TimbreStealer 通过金融主题诈骗瞄准墨西哥用户

  Tag：TimbreStealer , 网络安全防护

事件概述：

本次攻击活动采用地理围栏技术和先进的混淆方法，针对墨西哥用户，这种方法可以有效地规避检测。恶意软件的载荷具有高度的信息收集能力，可以获取系统元数据、访问过的URL和多目录凭证等信息，还可以确认是否安装了远程桌面软件，并搜索特定扩展名的文件。这种恶意软件还采用了一些规避技术，如使用直接系统调用和自定义加载器绕过标准API监视，以及利用Heaven’s Gate技术在32位进程中运行64位代码。这些技术手段使得恶意软件能够更好地隐藏自身，增加了检测和防御的难度。此外，攻击者还使用了与部署Mispadu银行木马相同的战术、技术和程序，这可能表明背后的威胁行为者是相同的。这次攻击活动再次提醒我们，我们必须提高警惕，加强网络安全防护，特别是对于重要信息的保护。

来源：

https://www.scmagazine.com/brief/timbrestealer-targets-users-in-mexico-with-financial-themed-scams

政府威胁情报

Morphisec揭示UAC-0184威胁行为者利用IDAT加载器和Remcos RAT攻击乌克兰实体

  Tag：IDAT加载器, Remcos RAT

事件概述：

Morphisec威胁实验室最近发现了多个指向威胁行为者UAC-0184的攻击迹象。这一发现揭示了臭名昭著的IDAT加载器将Remcos远程访问木马（RAT）传递给位于芬兰的乌克兰实体。攻击者针对乌克兰实体进行了精心策划的攻击，他们显然试图扩大到与乌克兰有关联的其他实体。攻击过程中，IDAT加载器使用了隐写术作为一种技术。这种技术用于在图像或视频中隐藏恶意代码或文件，使其难以被检测。Remcos是一种商业远程访问木马（RAT），允许攻击者快速轻松地控制感染的计算机，窃取个人信息，并监视受害者的活动。

IDAT是一种高级加载器，可以加载各种恶意软件家族，包括Danabot、SystemBC和RedLine Stealer。IDAT采用模块化架构，具有独特的代码注入和执行模块，使其与常规加载器区别开来。IDAT使用诸如动态加载Windows API函数、HTTP连接性测试、进程黑名单和系统调用等复杂技术来规避检测。IDAT的感染过程分为多个阶段，每个阶段都有不同的功能。在这个案例中，IDAT模块被嵌入到主执行文件中，这通常是从远程服务器下载的。IDAT加载器是一种揭示了独特的战术、技术和程序（TTPs）的网络威胁。Morphisec的自动移动目标防御（AMTD）可以阻止像IDAT加载器和Remcos RAT这样的攻击，检测隐藏的恶意代码（就像这次攻击中的情况），并对有效载荷恶意软件本身进行检测。Morphisec不依赖于签名或行为模式。相反，它使用专利的移动目标防御技术来阻止攻击的最早阶段，预先阻止对内存和应用程序的攻击，有效地消除了响应的需要。

来源：

https://blog.morphisec.com/unveiling-uac-0184-the-remcos-rat-steganography-saga

能源威胁情报

俄罗斯电网遭黑客攻击大停电

  Tag：多因素身份验证，威胁情报共享

事件概述：

从技术角度看，这起事件再次突显了保护关键基础设施免受网络攻击的重要性。黑客通过非法获取电网的技术控制系统的访问权限，成功切断了大量村庄的电力供应。这一事件表明，电力设施的网络安全防护措施存在明显的漏洞，需要得到及时的修复和加强。此外，这起事件也强调了多因素身份验证、威胁情报共享和自动化安全措施在防止此类攻击中的重要性。对于关键基础设施的保护，我们需要更加严密的安全防护措施，以防止此类事件的再次发生。

来源：

https://securityaffairs.com/159536/hacking/cyber-attack-power-plant-russia-hacker.html

钢铁巨头ThyssenKrupp确认汽车部门遭受网络攻击

  Tag：ThyssenKrupp，勒索

事件概述：

ThyssenKrupp的一位发言人表示，“我们的ThyssenKrupp汽车车身解决方案业务部门上周记录到了对其IT基础设施的未经授权访问。”他还表示，“汽车车身解决方案的IT安全团队在早期就发现了这一事件，并已与ThyssenKrupp集团的IT安全团队合作，以控制威胁。”为此，他们采取了多种安全措施，并暂时关闭了某些应用和系统。ThyssenKrupp已经澄清，除汽车部门外，其他业务部门或部分均未受到此次网络攻击的影响。该公司还表示，目前情况已经得到控制，他们正在逐步恢复正常运营。在全球经济中占据重要地位的ThyssenKrupp多次成为黑客攻击的目标，包括在2022年、2020年、2016年和2013年，这些攻击大多旨在进行间谍活动和破坏运营。截至撰写时，尚无大型勒索软件团伙或其他威胁行为者承认对ThyssenKrupp的攻击，因此此次侵害的类型仍然未知。

来源：

https://www.bleepingcomputer.com/news/security/steel-giant-thyssenkrupp-confirms-cyberattack-on-automotive-division/#google_vignette

流行威胁情报

开源生态系统中的恶意软件：Phylum的发现

  Tag：npm代码分析器包, 社交工程攻击

事件概述：

这次攻击的主要技术特点是利用开源生态系统的漏洞，通过伪装成常规的npm包，实际上安装恶意脚本。攻击者在测试文件中隐藏恶意代码，以防被发现。此外，攻击者还尝试改变策略，以适应npm包的下架。这种策略包括自托管恶意npm依赖项，以及可能与朝鲜国家赞助的恶意软件有关。这种攻击方式表明，开发者和使用开源软件的用户需要对他们使用的软件包进行更严格的审查，以防止被恶意软件攻击。此外，开源社区也需要加强对软件包的监管，防止恶意软件的传播。

来源：

https://blog.phylum.io/smuggling-malware-in-test-code/

警惕拼写错误导致恶意PyPI包的安装

  Tag：Lazarus, Python Package Index (PyPI)

事件概述：

这些恶意包的内部结构揭示了令人担忧的设置。例如，pycryptoenv包含一个名为test.py的文件，这并不是一个Python脚本，而是一个XOR编码的DLL文件。包内的文件负责解码和执行这个文件。这种恶意软件被称为Comebacker，它并不是网络安全社区的新成员。Lazarus组织之前在针对安全研究人员的一次活动中使用过它。该恶意软件通过一系列步骤执行，首先解码test.py，将其保存为output.py，然后作为DLL文件运行。Comebacker恶意软件使用HTTP POST请求与其命令和控制(C2)服务器进行通信。发送和接收的数据是编码的，一旦成功通信，服务器会发送回一个Windows可执行文件。这个文件然后在内存中执行，避免了传统杀毒软件的检测。Lazarus已经在通过不同的包仓库传播恶意软件方面采用了类似的技术，包括npm，这表明它在渗透软件供应链方面采取了更广泛的方法。

来源：

https://gbhackers.com/malicious-pypi-package-installation/

高级威胁情报

俄罗斯SVR黑客组织如何适应政府和企业向云基础设施的转移

  Tag：英国国家网络安全中心（NCSC）, APT29

事件概述：

SVR黑客组织已经成功地使用暴力破解和密码喷洒来访问服务账户。这种类型的账户通常用于运行和管理应用程序和服务。由于没有人在他们背后，因此他们不能轻易地用多因素认证（MFA）进行保护，这使得这些账户更容易被成功破坏。服务账户通常也具有高权限，这取决于他们负责管理的应用程序和服务。获得这些账户的访问权限为威胁行为者提供了对网络的特权初始访问权限，以发起进一步的操作。SVR的活动也针对了属于不再在受害组织工作的用户的休眠账户，但其账户仍然在系统上。在一次事件中对所有用户进行强制密码重置后，SVR行为者也被观察到登录到不活动的账户并按照指示重置密码。这使得行为者在事件响应驱逐活动后重新获得访问权限。

来源：

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-057a

漏洞情报

极有可能被黑客利用，Outlook远程代码执行漏洞

  Tag： 漏洞

事件概述：

• 无需用户交互：在该场景下，成功利用该漏洞可以造成受害者的NTLM哈希泄露，结合NTLM Relay或爆破等攻击方式可以达到RCE的效果。
• 需要用户交互：在该场景下，利用该漏洞可与任意COM组件的漏洞结合起来达到RCE的效果，例如Word的RTF解析漏洞。

微步漏洞团队在对历史在野利用数据进行分析后，发现与本漏洞类似的Microsoft Outlook 特权提升漏洞（CVE-2023-23397）已被APT28组织大范围利用。

勒索专题

深度剖析Abyss Locker勒索软件

  Tag： Abyss Locker, FortiGuard实验室

事件概述：

Abyss Locker勒索软件的威胁行为包括在部署并运行其勒索软件恶意软件以进行文件加密之前窃取受害者的数据。该勒索软件还能删除卷影复制和系统备份。Abyss Locker勒索软件的感染向量信息尚不可得，但其可能与其他勒索软件组织的方式无异。Abyss Locker勒索软件的样本被提交给公开的文件扫描服务的地区包括欧洲、北美、南美和亚洲。Abyss Locker勒索软件会对受害机器上的文件进行加密，并在加密的文件后添加“.abyss”扩展名。Windows版的Abyss Locker版本1会添加一个随机的五字母扩展名，而不是“.abyss”。然而，Abyss Locker勒索软件有一些文件加密例外，例如，它会跳过加密具有以下扩展名的文件。此外，它还避免加密以下文件夹中的文件。我们对2024年1月底出现的Abyss Locker勒索软件版本2的分析发现，其功能与版本1无异。我们唯一发现的差异是赎金信息（包括替换的壁纸上的信息），明确表示这是版本2，以及用于赎金谈判的TOR地址。Linux版本的这种勒索软件会运行以下命令，并在受害机器上的文件上添加“.crypt”扩展名进行加密。然后创建带有“.README_TO_RESTORE”扩展名的文件，这是一个赎金说明。它会避免加密以下目录中的文件，也会避免加密带有以下扩展名的文件。目前，Abyss Locker勒索软件的威胁行为者似乎没有一个TOR站点，可以公开受害者的名字并允许其他人查看被盗的数据，尽管BleepingComputer在2023年中曾报道过这样一个泄露站点。然而，威胁行为者确实在TOR上提供了一个赎金谈判站点。

来源：

https://www.unsafe.sh/go-224454.html

数据泄露专题

美国联邦贸易委员会罚款Avast 1650万美元，因其出售用户浏览数据

  Tag： 美国联邦贸易委员会（FTC）, Avast

事件概述：

尽管Avast声称其数据传输是聚合的和匿名的，但实际上，它出售了包括唯一标识符、时间戳、设备详细信息和位置在内的详细浏览数据。该公司未能阻止数据购买者重新识别用户，即使合同中包含了禁止条款。一些Jumpshot产品允许客户跟踪特定用户，并将其浏览历史与其他信息关联，如Omnicom合同所示。除了1650万美元的罚款外，Avast还必须停止误导其数据使用情况。FTC以3-0的投票结果发出了投诉并接受了协议。协议的描述将很快在联邦注册处公开，供公众在30天内评论。Avast的案例增加了一系列强调需要保护敏感信息的案例。

来源：

https://gbhackers.com/ftc-avast-16-5m-browsing-data-sale/

数据经纪公司泄露敏感位置信息引发关注

  Tag： 数据隐私, 位置数据

事件概述：

Veritas Society在其网站上详细介绍了这一操作（该页面已被撤下，但被互联网档案保存），并表示向访问过生殖保健诊所的人发送了超过1400万条广告。这些广告出现在寻求生殖保健的人的Facebook、Instagram、Snapchat和其他社交媒体上。当Wyden的调查团队联系Recrue员工时，他们承认该机构使用Near的网站在客户希望他们目标的区域周围“划线”。他们在全国各地的生殖保健设施周围划线，使用从Near购买的位置数据针对600个计划生育不同地点的访客。Wyden的团队还与Near确认，直到2022年夏天，还没有任何保护访问敏感地点的人的数据隐私的保障措施。此外，Wyden在他的信中解释，Near正在向政府出售数据，尽管它在其网站上声称没有这样做。截至2023年10月18日，Wyden的调查发现Near仍在出售从美国人那里收集的位置数据，而这些人并未得到通知。

来源：

https://www.eff.org/deeplinks/2024/02/sen-wyden-exposes-data-brokers-selling-location-data-anti-abortion-groups-target

- END -