德勤遭勒索攻击，被窃取机密数据超1TB面临严重威胁

Cleafy威胁情报和响应（TIR）团队最新揭露了DroidBot，一种复杂的Android远程访问木马（RAT），与土耳其恶意软件即服务（MaaS）操作有关。

DroidBot正在进行针对欧洲银行机构、加密货币交易所和国家组织的积极活动，移动恶意软件威胁显著升级。该恶意软件目前针对英国、意大利、法国、西班牙和葡萄牙等国家的77个实体，有迹象表明其正在扩展到拉丁美洲。

DroidBot于2024年6月首次被发现，它结合了高级功能，包括隐藏的VNC、覆盖攻击和类似间谍软件的键盘记录，使其成为设备欺诈的强大工具。它采用双通道通信，使用MQTT传输出站数据，使用HTTPS传输入站命令，确保灵活性和弹性。

DroidBot通过社会工程策略分发，伪装成合法的安全或银行应用程序。滥用Android无障碍服务来执行恶意操作，包括：

键盘记录：捕获敏感输入，例如登录凭据。覆盖攻击：在合法应用程序上显示虚假登录页面以收集凭据。类似VNC的例程：为攻击者提供设备活动的连续屏幕截图。远程控制：使攻击者能够模拟用户交互并操纵设备。

2024年12月6日，据央视报道：近日，山东济宁曲阜警方摧毁一个利用制作、安装木马程序等手段，盗窃网民游戏账号及虚拟装备的犯罪链条，涉案金额高达三千多万元。

办案民警在嫌疑人的电脑里发现了大量的各类游戏登录缓存，这些缓存，就是不法分子用来侵入他人游戏账号的“登录态”数据。游戏玩家在登录个人游戏账号输入登录密码及验证的时候，游戏后台会自动返回一个响应数据，这个响应数据就叫‘登录态’。它被游戏后台认定为默认直接登录状态。

犯罪嫌疑人之间分工明确、层级复杂，他们有的负责编写、制作黑客程序和盗号木马程序，有的负责盗取、倒卖“登录态”数据和游戏账号，还有专门负责向网吧电脑里安装木马程序，被称为“内鬼”的网络科技公司员工，形成一个完整的犯罪链条

此案涉及罪名比较多，分别涉及了侵犯公民个人信息罪、非法侵入计算机信息系统罪、帮助信息网络犯罪活动罪等六种罪名。

近日，美国一名19岁少年因涉嫌与网络犯罪组织Scattered Spider合作遭到检方起诉。据称，该男子试图通过利用电信公司系统的访问权限向数百万用户发送钓鱼短信的方式窃取加密货币。同时，他通过访问该公司的电话和短信管理系统，对特定客户实施精准攻击。此外，他还入侵了一家美国金融机构，通过欺骗员工的方式获得账户权限，并窃取敏感金融数据。报道称，该男子的攻击行为造成电信公司与金融机构共计损失400万美元（约 2909.9 万元人民币）。

19 岁的雷明顿・奥格尔特里（Remington Ogletree）涉嫌攻击两家电信公司和一家美国金融机构，窃取数据和客户虚拟货币，造成 400 万美元损失。他被认为与“Scattered Spider”黑客组织合作，该组织此前被曝与攻击米高梅国际度假村、凯撒娱乐公司等知名企业有关。

奥格尔特里利用对电信公司系统的访问权限向数百万用户发送钓鱼短信，试图窃取加密货币。他还被指控访问了电话和短信管理系统，针对特定客户实施精准攻击。

据称，奥格尔特里欺骗一家欧洲电信公司的美国员工，获取账户权限后伪造短信，向850万用户发送了钓鱼链接。这些短信假装来自加密货币交易所或视频游戏公司，诱骗用户点击。除电信公司外，他还涉嫌入侵一家美国金融机构，通过欺骗 12 名员工获得账户权限，窃取敏感金融数据。

黑客利用新的 GodLoader 恶意软件，广泛使用 Godot 游戏引擎功能，在短短三个月内逃避检测并感染了 17,000 多个系统。

Check Point Research 在调查攻击时发现，威胁者可以使用此恶意软件加载程序来针对所有主要平台（包括 Windows、macOS、Linux、Android 和 iOS）的游戏玩家。它还利用 Godot 的灵活性及其 GDScript 脚本语言功能来执行任意代码，并使用游戏引擎 .pck 文件（打包游戏资产）绕过检测系统来嵌入有害脚本。

一旦加载，恶意制作的文件就会触发受害者设备上的恶意代码，使攻击者能够窃取凭据或下载其他有效负载，包括 XMRig 加密矿工。

该矿工恶意软件的配置托管在 5 月份上传的私人 Pastebin 文件中，该文件在整个活动期间被访问了 206,913 次。 

至少自 2024 年 6 月 29 日起，网络犯罪分子一直在利用 Godot Engine 执行精心设计的 GDScript 代码，从而触发恶意命令并传播恶意软件。VirusTotal 上的大多数防病毒工具仍未检测到这种技术，可能仅在短短的时间内就感染了超过 17,000 台计算机。

国际刑警组织（Interpol）发布新闻稿，宣布他们与全球 40 个国家和地区的执法机构展开合作，于今年 7 月至 11 月开展了“Operation Haechi-V”专项网络诈骗打击行动，逮捕了超过 5500 名犯罪嫌疑人，并查获超过 4 亿美元（约 29.09 亿元人民币）的不法所得。

此次行动重点针对七种通过互联网实施的诈骗行为展开打击，包括电话诈骗钓鱼（vishing）、交友诈骗、情色诈骗、虚假投资、非法赌局、虚假邮件诈骗（BEC）以及虚假网购平台诈骗。

国际刑警组织提到，他们与在中国大陆 / 韩国当地警方联手，破获了一个大型电话诈骗钓鱼团伙，相关犯罪组织已经造成 1900 多人受害，当事人经济损失总计高达 11 亿美元（约 80.01 亿元人民币），两地执法部门在行动中抓获 27 人，其中 19 人已被正式起诉。

据Cyber Security News消息，臭名昭著的勒索软件组织 Brain Cipher 近日声称入侵了世界四大会计师事务所之一德勤，并从中窃取了1TB的压缩数据。

Brain Cipher是一家成立于 2024 年 6 月的新型勒索软件组织，因对全球组织的网络攻击而迅速”走红“。在针对印度尼西亚的攻击中，该组织曾让200多个政府机构的服务中断。

根据Brain Cipher 发出的声明，这次攻击暴露了德勤英国公司网络安全基础设施中的关键漏洞。他们计划发布有关此次数据窃取的详细信息，包括德勤涉嫌违反安全协议的证据、德勤与客户的合同协议、有关公司监控系统和安全工具的详细信息以及一些数据样例。

近期，江苏常州检察机关披露一起案件：当地不少老人机没有开通任何手机增值业务，却被自动订购增值服务，每月秘密扣取资费。警方接到报案后调查发现，这些老人机均被不法分子通过一款代码远程控制了。

初步统计显示，全国竟有98万部手机遭遇莫名扣费情况，金额高达500多万元。

犯罪嫌疑人在网上购买了一款手机增值服务代码，只要将这套代码植入功能机中，再通过服务器远程发出指令，就可以偷偷扣取用户话费。

欧盟网络安全局（ENISA）于12月3日发布了首份《欧盟网络安全状况报告》，揭示了2023年7月至2024年6月期间欧盟面临的网络安全威胁。报告指出，欧盟实体在此期间面临的网络威胁级别为"实质性"，这意味着欧盟实体可能直接成为威胁行为者的目标，或可能通过最近发现的漏洞遭受攻击。

报告强调，在此期间，网络攻击呈现明显升级趋势，攻击的种类、数量和后果都创下新高。ENISA预警，未来欧盟机构、机构和机关（EUIBA）可能因网络攻击而遭受严重中断，这已成为一种现实可能性。拒绝服务（DoS）和勒索软件攻击是目前最常报告的攻击形式，占观察到事件的一半以上，其次是针对数据的威胁。

报告还指出了几个值得关注的趋势：黑客行动主义活动增加且变得更加不可预测：勒索软件仍然是对欧盟成员国影响最大的威胁，呈现出从加密转向数据窃取、针对中小企业、双重勒索成为常态等趋势；针对欧盟成员国和EUIBA的网络间谍活动持续存在；黑客雇佣服务的兴起令人担忧。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外

本文版权归原作者所有，如有侵权请联系我们及时删除