。然而，深入分析揭示了这一新变种在命令结构和整体能力上的显著变化，包括对权限的精简和新功能的引入，如全屏覆盖显示和远程卸载应用程序等。Medusa Reborn的僵尸网络操作显示了对地理目标的明显调整，除了已知的土耳其和西班牙，新的目标国家包括法国和意大利。这种地理扩张表明恶意软件作者有意多样化其受害者群体并扩大其攻击范围。此外，威胁行为者开始使用“投放器”通过假冒的更新程序来分发恶意软件，这一策略的变化可能预示着未来通过官方应用商店进行更广泛分布的可能性。这种轻量级的方法使得恶意软件在初步分析中更不显眼，可能绕过自动化安全检查和手动检查，从而降低检测率，延长其潜伏期。

参考链接：

https://www.cleafy.com/cleafy-labs/medusa-reborn-a-new-compact-variant-discovered

利用Microsoft Word文档传播Remcos（RAT）远程访问木马

近期，X-Labs安全团队在对网络威胁的持续监控中，发现了一个利用 Microsoft Word文档传播Remcos（RAT）远程访问木马的新型攻击活动。这份名为FAKTURA.docx的文档，通过一个精心设计的缩短URL，将用户引向一个恶意的下载链，该链最终导致Remcos RAT的部署。Remcos RAT是一种恶意软件，为攻击者提供了对受感染系统完全的控制权，使其能够进行数据盗窃、间谍活动等恶意行为。此木马的传播机制揭示了网络攻击者如何利用Office文件作为载体，通过社会工程技术诱导用户下载并执行恶意代码。该攻击活动始于一封电子邮件，其中包含一个设计用来欺骗收件人的.docx附件。该文档利用了 CVE-2017-0199漏洞，通过一个缩短的URL重定向至下载Equation Editor恶意软件的一个变种，该变种以RTF格式存在。利用Equation Editor的漏洞，攻击者试图下载一个由大量连接的变量和字符串组成的VB脚本，这些字符串可能经过编码或混淆，形成了一个编码的有效载荷。进一步的分析显示，该脚本解混淆后，形成了一个PowerShell代码，该代码尝试通过隐写的图像和反向Base64编码的字符串下载恶意二进制文件。虽然攻击者进行了C2通信，但我们观察到的TCP重连表明C2服务器可能不可用。攻击链中还包括一个用户模式rootkit，它使攻击者的恶意进程和文件能够隐藏在安全工具的视线之外。此外，攻击者还使用了一种混淆技术，通过Base64编码和字符串反转，增加了恶意有效载荷的隐蔽性。

参考链接：

https://www.forcepoint.com/blog/x-labs/url-shortener-microsoft-word-remcos-rat-trojan

勒索软件

美国美联储系统被勒索攻击，33TB敏感数据面临泄露风险

在全球网络安全领域，一个前所未有的威胁正在成为现实。Lockbit勒索软件集团近日宣布，他们已经成功入侵了美国联邦储备系统，并窃取了高达33TB的敏感数据，这一消息立即引起了国际社会的广泛关注和担忧。Lockbit勒索软件集团在其Tor数据泄露网站上添加了联邦储备作为受害者，并威胁称将于2024年6月25日UTC时间20:27:10公开泄露被盗数据。该组织声称，这些数据包含了“美国人的银行秘密”，并挑衅性地要求联邦储备在48小时内更换谈判代表，并贬低了对方对美国银行保密性的估值。然而，许多专家对此表示怀疑。作为高知名度的目标，联邦储备系统的安全防护措施应该是极为严密的，数据泄露可能会产生严重的后果。许多人认为，该组织的声明可能只是为了吸引注意力。与此同时，联邦调查局在6月初通知LockBit勒索软件的受害者，他们已经获得了7000多个LockBit解密密钥，这些密钥可能允许一些受害者解密他们的数据。联邦调查局正在邀请LockBit勒索软件的受害者站出来，因为他们已经获得了7000多个LockBit解密密钥，这可能允许他们免费恢复加密的数据。Lockbit被认为是与俄罗斯有联系的勒索软件组织，它已经攻击了包括小型企业、跨国公司、医院、学校、非营利组织、关键基础设施以及政府和执法机构在内的各种类型的组织。一些著名的目标包括泰雷兹集团、加拿大多伦多儿童医院和中国工商银行的美国子公司。如果Lockbit勒索美国联邦储备的报道属实，这无疑将加剧俄罗斯和美国之间的紧张关系。上周晚些时候，拜登政府禁止使用卡巴斯基杀毒软件，随后将12名卡巴斯基高管列入特别指定国民名单。同样在5月7日，财政部起诉了Dimity Yuryevich Khoroshev，声称他是LockBit背后的主谋。Morgan Wright，SentinelOne的首席安全顾问，以及SC Media的专栏作家，表示今天的新闻与其他俄罗斯攻击一致，这些攻击通常是对感知或实际行动的报复。Wright指出，2015年12月23日的BlackEnergy攻击是对乌克兰在2014年12月23日投票加入北约的报复。尽管Lockbit的基础设施被执法部门查封，所谓的领导人Khoroshev也被揭露，但该组织似乎仍在继续其活动。

图 4 Lockbit组织信息公示

参考链接：

https://mp.weixin.qq.com/s/wmHOzbCsY4AAWsniHaT21Q

P2PInfect僵尸网络针对Redis服务器发动新型勒索软件攻击

P2PInfect僵尸网络在沉寂一段时间后，携带勒索软件模块和加密货币挖矿机，针对Redis服务器发动了攻击。这一行为不仅暴露了Redis服务器的安全漏洞，也给网络安全防护工作敲响了警钟。P2PInfect僵尸网络最初于2023年7月被发现，当时它利用Redis服务器的已知漏洞进行传播，但其背后的动机一直不明确。随后几个月，该僵尸网络的活动量显著增加，尽管其在被入侵系统中并未执行恶意操作，但其真正的意图和操作目标始终笼罩在神秘之中。然而，2023 年12月，P2PInfect出现了新变种，这次它将目标对准了路由器和物联网设备中的32位MIPS处理器。进入2024年5月，P2PInfect进一步升级其攻击手段，开始向受感染的设备发送下载和运行勒索软件有效载荷的命令。该勒索软件模块能够加密数据库、文档和媒体文件，并且会在文件系统中留下勒索信，要求受害者支付赎金以换取数据的解锁。值得注意的是，P2PInfect还激活了之前休眠的 Monero加密货币挖矿机，该挖矿机在主有效载荷启动五分钟后开始全力运作，利用所有可用的计算资源进行挖矿，这不仅给受害者带来了直接的经济损失，还可能导致设备性能下降。此外，P2PInfect引入了一种新的用户模式 rootkit，使其能够隐藏恶意进程和文件，避免被安全工具检测到，这种隐蔽性极大地增加了网络安全防护的难度。尽管目前尚不清楚P2PInfect是否被多个网络犯罪分子租用，或是被一个核心团队操作，但其对Redis服务器构成的威胁已经非常明确。这一事件提醒所有使用Redis服务器的组织和个人，必须立即加强网络安全防护措施，防止数据被破坏和计算资源被非法利用。

参考链接：

https://www.bleepingcomputer.com/news/security/p2pinfect-botnet-targets-redis-servers-with-new-ransomware-module/

原文始发于微信公众号（白泽安全实验室）：APT组织Andariel使用Xctdoor恶意软件对韩国展开攻击——每周威胁情报动态第181期（06.21-06.27）