Cyber Av3ngers黑客组织宣称攻击以色列Dorad私人发电站——每周威胁情报动态第149期（10.20-10.26）

近日，Symantec的研究人员披露了具有伊朗背景的APT组织Crambus(又名OilRig、MuddyWater、APT34)在2023年2月至9月期间对中东政府进行了长达八个月的攻击活动。Crambus是一个长期运作的伊朗间谍组织，针对多个国家的目标开展行动，目标包括沙特阿拉伯、以色列、阿拉伯联合酋长国、伊拉克、约旦、黎巴嫩、科威特、卡塔尔、阿尔巴尼亚、美国和土耳其，攻击主要以情报收集为目的进行。在攻击过程中，攻击者窃取了大量文件和密码，并在一次攻击过程中部署了一个名为PowerExchange的PowerShell后门，用于监控由特定Exchange Server发送的邮件，使受害主机执行攻击者通过邮件传递的命令，并秘密地将结果转发给攻击者。研究人员发现有至少12台主机存在该种恶意活动，并且有证据表明攻击者在另外数十台主机上部署了后门和键盘记录程序。除了部署恶意软件之外，攻击者还经常使用公开的网络管理工具Plink在受感染的主机上配置端口转发规则，从而通过远程桌面协议(RDP)实现远程访问。此外，还有证据表明，攻击者通过修改Windows防火墙规则以启用远程访问服务。在最新的攻击活动中，Crambus部署了三个以前未被发现的恶意软件，以及PowerExchange后门，这是一个尚未归因于Crambus的已知后门。除了恶意软件之外，攻击者还使用了许多非本地合法工具，包括Backdoor.Tokel、Trojan.Dirps、Infostealer.Clipog等。Tokel能够执行任意PowerShell命令并下载文件。Dirps用于枚举目录中的所有文件并执行PowerShell命令。Clipog是一个信息窃取恶意软件，能够复制剪贴板数据、进行键盘记录。

Cyber Av3ngers黑客组织宣称攻击以色列Dorad私人发电站

近期，以色列和哈马斯之间的冲突已逐渐延伸到了数字领域。截止目前为止，已观察到了各种网络活动，包括DDoS攻击、信息战和黑客行动主义活动。2023年10月8日，Cyber Av3ngers黑客组织在其Telegram频道中发表声明称对以色列Dorad私人发电站所遭受的重大黑客攻击负责。据了解，该组织分享了涉嫌黑客攻击的照片，基于其频道徽标上的巴勒斯坦国旗颜色和政治信息，研究人员推断此次黑客攻击是为支持巴勒斯坦而实施。与此同时，Cyber Av3ngers还声明对Dorad网站进行了DDoS攻击，并提供了DDoS成功的证据，以此增加此次黑客攻击的可信度。经关联分析，Cyber Av3ngers还存在一个名称相似的组织，名为"Cyber Avengers"，该组织至少自2020年以来一直活跃，主要针对以色列负责运营关键基础设施的组织。不过，卡巴斯基的研究人员通过进一步分析Cyber Av3ngers所发布的数据，发现它疑似源自另一个名为Moses Staff的黑客组织于2022年6月所发布的泄密事件。值得一提的是，目前没有任何证据显示Cyber Av3ngers组织与Moses Staff存在关联。部分泄露数据对比图如下。

来源：

https://securelist.com/a-hack-in-hand-is-worth-two-in-the-bush/110794/

新英格兰生物实验室泄露敏感数据

新英格兰生物实验室(NEB)是一家生产和供应重组和天然酶试剂的公司，主要服务于生命科学研究领域。该公司在2023年9月18日被发现在公开的网络上暴露了两个环境文件(.env)，其中包含了许多敏感信息，如数据库凭证、SMTP服务器登录信息、企业支付处理信息等。这些文件都是用于生产环境的，意味着它们可能在实时场景中用于处理该公司加拿大分部的业务。研究人员在发现这一漏洞后，及时与NEB进行了沟通，并在10月5日之前将环境文件进行了保护，不再对外开放。这一泄露事件对NEB构成了严重的威胁，可能导致数据泄露、篡改、未经授权的访问、财务损失、声誉损害以及法律和合规问题。因此，网络管理员应该将.env文件放在不可访问的目录中，通常是根目录，并在手动设置、更新、配置后，检查文件是否仍然安全。

来源：

https://cybernews.com/security/new-england-biolabs-leak-sensitive-data/

密歇根大学遭黑客窃取员工和学生数据

2023年8月，密歇根大学的网络系统遭到了黑客的入侵，导致包括学生、申请者、校友、捐赠者、员工、病人和研究参与者在内的多个群体的个人、财务和医疗信息被泄露。黑客对服务器的非法访问持续了从8月23日到27日的四天时间，密歇根大学方面在一周后发现并披露了这一事件，并强制所有账户重置密码。大学还关闭了所有系统和在线服务，以防止进一步的损失。目前，大学正在与联邦调查局(FBI)合作，调查此次网络攻击的来源和影响，并为可能受到影响的个人提供免费的信用监控服务。该教育机构是美国历史最悠久、规模最大的教育机构之一，拥有超过30000名学术和行政人员以及约51000名学生。

来源：

https://publicaffairs.vpcomm.umich.edu/key-issues/august-2023-data-incident/

BbyStealer恶意软件针对VPN用户进行分发

近日，Cyble的研究人员发现，有一种恶意软件活动利用多个钓鱼域名，针对下载虚拟专用网络(VPN)Windows应用程序的用户。在这次活动中，下载的VPN应用程序被用来传播一种名为“BbyStealer”的信息窃取恶意软件。BbyStealer恶意软件最初于2022年初被报道。BbyStealer恶意软件旨在从各种网络浏览器和加密钱包扩展中收集敏感信息，并将窃取的信息发送到远程服务器。此外，它还在受害者的系统上执行剪贴板操作。研究人员自10月初以来就发现了许多以VPN应用程序命名的RAR文件上传到VirusTotal。这些文件被用来将BbyStealer恶意软件分发到用户的系统中。

来源：

https://cyble.com/blog/bbystealer-malware-resurfaces-sets-sights-on-vpn-users/

Autoitstealer通过torrent网站盗版程序感染数十万用户

近期，Ptsecurity安全人员发现一个感染了大量用户的恶意信息窃取软件，并将其命名为Autoitstealer。Autoitstealer主要通过torrent客户端渗透用户的主机。用户通过客户端下载的程序主要来自于topsoft[.]space网站。topsoft[.]space网站于2022年注册于乌克兰。用户从该网站下载的程序将携带恶意组件。用户安装程序时，恶意组件将开始运行。组件由许多单独的程序组成，其中大部分是编译后的AutoIt脚本，另外还用Themida加壳程序进行了混淆。程序运行后，将获取主机信息、检查主机环境、通过计划任务建立持久性、安装 RMS 客户端、创建本地用户John并将其添加到管理员组中、限制当前用户和系统用户对特定文件夹进行访问、禁用Windows Defender组件、安装XMRig挖矿软件等。随后程序将窃取主机上的各类信息。目前，安全人员在164个国家/地区发现了超过250,000台受感染的设备，其中主要感染国家有俄罗斯、乌克兰、白俄罗斯等。大多数受害者是非企业用户，他们将非法软件下载到他们的家庭计算机上。然而，也有许多受害者在政府实体、教育机构、石油和天然气公司、医疗设施、建筑、采矿、零售和IT公司等从事工作。

来源：

https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/a-pirated-program-downloaded-from-a-torrent-site-infected-hundreds-of-thousands-of-users/

Enchant Android恶意软件针对中国加密货币用户

近日，Cyble的研究人员发现了一个名为Enchant的Android恶意软件，该恶意软件旨在获取私钥、钱包地址、钱包密码和资产详细信息等关键信息，使毫无戒心的用户容易遭受重大损失。该软件主要通过虚假成人网站传播，当用户访问网站并点击下载按钮时，一个包含恶意代码的APK文件将被下载至移动设备上。该恶意软件主要利用辅助功能服务，并通过识别用户界面(UI)组件来窃取与加密货币钱包相关的信息。一旦用户授权辅助服务，恶意软件就会将有关非系统应用程序的数据（包括其名称、程序包名称和设备信息）传输到C2服务器。随后恶意软件利用辅助功能服务定位目标应用程序的UI元素，获取钱包相关敏感信息。目前，Enchant恶意软件主要针对四种特定的加密货币钱包，分别是imToken、OKX、Bitpie Wallet、TokenPocket wallet。安全人员分析该恶意软件时发现，该软件通过一些中文语句(如密码错误)定位UI元素，因此可以判断该恶意软件针对中国加密货币用户。

来源：

https://cyble.com/blog/new-enchant-android-malware-targeting-chinese-cryptocurrency-users/

BlackCat勒索软件使用新策略进行隐蔽攻击

BlackCat(也称ALPHV)勒索软件团伙最近使用了一种新的名为“Munchkin”的Linux虚拟机，来加强其攻击的隐蔽性和持久性。Munchkin是一个定制的Alpine OS Linux发行版，以ISO文件的形式提供。在入侵设备后，攻击者安装VirtualBox，并使用Munchkin ISO文件创建一个新的虚拟机。然后，在虚拟机中执行恶意代码，对受害者的系统进行加密和破坏。BlackCat勒索软件最初于2021年11月被发现，是一种基于RansomEXX的变种，主要针对政府、教育、医疗、能源和制造等行业。此外，该勒索软件还使用了多种技术来避免被检测和分析，如删除阴影卷、禁用恢复模式、清除事件日志、杀死安全进程等。

来源：

https://unit42.paloaltonetworks.com/blackcat-ransomware-releases-new-utility-munchkin/