[0707] 一周重点威胁情报｜天际友盟情报站

热点情报

黑客利用谷歌搜索引擎投放恶意软件
Neo_Net针对全球金融机构客户开展攻击活动
西门子能源公司遭CI0p勒索软件攻击事件深度剖析
针对Windows用户的新型信息窃取程序Meduza Stealer揭秘
亲俄黑客NoName057(16)利用DDoS工具包DDoSia中断多国网站

APT攻击

MacOS后门RustBucket分析
BlackCat勒索软件造成大批数据泄露
疑似摩诃草组织武器库更新WarHawk后门
DNS TXT记录正被Hagga黑客组织用于传播恶意软件
黑客组织REF9135使用RUSTBUCKET新变种进行攻击
Charming Kitten组织持续更新POWERSTAR后门以进行间谍攻击

技术洞察

针对Linux系统的Rekoobe后门分析
针对美国律师事务所的GuLoader活动追踪
新型勒索软件Underground Team信息公开
针对漏洞研究者与红队人员的代码投毒攻击活动披露
攻击者利用广告伪装成美国邮政服务获取受害者银行凭据

情报详情

黑客利用谷歌搜索引擎投放恶意软件

近期，火绒监测到黑客利用谷歌搜索引擎传播恶意软件。黑客团伙主要针对海外中文用户，将伪造成官网的网站投放到搜索排名第一位，诱导用户下载。这些官网经过黑客的精心设计，大多使用中文，提供的软件也为中文版本。当用户运行恶意软件后，黑客可以执行任意命令。火绒表示，目前监测到的盗版恶意软件包含搜狗输入法、火狐浏览器、Lets VPN等。当用户安装运行盗版软件后，软件会使用白加黑的方式来对抗杀毒软件的查杀。其中，恶意程序会调用dll文件中的shellcode进行命令执行，部署后门，同时添加开机自启项目，进行权限维持。后门可根据C2服务器下发的指令来执行任意功能。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=08a404872f62498bb779ef0a2f54dff8

Neo_Net针对全球金融机构客户开展攻击活动

近期，SentinelOne发布了其举办的恶意软件研究挑战赛获胜者文章，披露了Neo_Net对全球知名银行的客户开展电子犯罪活动。Neo_Net从2021年6月到2023年4月开始活跃，已对全球超过50家金融机构发起了攻击，其中有30家总部位于西班牙和智利。目前Neo_Net的攻击已导致全球受害者的银行账户被盗超过350,000欧元，并已泄露了数千名受害者的个人身份信息。
Neo_Net采用复杂的多阶段攻击策略，首先通过其专有服务Ankarex在各地分发SMS网络钓鱼短信，短信发件人模仿正规金融机构，内容采用恐吓策略，如告知受害者账户被未经授权的设备访问，同时，短信还包含一个指向网络钓鱼页面的超链接，页面由Neo_Net的面板PRIV8精心设置，且具有多种防御措施，包括阻断来自非移动用户代理的请求以及对机器人和网络扫描行为隐藏页面。当受害者在页面中填写信息后，信息会通过Telegram Bot接口泄露到指定的聊天群组，攻击者则可以反复使用泄露数据。攻击者还会采用各种技术来规避银行应用程序常用的多重身份验证(MFA)机制，其中一种方法是诱骗受害者在Android设备上为其银行帐户安装所谓的安全应用程序。该应用程序是Android SMS间谍软件(别名SMS Eye)的变种，可以窃取设备上的短信，以此绕过账户的MFA。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=791c799d80964eda8b547a79bc9593d0

西门子能源公司遭CI0p勒索软件攻击事件深度剖析

近日，"西门子能源"公司遭遇了Cl0p勒索软件攻击，该软件利用MOVEit Transfer平台近期公开的SQL注入漏洞(CVE-2023-34362)窃取了该公司的数据。白泽网络安全实验室最近针对这一安全事件进行了深度剖析。
根据追踪，利用MOVEit服务的地域主要位于美国，且活动涉及的后门之一是human2.aspx。其允许攻击者执行以下操作：1)获取MOVEit Transfer中所有文件和用户列表；2)下载MOVEit Transfer中的任意文件；3)将管理后门用户插入MOVEit，并为攻击者提供活动会话，以绕过凭据验证。值得注意的是，这些后门程序自2023年5月28日被上传到公共服务站点，而5月29日则是美国"阵亡将士纪念日"。研究人员推测，攻击者似乎利用美国联邦假日无人值守或防御松懈的特点进行攻击。
CLOP(或Cl0p)则源自俄语单词"klop"，翻译为"臭虫"，于2019年2月首次被发现，隶属于CIyptoMix勒索软件家族，并由"FANCYCAT"组织创建和管理，在大规模鱼叉式网络钓鱼活动中被用作勒索软件即服务(RaaS)，从而传播到附属网络。该勒索软件在加密受害者的文件后将使用".clop"扩展名，并会在勒索字条中留下的字符串"Don't Worry C|0P"。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=700b164c48f448159517ea3ab04b83b7

针对Windows用户的新型信息窃取程序Meduza Stealer揭秘

最近，Uptycs在监控暗网论坛和Telegram频道时，发现了一种被称为"Meduza Stealer"的恶意软件。据称，该恶意软件由一位名为"Meduza"的神秘勒索组织制作，专门用于攻击Windows用户和组织，目前可针对十个特定国家(不包含独立国家联合体(CIS)和土库曼斯坦)。
不过，Meduza Stealer不是一种普通的勒索软件，其旨在窃取数据，并且仍处于积极开发中。Meduza Stealer除了可从19个密码管理器应用程序、76个加密钱包、95个网络浏览器、Discord、Steam和系统元数据中收集信息外，还会收集与矿工相关的Windows注册表项以及已安装的游戏列表数据，这表明了其更广泛的财务动机。
研究人员表示，Meduza Stealer目前在XSS和Exploit.in等地下论坛以及特定的Telegram频道上以定期订阅形式出售，每月费用为199美元，每季度费用为399美元，终身许可证费用为1199美元。同时由于Meduza Stealer可以逃避顶级防病毒软件的检测，加之其窃取的信息可通过友好的网络面板获取，使得其更受网络犯罪分子青睐，用户须多加小心。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=849a6a74b6de4dfbba9920532e6de2e6

亲俄黑客NoName057(16)利用DDoS工具包DDoSia中断多国网站

Sekoia近期发布了关于DDoS工具包DDoSia的最新分析报告。报告显示，更新版本的DDoSia基于Golang语言编写，并且添加了一种额外的安全机制来隐藏其从C2服务器传输到用户环境的攻击目标列表。同时，由于DDoSia已存在Python和Go两种版本，也使得其能够支持Windows、Linux和macOS系统等多平台使用。
其中，DDoSia归属于一个名为“NoName057(16)”的亲俄罗斯黑客组织，于2022年首次推出，衍生自Bobik僵尸网络恶意软件，是一种多线程应用程序，能够通过重复发出网络请求来对目标站点进行拒绝服务攻击。起初，DDoSia旨在针对主要位于欧洲、乌克兰、美国的政府机构、媒体和私营公司网站。不过目前，据Sekoia调查，在2023年5月8日至6月26日期间，最受影响的国家则涉及立陶宛、乌克兰、波兰等，受中断网站高达486个。此外，DDoSia主要通过Telegram进行分发，允许网络攻击者参与DDoS志愿者众包项目，以获取加密货币。截至2023年6月，NoName057(16)的主Telegram频道订阅者数量超过45000名，而DDoSia项目频道的用户数量也超过了10000名，可见其流行之广。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=f6f22e4f59324dbebe2daf3587622613