2024年前2个月发生了多起引人注目的攻击事件。勒索软件如LockBit、HomuWitch等仍是威胁源,而新的变种如PyPI软件包和SSH-Snake恶意软件也在不断涌现。此外,间谍软件如Pegasus和Anatsa木马也在全球范围内肆虐,针对特定目标如记者和企业进行攻击。这些攻击往往利用现有的IT基础设施、软件漏洞和用户疏忽,绕过安全防护,对个人和企业造成重大损失。
针对这些威胁,国际执法行动和安全研究人员在不断努力。例如,代号“克罗诺斯行动”的国际执法行动成功破坏了LockBit勒索软件的运作,而研究人员则利用漏洞解密了HomuWitch勒索软件。然而,随着攻击手段的升级,解密器也时常被重建或破坏。
同时,新的恶意软件如Migo和CommandoCat也在涌现,针对Redis服务器和暴露的目标进行挖矿和攻击活动。这些软件利用隐蔽手段进行攻击,增加了防范的难度。
总体而言,网络安全形势依然严峻。企业和个人需要加强安全意识,及时更新软件和修复漏洞,并采取有效的防护措施。同时,国际社会也需要加强合作,共同应对网络安全威胁。只有这样,才能有效减少这些恶意攻击造成的损失。下面是2024年2月主要的恶意软件及勒索软件相关动态情报信息:
1.1研究人员利用漏洞解密HomuWitch勒索软件
https://decoded.avast.io/threatresearch/decrypted-homuwitch-ransomware/
HomuWitch 是一种勒索软件最初出现于 2023 年 7 月。与当前大多数勒索软件病毒不同,HomuWitch 的目标目标是最终用户(个人),而不是机构和公司。它的流行率并不是特别高,所要求的赎金金额也不是很大,这使得该恶意软件迄今为止一直处于相对低调的状态。在调查威胁过程中,研究人员发现了一个漏洞,该漏洞能够为所有 HomuWitch受害者创建免费解密工具。现在公开共享此工具,以帮助受影响的个人免费解密文件。
1.2LockBit勒索组织发布声明并重建泄露网站
https://www.govinfosecurity.com/ransomware-operation-lockbit-reestablishes-dark-web-leak-site-a-24442
LockBit 团伙正在新的基础设施上重新启动勒索软件操作,并威胁将更多的攻击集中在政府部门。俄语勒索软件组织 LockBit 周六下午重新建立了一个暗网泄露网站,并发布了一篇显然是由其领导人撰写的长文,声称不会退出地下犯罪世界。LockBit 领导人在一封长信中表示,FBI 似乎利用了 Web 脚本语言 PHP 中的一个漏洞(编号为CVE-2023-3824)来渗透勒索软件即服务操作的服务器。2 月 19 日,当局拆除了 LockBit 的基础设施,其中包括托管数据泄露网站及其镜像的 34 台服务器、从受害者窃取的数据、加密货币地址、解密密钥以及附属面板。攻击发生后,该团伙立即确认了此次泄露,称他们只丢失了运行 PHP 的服务器,没有 PHP 的备份系统未受影响。
1.LockBit勒索软件秘密构建下一代加密器
https://www.trendmicro.com/en_us/research/24/b/lockbit-attempts-to-stay-afloat-with-a-new-version.html
研究人员发现LockBit 勒索软件开发人员正在秘密构建新版本的文件加密恶意软件,称为 LockBit-NG-Dev,很可能成为 LockBit 4.0,虽然以前的 LockBit 恶意软件是用 C/C++ 构建的,但最新的示例是用 .NET 编写的正在进行的工作,似乎是使用 CoreRT 编译的,并使用 MPRESS 打包。该版本似乎处于最后的开发阶段,已经提供了大部分预期功能功能。研究人员发布了对该恶意软件的深入技术分析,揭示了 LockBit-NG-Dev 的完整配置参数。
2.Lockbit勒索软件被国际执法行动重创,解密器已发布
https://securityaffairs.com/159388/cyber-crime/operation-cronos-against-lockbit.html
国际执法行动控制了他们的基础设施,获取了他们的源代码,并获得了帮助受害者解密他们系统的密钥。Lockbit 勒索软件的免费解密器可以从"No More Ransom"下载。
3.代号“克罗诺斯行动”的国际执法行动破坏了LockBit勒索软件
https://securityaffairs.com/159360/cyber-crime/operation-cronos-disrupted-lockbit-operation.html
来自 11 个国家的执法机构开展的代号为“克罗诺斯行动”的联合执法行动扰乱了LockBit 勒索软件的运作。
1.3 Lucifer僵尸网络新变种针对Apache进行攻击
https://www.aquasec.com/blog/lucifer-ddos-botnet-malware-is-targeting-apache-big-data-stack/
威胁行为者正在针对运行 Apache Hadoop 和 Apache Druid 大数据技术以及新版本 Lucifer 僵尸网络的组织,Lucifer 僵尸网络是一种已知的恶意软件工具,结合了加密劫持和分布式拒绝服务 (DDoS) 功能。该活动采用了著名的 DDoS 僵尸网络的新变体,该变体专注于易受攻击的 Linux 系统,将其转变为门罗币加密挖矿机器人,称为 Lucifer 恶意软件,研究人员深入研究攻击者如何利用漏洞和错误配置来发起攻击活动,说明攻击活动的各个阶段,并强调在整个操作过程中观察到的差异。
1.4 FBI 通缉犯 Zeus 和 IcedID 恶意软件主谋认罪
https://thehackernews.com/2024/02/fbis-most-wanted-zeus-and-icedid.html
一名乌克兰公民在美国承认自己在 2009 年 5 月至 2021 年 2 月期间参与了两个不同的恶意软件计划(Zeus 和 IcedID)。IcedID 恶意软件团伙头目 Zeus 认罪,面临 40 年监禁
1.5朝鲜黑客利用恶意 npm 软件包瞄准开发人员
https://thehackernews.com/2024/02/north-korean-hackers-targeting.html
这些恶意软件包包含能够从网络浏览器窃取凭据、下载其他有害脚本以及与已知的朝鲜威胁行为者建立连接的脚本。
1.6 Akira勒索软件集团声称攻击Quik金融服务公司
https://thecyberexpress.com/quik-pawn-shop-cyberattack
Quik Pawn Shops 成立于 1978 年,该公司提供一系列金融服务,包括典当贷款、产权贷款、现金垫款、分期贷款和支票兑现,一直是许多需要快速金融解决方案的人值得信赖的资源。Akira 勒索软件组织声称对暗网上的 Quik Pawn Shop 网络攻击负责,Quik Pawn Shop 于 2024 年 2 月 22 日发生网络攻击,导致 Quik Pawn Shop 陷入数据泄露的后果之中。此次攻击背后的网络犯罪分子声称从 Quik Pawn Shop 的系统中获取了 140 GB 的文件,以及包含大量客户信息的数据库。这些数据包括数百万条记录,其中包含出生日期、地址、社会安全号码和金融交易历史等敏感详细信息。
1.7Knight勒索软件源代码在黑客论坛出售
https://www.bleepingcomputer.com/news/security/knight-ransomware-source-code-for-sale-after-leak-site-shuts-down/
Knight勒索组织的一名代表正在黑客论坛上向单个买家出售所谓的 Knight 勒索软件第三次迭代的源代码。Knight 勒索软件于 2023 年 7 月末作为 Cyclops 操作的重新命名推出,针对 Windows、macOS 和 Linux/ESXi 系统。帖子中表示:“出售 Knight 3.0 勒索软件的源代码,这将包括面板和储物柜的源代码,所有源代码均由 Glong C++拥有并编写。”威胁行为者没有具体说明价格,但强调源代码只会出售给单个买家,以保留其作为私人工具的价值。
1.8新曝光的恶意PyPI软件包使用隐蔽侧载手段进行攻击
https://thehackernews.com/2024/02/new-malicious-pypi-packages-caught.html
ReversingLabs的研究员Petar Kirhmajer在与《黑客新闻》分享的报告中表示:“最新发现的案例展示了一个开源包执行DLL侧加载的情形,这表明软件供应链威胁的范围正在不断扩大。”
1.9新的Migo恶意软件针对Redis服务器开展挖矿活动
https://www.cadosecurity.com/migo-a-redis-miner-with-novel-system-weakening-techniques/
研究人员最近遇到了一种针对 Redis 进行初始访问的新型恶意软件活动。虽然 Redis 对于 Linux 和云攻击者的利用并不陌生,但这次特殊的攻击活动涉及使用许多新颖的系统削弱技术来攻击数据存储本身。该恶意软件被开发人员命名为 Migo,是一种 Golang ELF 二进制文件,具有编译时混淆功能并能够在 Linux 机器上持久存在。旨在破坏 Redis 服务器,以便在底层 Linux 主机上挖掘加密货币。研究人员对该恶意软件进行深度分析。
1.10研究人员发现攻击者利用PyPI旁加载恶意DLL
https://www.reversinglabs.com/blog/attackers-leverage-pypi-to-sideload-malicious-dlls
网络安全研究人员在Python包索引 (PyPI) 存储库中发现了两个恶意包,这些包利用一种称为DLL 侧面加载的技术来规避安全软件的检测并运行恶意代码。这些名为NP6HelperHttptest和NP6HelperHttper 的软件包在被删除之前分别被下载了537 次和166 次。研究人员表示:“最新发现是由开源包执行的 DLL 侧载示例,这表明软件供应链威胁的范围正在扩大。”研究人员对这两个软件包的发现方式,以及对开发团队和最终用户的主要影响进行详细阐述。
1.11SSH-Snake恶意软件窃取SSH密钥并在网络中传播
https://sysdig.com/blog/ssh-snake/
研究团队发现了对 2024 年 1 月 4 日发布的名为SSH-Snake的新网络映射工具的恶意使用。SSH -Snake是一种自我修改蠕虫,它利用在受感染系统上发现的 SSH 凭据来启动在整个网络中传播。该蠕虫会自动搜索已知的凭据位置和 shell 历史文件以确定其下一步行动。当前SSH-Snake 被威胁行为者积极用于攻击行动。 SSH-Snake 活动可以通过运行时威胁检测工具来识别,例如 Sysdig Secure 或Open Source Falco。研究人员提取几条可用于检测此威胁的Falco规则。
1.12VietCredCare窃取者瞄准越南Facebook广告商
https://www.group-ib.com/blog/vietcredcare-stealer/
至少从 2022 年 8 月起,越南的 Facebook 广告商就成为了一个名为VietCredCare 的未知信息窃取者的目标。研究人员表示,该恶意软件“因其能够自动过滤掉从受感染设备窃取的 Facebook 会话 cookie 和凭据,并评估这些帐户是否管理业务资料以及是否保持正元广告信用余额而闻名”。当前大量著名的越南公共和私营部门组织面临受到损害的风险。VietCredCare 泄露了9 个越南政府机构、12 个省市的国家公共服务门户、65所大学、4 个电子商务平台、21 家银行、12 家越南主要企业以及大量用户的凭据。个人和企业社交媒体帐户,研究人员对此进行披露。
1.13波兰新总理称前任政府非法使用间谍软件 Pegasus
https://apnews.com/article/poland-government-pegasus-spyware-tusk-duda-78420fc7099401926d28b5be98669192
去年 12 月就任波兰总理的公民纲领党主席 Donald Tusk 上周表示,他有文件证明前任政府非法使用了间谍软件 Pegasus。
1.14NCA联合国际执法行动破坏LockBit设施并发布解密密钥
https://www.nationalcrimeagency.gov.uk/news/nca-leads-international-investigation-targeting-worlds-most-harmful-ransomware-group
美国国家犯罪局于2 月 20 日公布了针对世界上危害最大的网络犯罪组织 LockBit 的国际破坏活动的详细信息。在渗透到该组织的网络后,NCA 已经控制了 LockBit 的服务,从而损害了他们的整个犯罪事业。LockBit 已经运行四年了,该组织向全球黑客或“附属机构”网络提供勒索软件即服务,为他们提供实施攻击所需的工具和基础设施。LockBit 勒索软件攻击针对包括英国在内的全球数千名受害者,并造成数十亿英镑、美元和欧元的损失。该网站现在将托管一系列公开 LockBit 的能力和运营的信息,NCA 将在一周内每天发布这些信息。
1.15CACTUS勒索软件团伙声称施耐德电气窃取了1.5TB 数据
https://securityaffairs.com/159353/hacking/cactus-ransomware-gang-schneider-electric.html
Cactus 勒索软件团伙声称从能源管理和工业自动化公司施耐德电气窃取了 1.5TB 的数据。这次攻击影响了施耐德电气资源顾问云平台的服务,导致服务中断。施耐德电气表示,公司其他部门并未受到网络攻击的影响。
1.16RansomHouse利用新工具MrAgent自动执行网络攻击
https://www.trellix.com/blogs/research/ransomhouse-am-see/
RansomHouse 勒索软件操作创建了一个名为“MrAgent”的新工具,可以跨多个 VMware ESXi 虚拟机管理程序自动部署其数据加密器。RansomHouse是一种勒索软件即服务 (RaaS) 操作,于 2021 年 12 月出现,采用双重勒索策略。该组织被发现使用一种名为 Mario ESXi 的独特勒索软件变体以及 MrAgent,针对基于 Windows 和 Linux 的系统。该勒索软件与 Babuk 共享代码,这在逆向两个样本时变得显而易见。鉴于 Babuk 的源代码泄露,泄露的勒索软件系列的“分叉”和/或衍生版本的出现只是时间问题。
1.17 SpyNote安卓间谍软件冒充合法加密钱包窃取资金
https://www.hackread.com/spynote-android-spyware-legit-crypto-wallets
研究人员最新研究显示,Android 间谍软件 SpyNote 开发人员现在正在考虑加密货币,不仅仅是凭证间谍,还可以启动加密货币传输。研究人员指出,Spynote 是一种臭名昭著的远程访问木马 ( RAT ),现在通过滥用Accessibility API 瞄准“著名的加密钱包”。该 API 的工作是自动执行 UI 操作,例如记录设备解锁手势,主要对残障人士有帮助。恶意代码滥用Accessibility API 自动填写表格并将加密货币转移给网络犯罪分子。它读取并记住目标钱包地址和金额,并将其替换为攻击者的加密钱包地址
1.18Kryptina RaaS勒索工具从付费服务变为公开可用
https://www.sentinelone.com/blog/kryptina-raas-from-underground-commodity-to-open-source-threat/
过去五年多来,勒索软件攻击激增的关键驱动因素之一是勒索软件即服务模式的发展和扩散,这种模式为网络犯罪分子提供易于使用、低成本的工具,开展和管理勒索软件活动。研究人员最近观察到的 Kryptina Raas 是一个专用的 Linux 攻击框架,它为该模型添加了新的变化:从付费服务转变为公开可用的工具。。本文探讨了 Kryptina RaaS 的发展、技术细节和影响及其向开源犯罪软件的发展,并深入探讨防御者需要了解哪些知识来防范最新的 Linux 勒索软件以及开源威胁对组织造成的危险。
1.19Anatsa木马绕过Google Play检测并扩大影响范围
https://www.threatfabric.com/blogs/anatsa-trojan-returns-targeting-europe-and-expanding-its-reach
近期研究人员发现名为Anatsa的 Android 银行木马已将其关注范围扩大到斯洛伐克、斯洛文尼亚和捷克。一份报告中表示:“尽管 Google Play 增强了检测和保护机制,但该活动中的一些植入程序仍成功利用了无障碍服务。 ”,该活动总共涉及 5 个植入程序,总安装量超过 100,000 次。Anatsa 也被称为 TeaBot 和 Toddler,Anatsa 的活动可以归类为“有针对性”的,这些应用程序通常会进入“热门新免费”类别中的前三名,从而提高了它们的可信度并降低了潜在受害者的警惕性,同时增加了成功渗透的机会。
1.20攻击者利用Ivanti漏洞在670多个IT基础设施上安装后门
https://thehackernews.com/2024/02/ivanti-vulnerability-exploited-to.html
攻击者正在利用最近披露的影响 Ivanti Connect Secure、Policy Secure 和 ZTA 网关的安全漏洞,在易受影响的设备上部署代号为DSLog 的后门。研究人员表示在公开发布概念验证 (PoC) 代码后的几个小时内,就观察到了 CVE-2024-21893 的利用情况。DSLog 植入程序有自己的技巧来阻碍分析和检测,包括为每个设备嵌入一个唯一的哈希值,从而使得无法使用该哈希值来联系另一台设备上的相同后门。攻击者向设备发出的 HTTP 请求中的User-Agent 标头字段提供相同的哈希值,以允许恶意软件从名为“cdi”的查询参数中提取要执行的命令。然后以 root 用户身份运行解码后的指令。
1.21研究人员破解Rhysida勒索软件并免费发布解密工具
https://arxiv.org/abs/2402.06440
研究人员对 2023 年下半年造成重大损害的 Rhysida 勒索软件进行了调查,并提出了一种解密方法。Rhysida与另一个名为 Vice Society 的勒索软件团队有重叠,利用一种称为双重勒索的策略,通过威胁公布被盗数据来向受害者施加压力,迫使其付款。Rhysida 勒索软件采用安全随机数生成器来生成加密密钥,然后对数据进行加密。然而,该勒索软件存在一个实现漏洞,使能够在感染时重新生成随机数生成器的内部状态。研究人员使用重新生成的随机数生成器成功解密了数据。据知,这是 Rhysida 勒索软件首次成功解密。该研究也是继Magniber v2、Ragnar Locker、Avaddon和Hive之后,利用勒索软件中的实现漏洞实现数据解密的最新研究。
1.22黑客利用Google Cloud Run传播多款银行木马
https://blog.talosintelligence.com/google-cloud-run-abuse/
Google Cloud Run是 Google 提供的一项服务,使客户能够构建和部署位于 Google Cloud 中的 Web 服务。研究人员发现自 2023 年 9 月以来,利用 Google Cloud Run 服务向潜在受害者感染银行木马的恶意电子邮件数量显着增加。最近观察到的一些最大数量的活动被用来向主要位于拉丁美洲国家的受害者传送Astaroth、Mekotio和Ousaban银行木马。目前的 Astaroth 变体针对 15 个拉丁美洲国家的 300 多家机构。此外,还观察到所有三个恶意软件系列都是在同一时间范围内从 Google Cloud 内的同一存储桶传送的,研究人员对整体攻击链进行分析。
1.23Meta警告8家间谍软件公司针对 iOS/安卓和Windows 设备
https://thehackernews.com/2024/02/meta-warns-of-8-spyware-firms-targeting.html
Meta Platforms 表示,它采取了一系列措施来遏制来自意大利、西班牙和阿拉伯联合酋长国 (UAE) 的八家不同公司的恶意活动,这些公司从事租赁监控行业。该公司表示:“他们的各种恶意软件包括收集和访问设备信息、位置、照片和媒体、联系人、日历、电子邮件、短信、社交媒体和消息应用程序,以及启用麦克风、摄像头和屏幕截图功能的功能。”这八家公司是 Cy4Gate/ELT Group、RCS Labs、IPS Intelligence、Variston IT、TrueL IT、Protect Electronic Systems、Negg Group 和 Mollitiam Industries。
1.24 2023 年教育行业勒索软件攻击激增 92%
https://www.freebuf.com/articles/network/390823.html
2023 年是教育行业有记录以来勒索威胁最严重的一年。根据ThreatDown 的数据,教育行业遭到的勒索攻击在过去的一年中激增 70%。从 2022 年的 129 起事件,增加到 2023 年的 265 起。
1.25恶意脚本SNS Sender滥用AWS进行批量短信攻击
https://www.sentinelone.com/labs/sns-sender-active-campaigns-unleash-messaging-spam-through-the-cloud/
一种名为SNS Sender 的恶意 Python 脚本被宣传为威胁行为者通过滥用 Amazon Web Services (AWS) 简单通知服务 ( SNS ) 发送批量短信的一种方式。短信网络钓鱼消息旨在传播恶意链接,这些链接旨在捕获受害者的个人身份信息 (PII) 和支付卡详细信息,研究人员将其归因于名为 ARDUINO_DAS 的威胁行为者。SNS Sender 也是在野观察到的第一个利用 AWS SNS 进行 SMS 垃圾邮件攻击的工具。当前发现了ARDUINO_DAS 与 150 多个待售网络钓鱼套件之间的联系。
1.26 Pegasus间谍软件攻击约旦记者等活动人士iPhone设备
https://www.accessnow.org/press-release/pegasus-spyware-jordan/
根据 Access Now 和 Citizen Lab 的联合调查结果,约旦近三成记者、活动人士、人权律师和民间社会成员的 iPhone 已成为 NSO Group 的 Pegasus 间谍软件的目标。35 人中有 9 人已被公开确认为攻击目标,受害者的设备受到了监控软件工具的攻击。NSO 集团表示:“从技术上来说,Pegasus 不可能添加、更改、删除或以其他方式操纵目标移动设备上的数据,或者执行除查看和/或提取某些数据之外的任何其他活动。”尽管做出了这些保证,但针对约旦民间社会成员的侵入性间谍软件攻击凸显了与该公司声称相悖的持续滥用模式。
1.27网络犯罪分子利用PDF传播WikiLoader等恶意软件
https://www.infosecurity-magazine.com/news/pdf-malware-on-the-rise
研究人员发现随着网络犯罪分子通过 PDF 传播恶意软件(包括 WikiLoader、Ursnif 和 DarkGate),PDF 威胁呈上升趋势。与同年第一季度相比,2023 年第四季度 PDF 威胁增加了 7%。它指出,以前 PDF 诱饵曾被用来通过网络钓鱼获取受害者的凭据和财务详细信息。现在恶意软件正在通过这些文档传播。研究人员表示,一个值得注意的例子是WikiLoader 活动使用虚假包裹递送 PDF 来诱骗用户安装 Ursnif 恶意软件。用于加剧攻击的广告工具,并列举多个攻击案例说明具体危害。
1.28Meta警告8家间谍软件公司针对iOS等设备
https://thehackernews.com/2024/02/meta-warns-of-8-spyware-firms-targeting.html
Meta Platforms 表示,它采取了一系列措施来遏制来自意大利、西班牙和阿拉伯联合酋长国 (UAE) 的八家不同公司的恶意活动,这些公司从事租赁监控行业。这些调查结果是其2023 年第四季度对抗威胁报告的一部分。该间谍软件针对 iOS、Android 和 Windows 设备。该公司表示:“他们的各种恶意软件包括收集和访问设备信息、位置、照片和媒体、联系人、日历、电子邮件、短信、社交媒体和消息应用程序,以及启用麦克风、摄像头和屏幕截图功能的功能。”
1.29 Glupteba僵尸网络利用未记录的UEFI Bootkit逃避检测
https://unit42.paloaltonetworks.com/glupteba-malware-uefi-bootkit/
研究人员发现Glupteba 僵尸网络包含了之前未记录的统一可扩展固件接口 ( UEFI ) bootkit 功能,为恶意软件增加了另一层复杂性和隐蔽性。这个 bootkit 可以干预和控制 [操作系统] 启动过程,使 Glupteba 能够隐藏自身并创建一种极难检测和删除的隐秘持久性。Glupteba 是一个功能齐全的信息窃取程序和后门,能够促进非法加密货币挖掘并在受感染的主机上部署代理组件。它利用比特币区块链作为备份命令和控制 (C2) 系统,使其能够适应网络攻击。其他一些功能允许它提供额外的有效负载、虹吸凭证和信用卡数据、执行广告欺诈,甚至利用路由器来获取凭证和远程管理访问权限。
1.30RAT恶意软件伪装成赌博相关内容进行传播
https://asec.ahnlab.com/ko/61250/
研究人员发现RAT恶意软件正在伪装成非法赌博相关文件进行传播。与上个月发布的 VenomRAT 分发方法相同,它通过快捷方式(.lnk)文件进行分发,并直接从 HTA 下载 RAT 恶意软件。确认分发的快捷方式文件包含恶意Powershell命令,并运行MSHTA下载恶意脚本。已确认的诱饵文件还包含与赌博网站相关的信息,并包括一些用户的个人信息。
1.31后门激活恶意软件在macOS应用程序中泛滥
https://www.sentinelone.com/blog/backdoor-activator-malware-running-rife-through-torrents-of-macos-apps/
Activator macOS 后门背后的威胁参与者正在使用盗版应用程序来分发恶意软件,这可能是僵尸网络构建操作。此次活动不同之处在于其庞大的规模和新颖的多级有效负载传输技术。另外值得注意的是,威胁行为者使用破解的 macOS 应用程序,这些应用程序的标题可能是企业用户感兴趣的,因此不限制用户下载内容的组织也可能面临风险。
1.32DarkGate恶意软件利用Microsoft Teams进行分发
https://cyware.com/news/darkgate-malware-delivered-via-microsoft-teams-f7b25750
研究人员发现了一次网络钓鱼攻击,该攻击利用 Microsoft Teams 聊天组将 DarkGate 恶意软件推送到受害者的系统上。攻击者使用名为 .onmicrosoft.com 的域发送网络钓鱼消息,诱骗用户下载欺骗性文件。据研究人员称,攻击者利用受感染的域发送了 1000 多个恶意 Teams 群聊邀请。一旦收件人接受聊天请求,攻击者就会说服他们下载带有欺骗性双扩展名的文件:“Navigating Future Changes October 2023.pdf.msi”。随后将触发恶意软件的下载,研究人员指出,攻击成功是因为用户默认启用了 Microsoft Teams 用户中的外部访问,以便向其他租户中的用户发送消息。
1.33与印度有关的黑客利用间谍软件进行定向攻击
https://therecord.media/india-linked-hackers-target-pakistan-with-spyware
研究人员发现疑似印度国家资助的黑客利用爱情骗局来引诱巴基斯坦的受害者安装恶意应用程序,从而用间谍恶意软件感染他们的设备。该组织名为 Patchwork,创建了至少 12 个恶意 Android 应用程序,包括 MeetMe、Let's Chat、Quick Chat 和 Rafaqat,并通过 Google Play 和其他平台分发这些应用程序。据统计这些应用程序被下载了 1,400 多次,目前已被谷歌标记为恶意并删除。一些黑客的受害者位于马来西亚和印度,但研究人员认为这些用户意外下载了这些应用程序,因为 Patchwork很可能是针对巴基斯坦的用户。
1.34新型恶意软件CommandoCat定向攻击暴露的Docker API端点
https://thehackernews.com/2024/02/exposed-docker-apis-under-attack-in.html
研究人员发现一种名为“Commando Cat”的新型恶意软件活动,其目标是暴露的 Docker API 端点。Commando Cat 是一个加密劫持活动,利用 Docker 作为初始访问向量,并(ab)使用该服务挂载主机的文件系统,然后直接在主机上运行一系列相互依赖的有效负载。这些负载负责注册持久性、启用后门、泄露各种云服务提供商凭证文件并执行矿工本身,该恶意软件展示的许多规避技术,包括不寻常的进程隐藏机制。该组织有可能是众多模仿 TeamTNT 工作的组织之一。
1.35DarkGate 恶意软件正在通过微软群聊进行大肆传播
https://www.bleepingcomputer.com/news/security/microsoft-teams-phishing-pushes-darkgate-malware-via-group-chats/
AT&T Cybersecurity 的研究显示,有一种新的网络钓鱼攻击通过 Microsoft Teams 群组聊天请求推送恶意附件,从而在受害者系统中安装 DarkGate 恶意软件。
1.36江森自控称勒索软件攻击已造成 2700 万美元损失
https://www.freebuf.com/news/391141.html
据BleepingComputer 消息,江森自控国际公司 (Johnson Controls International) 确认,2023 年 9 月的一次勒索软件攻击给该公司造成了至少2700 万美元的损失,并导致了数据泄露。
1.37研究人员发现新的大规模恐吓软件和 PUP 传播活动
Unit 42 研究人员发现了一个我们称之为 ApateWeb 的大规模活动,该活动使用超过 130,000 个域的网络来传播恐吓软件、隐匿垃圾程序 (PUP) 和其他诈骗页面。在这些 PUP 中,发现了多个广告软件程序,包括流氓浏览器和不同的浏览器扩展。
1.38意大利多个企业受到USB传播加密劫持恶意软件攻击
https://www.mandiant.com/resources/blog/unc4990-evolution-usb-malware
一个名为UNC4990的威胁行为体,出于经济动机正在利用武器化 USB 设备作为初始感染媒介攻击意大利的多个组织。这些攻击针对多个行业,包括医疗、交通、建筑和物流。UNC4990 操作通常涉及广泛的 USB 感染,然后部署EMPTYSPACE 下载程序。攻击操作集群依赖 GitHub、Vimeo 和 Ars Technica 等第三方网站来托管编码的附加阶段,并在执行链的早期通过PowerShell 下载和解码。目前尚不清楚 UNC4990的最终目标,其中在一个案例中部署了开源加密货币挖矿程序。
1.39巴西联邦调查局捣毁Grandoreiro银行木马
https://www.gov.br/pf/pt-br/assuntos/noticias/2024/01/pf-combate-organizacao-criminosa-que-praticava-fraudes-bancarias-eletronicas-contra-vitimas-no-exterior
Grandoreiro是 Javali、Melcoz、Casabeniero、Mekotio 和 Vadokrist等众多拉丁美洲银行木马之一,主要针对西班牙、墨西哥、巴西和阿根廷等国家。该木马自 2017 年以来一直活跃,其既可以通过键盘记录器和屏幕截图窃取数据,也可以在受感染的受害者访问威胁行为者预先确定的目标银行网站时从覆盖层窃取银行登录信息。还可以显示虚假的弹出窗口并阻止受害者的屏幕。巴西执法行动逮捕了几名负责Grandoreiro恶意软件的巴西运营商。
1.40因受害者拒绝支付,勒索软件的赎金支付率降历史最低
https://www.bleepingcomputer.com/news/security/ransomware-payments-drop-to-record-low-as-victims-refuse-to-pay/
Coveware研究发现,即便在遭受网络攻击且数据被盗的情况下,上一季度的赎金支付率也仅为26%。不仅支付勒索软件赎金的受害者数量减少,实际支付的赎金金额也有所下降。
1.41攻击者滥用Microsoft Teams群聊传播DarkGate恶意软件
https://cybersecurity.att.com/blogs/security-essentials/darkgate-malware-delivered-via-microsoft-teams-detection-and-response
新的网络钓鱼攻击滥用 Microsoft Teams 群聊请求来推送恶意附件,在受害者的系统上安装 DarkGate 恶意软件负载。攻击者使用看似受感染的 Teams 用户(或域)发送了 1000 多个恶意 Teams 群聊邀请。目标接受聊天请求后,威胁行为者会诱骗他们使用名为“Navigating Future Changes October 2023.pdf.msi”的双扩展名下载文件,这是一种常见的 DarkGate 策略。安装后,该恶意软件将访问其位于 hgfdytrywq[.]com 的命令和控制服务器,该服务器已确认为 DarkGate 恶意软件基础设施的一部分。
1.42研究人员披露Trigona与Mimic勒索软件背后为同一攻击者
https://asec.ahnlab.com/en/61000/
研究人员最近发现了Trigona勒索软件威胁行为者同时安装Mimic 勒索软件的一项新活动。与过去的案例一样,最近检测到的攻击以 MS-SQL 服务器为目标,并因在恶意软件安装过程中利用MS-SQL 服务器中的批量复制程序 (BCP)实用程序而引人注目。Trigona 勒索软件已知至少自 2022 年 6 月以来一直活跃,通常针对 MS-SQL 服务器进行攻击,并且仍然处于活动状态。Mimic勒索软件首次发现于2022年6月,2024年1 月,研究人员发现威胁行为者同样了攻击管理不善的MS-SQL服务器并安装Mimic的案例。因此,研究人员认为 Trigona 勒索软件与 Mimic 勒索软件攻击的背后是同一攻击者。
1.43美国卫生与公众服务部 (HHS) 达成第二次勒索软件和解
https://www.cybersecuritydive.com/news/hhs-ransomware-settlement/708236/
在勒索软件攻击泄露了 14,000 多人的健康信息后,美国卫生与公众服务部 (HHS) 与 Green Ridge Behavioral Health 达成和解。
1.44俄罗斯政府软件被植入后门并部署Konni RAT
https://medium.com/@DCSO_CyTec/to-russia-with-love-assessing-a-konni-backdoored-suspected-russian-consular-software-installer-ce618ea4b8f3
研究人员发现俄罗斯外交部领事司 (MID) 可能使用的工具安装程序已被植入后门,可传播名为Konni RAT(又名UpDog)的远程访问木马。研究人员将此次活动与源自朝鲜民主主义人民共和国 (DPRK) 的针对俄罗斯的关联行为者联系起来。Konni(又名 Opal Sleet、Osmium 或TA406)活动集群有针对俄罗斯实体部署 Konni RAT的既定模式,至少自 2021 年 10 月以来,威胁行为者还与针对 MID 的攻击有关。本文将评估俄罗斯后门安装程序及其可能的影响,记录观察到的 KONNI 变体的功能,并将这一发现纳入历史上与朝鲜有关的间谍活动和针对俄罗斯实体的 KONNI 使用的大背景中。
1.45研究人员发现针对石油和天然气行业新的恶意活动
https://cofense.com/blog/new-maas-infostealer-malware-campaign-targeting-oil-gas-sector/
研究人员正在跟踪一项高级活动,该活动已成功实现攻击石油和天然气行业的预期目标。该活动提供了一种不常见但先进的恶意软件即服务信息窃取程序,即Rhadamanthys Stealer。在执法部门取缔 LockBit 勒索软件组织(最活跃的勒索软件即服务 (RaaS) 之一)后的几天内,这种新的高级网络钓鱼活动采用了最近更新的恶意软件即服务 (MaaS)。该恶意软件家族最近在黑市上出现重大更新,这可能是在如此高级的活动中看到如此陌生的家族的原因。截至目前,存在大量网络钓鱼电子邮件,这些电子邮件采用多种已知的策略、技术和程序来帮助绕过安全电子邮件网关来传播恶意软件。
1.46伊朗黑客利用新的BASICSTAR后门瞄准中东政策专家
https://www.hackread.com/tictactoe-dropper-steals-data-windows-threats/
研究人员发现名为 Charming Kitten 的伊朗裔威胁行为者通过创建一个虚假的网络研讨会门户,通过名为BASICSTAR的新后门,与一系列针对中东政策专家的新攻击有关。Charming Kitten,也称为 APT35、CharmingCypress、Mint Sandstorm、TA453 和 Yellow Garuda,有着策划各种社会工程活动的历史,这些活动在其目标上撒下了广泛的网络,通常专门针对智囊团、非政府组织和记者。研究人员表示:“CharmingCypress经常采用不寻常的社交工程策略,例如在发送恶意内容链接之前通过电子邮件与目标进行长时间对话。 ”上个月,从事中东事务的知名人士已成为对手部署恶意软件的目标,例如 MischiefTut 和 MediaPl(又名 EYEGLASS),这些恶意软件能够从受感染的主机获取敏感信息。
原文始发于微信公众号(小兵搞安全):2024年2月恶意软件及勒索软件动态情报信息
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论