热点情报
APT攻击
Lazarus组织伪装为招聘人员攻击西班牙航空公司
技术洞察
新恶意软件BunnyLoader推出Maas功能
PurpleFox利用图片隐写术传递恶意代码
Lumma窃取程序和Zanubis银行木马新样本披露
多起钓鱼活动利用RMS远控工具获取主机访问权限
Qakbot攻击者通过钓鱼邮件传播Ransom Knight勒索软件
攻击者利用indeed.com重定向到微软365进行网络钓鱼活动
情报详情
Bing Chat聊天机器人被投放恶意广告
2023年4月,Microsoft披露了其新的人工智能辅助搜索引擎Bing Chat,该引擎由OpenAI的GPT-4提供支持。必应聊天是一个交互式文本和图像应用程序,可为在线搜索提供非常不同的体验。目前可以通过多种方式将广告插入到Bing聊天对话中。其中之一是当用户将鼠标悬停在链接上时,广告会首先显示在所有结果的最前面。用户虽然可以选择访问任一链接,但通常情况下第一个链接可能因其位置靠前而更有可能被点击,即使此链接旁边有一个小的“广告”标签,访问者也很容易错过并将链接作为常规搜索结果来点击查看。点击第一个链接后,用户将被带到一个网站mynetfolderip[.]CFD,其目的是过滤流量并将真正的受害者与机器人、沙盒或安全研究人员分开。它通过检查攻击者的IP地址、时区和各种其他系统设置来实现这一点。真实的访问者会被重定向到一个模仿官方的假冒网站,而其他人则被发送到诱饵页面。点击下一步继续执行时,脚本会访问外部IP地址65.21.119[.]59以获得额外的有效载荷。有效载核为假的MSI安装程序。MSI安装程序包含三个不同的文件,但只有一个是恶意的,并且是一个严重混淆的脚本。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=b256a6b4163c472dac64ab87cd032e20
LostTrust勒索软件:MetaEncryptor的重新演变
LostTrust勒索软件被认为是MetaEncryptor的重新演变,因为他们利用几乎相同的数据泄漏站点和加密器。LostTrust于2023年3月开始攻击活动,但直到9月份才广为人知。目前,其数据泄露网站列出了全球53名受害者,其中一些人的数据已经因为未支付赎金而被泄露。LostTrust团伙使用了与MetaEncryptor的数据泄漏网站相同的模板,他们的加密器几乎完全相同,只是对赎金记录、嵌入式公钥、赎金记录名称和加密文件扩展名进行了一些细微的更改。
LostTrust加密器使用两个可选的命令行参数启动,启动后,加密器将打开一个控制台,显示加密过程的当前状态;执行时,LostTrust将禁用并停止许多Windows服务,以确保所有文件都可以加密,包括含有Firebird、MSSQL、SQL、Exchange、wsbex、postgresql、BACKP、tomcat、SBS和SharePoint字符串的任何服务。加密器还将禁用和停止与Microsoft Exchange关联的其他服务,并将.losttrustencoding扩展名附加到加密文件的名称中,攻击者还将在设备中的每个文件夹中创建名为!LostTrustEncoded.txt的赎金票据。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=05d4d7f8f7934290801d4eefa7e77e04
数百个恶意Python包正被用于窃取Windows用户敏感数据
Checkmarx观察到,自2023年4月初以来,一个涉及通过各种用户名在Python开源平台上投放数百个信息窃取软件包的恶意活动持续活跃。据悉,攻击者所利用的恶意软件包经历了多次演变,从纯文本编写到添加加密机制,随后到多层混淆和二次反汇编,但均设计为在Windows系统上运行。目前,研究人员共发现272个用于从目标系统中窃取敏感数据的软件包,且这些软件包的下载量已高达75000次。其中,一个典型示例文件为"_init_py"。该文件仅在检查其在目标系统上运行时才加载,一旦启动,它就会针对受感染系统的以下信息进行检索:1)防病毒工具;2)任务列表、Wi-Fi密码和系统信息;3)Atomic和Exodus等加密货币钱包应用程序中的数据;4)Discord、电话号码、电子邮件地址和nitro状态;5)Minecraft和Roblox用户数据。此外,恶意软件还将截取屏幕截图并从受感染的系统中窃取单个文件,例如桌面、图片、文档、音乐、视频和下载目录。最终,攻击者将尝试把被盗数据上传到gofile.io和anonfiles.com等文件共享服务中。如果不成功,这些数据则会通过Telegram的机器人API URL进行泄露。值得注意的是,攻击者还会持续监控受害者的剪贴板以获取加密货币地址,并通过替换为攻击者的地址,以实现将付款资金转移到其控制的钱包中。据研究人员估计,该活动已窃取了约10万美元的加密货币。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=b369002f3e144dcea2b2dd7c4aaeffef
客户案例
CNCERT | 上海网信办 | 国家信息中心 | 国家电网
中国航信 | 中国电子技术标准化研究院 | 青岛税务局
河北省税务局 |中国银行 | 宁夏银行
国家信息技术安全研究中心 | 天津经开区 | ASTRI
华为 | 滴滴出行 | 吉视传媒 | OPPO | 长安汽车
河南电力 | 北京电力 | 浙江电力 | 中国移动
中国电信北京研究院 | 湖南广电 | Green Radar
北京电视台 | 天懋信息 | 核工业计算机应用研究所
上海观安 | 数梦工场 | 重庆银行 | 北京安态
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...