3月份的恶意软件和勒索病毒攻击呈现多样化和针对性强的特点,涉及税务诈骗、旅游行业、政府及非政府组织、加密货币持有者、特定地区(如墨西哥、德国黑森州、中国)用户,以及广泛的企业用户。攻击者采用的技术手段包括垃圾邮件、伪装合法文件、恶意PDF、网络钓鱼、逃避检测的域名、高级恶意软件变种、网络钓鱼文档、加密货币洗钱、以及针对特定软件(如macOS、WordPress)的攻击。这些攻击事件凸显了网络安全威胁的复杂性和全球性,对个人、企业和政府部门的数据安全构成严重挑战。
1.1TimbreStealer恶意软件以税务为主题针对墨西哥用户
https://blog.talosintelligence.com/timbrestealer-campaign-targets-mexican-users/
据观察,该威胁行为者至少从 2023 年 11 月开始,通过使用墨西哥税务相关主题的垃圾邮件活动来分发 TimbreStealer。该威胁行为者之前曾使用类似的策略、技术和程序 (TTP) 来分发名为“Mispadu”的银行木马。TimbreStealer 是一种新的模糊信息窃取程序,针对墨西哥的受害者。它包含多个嵌入式模块,用于编排、解密和保护恶意软件二进制文件。网络钓鱼活动使用地理围栏技术仅针对墨西哥的用户,任何从其他位置联系有效负载站点的尝试都将返回空白 PDF 文件,而不是恶意文件。据观察,目前的垃圾邮件主要使用墨西哥称为 CDFI 的数字税单标准,研究人员还观察到在同一活动中使用通用发票主题的电子邮件。
1.2Agent Tesla恶意软件利用邮件传播恶意载荷
https://www.forcepoint.com/blog/x-labs/agent-tesla-malware-attacks-travel-industry
研究人员发现Agent Tesla 恶意软件活动在大流行开始时有所增加,并不断发展技术并使用新策略交付和执行。攻击者利用电子邮件仿冒品牌,寻求在Booking.com上进行的预订退款,并要求收件人检查随附的 PDF 格式的卡对账单。感染过程之后会出现带有 PDF 附件形式的预订发票的虚假电子邮件,该电子邮件会下载恶意JavaScript,在执行时会下载 PowerShell 脚本。PowerShell 脚本具有复杂的多阶段混淆策略,在反混淆时发现该策略正在执行一系列技术并加载 Agent Tesla 恶意软件。一旦恶意软件成功渗透,攻击者就可以进行恶意活动,例如窃取数据和在受感染的系统上执行命令。
1.3德国黑森州消费者中心遭受勒索软件攻击
https://www.verbraucherzentrale-hessen.de/pressemeldungen/verbraucherzentrale/hackerangriff-auf-verbraucherzentrale-hessen-92732
黑森州是德国中部的一个州,人口超过 600 万,涵盖德国第二大都市区和主要金融中心法兰克福。黑森州消费者中心是一个非营利组织,旨在向黑森州居民提供有关消费者法、电话和互联网、金融和保险、节能、健康和护理、食品和营养等方面的公正和中立的建议。近日,黑森州消费者咨询中心的 IT 基础设施遭到攻击。黑森州消费者咨询中心暂时无法使用或只能在有限范围内使用。目前,所有电话、咨询热线以及服务电话现已恢复正常。电子邮件通信也可以再次不受限制,服务器上的大部分数据都可以恢复。尚不清楚这次黑客攻击是如何发生的,黑森州消费者建议中心与外部 IT 安全专家密切合作。
1.4针对苹果 macOS 的 Atomic Stealer 恶意变种曝光
https://www.ithome.com/0/752/468.htm
Atomic Stealer 的目标是与已安装的加密钱包扩展和应用程序、浏览器数据、系统信息和密码相关的文件。
1.5勒索软件攻击已是企业主要的规模级威胁
https://www.proofpoint.com/us/newsroom/press-releases/proofpoints-2024-state-phish-report-68-employees-willingly-gamble
Proofpoint 2024年网络钓鱼状况报告显示,超过三分之二(69%) 的组织在过去一年中经历了一次成功的勒索软件事件,与上一年相比增加了五个百分点。
1.6Bifrost恶意软件伪装成VMware域名进行逃避
https://unit42.paloaltonetworks.com/new-linux-variant-bifrost-malware/
Bifrost是一种远程访问木马(RAT),可以让攻击者控制受感染的系统。最近,研究人员发现了一种新的Bifrost Linux变种,它采用了一些新颖的逃避技术,包括使用一个欺骗性的域名,让人误以为是VMware的一部分。该域名为download.vmfare[.]com,与VMware的合法域名非常相似,因此可能在检查时被忽略。该恶意软件通过该域名与其命令和控制服务器通信,接收指令和发送数据。此外,该恶意软件还具有自删除功能,可以在执行完毕后清除自身的痕迹。研究人员还发现了一个Bifrost的ARM版本,它与分析的x86样本具有相同的功能。这表明该恶意软件的作者正在扩大其目标范围,可能针对更多的Linux设备。
1.7GTPDOOR恶意软件利用GPRS隧道攻击电信网络
https://doubleagent.net/telecommunications/backdoor/gtp/2024/02/27/GTPDOOR-COVERT-TELCO-BACKDOOR
研究人员最近发现了一款名为GTPDOOR的新型Linux恶意软件,专为部署在与GPRS漫游交换(GRX)网络相邻的电信网络中设计。该恶意软件在利用GPRS隧道协议(GTP)进行指挥控制(C2)通信方面独树一帜。GPRS漫游允许用户在远离其主手机网络时访问GPRS服务,由GRX转运使用GTP在来访和主公共陆地移动网络(PLMN)之间传递漫游流量。研究人员分析认为这一后门与已知的威胁行为者LightBasin(又称UNC1945)有关,该团伙早在2021年10月被CrowdStrike揭露,涉及攻击电信行业窃取订阅者信息和通话元数据的系列行动。GTPDOOR启动后首先伪装其进程名称为"[syslog]",模仿从内核调用的syslog,它隐藏子信号并打开一个原始套接字,使得该植入物能够接收到达网络接口的UDP消息。这种特殊的GTP-C回声请求信息作为传输命令至感染机器以及将结果返回至远程主机的管道。
1.8研究人员发现PDF文件中的恶意代码激增
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/rise-in-deceptive-pdf-the-gateway-to-malicious-payloads/
研究人员发现了PDF文件中的恶意代码的显著增长,这些PDF文件通常通过电子邮件附件的形式传播,隐藏在各种主题下,如发票、紧急通知、诱导性的按钮等,诱骗用户打开或点击。这些PDF文件利用了PDF文件的复杂结构和JavaScript功能,可以直接或间接地执行嵌入的恶意脚本,从而启动PowerShell,注入进程,或者跳转到恶意网站,下载恶意载荷。研究人员表示,这些PDF文件中的恶意代码可以传播多种恶意软件,如Agent Tesla、Formbook、NanoCore、Remcos等,这些恶意软件的目的是窃取用户的账户凭证、资金、个人信息等。这些PDF文件中的恶意代码的特点是利用了多种技术来逃避检测和分析,如加密、混淆、反调试、反沙箱、hCaptcha等。
1.9CISA等机构联合发布关于Phobos勒索软件防御指南
https://www.cisa.gov/sites/default/files/2024-02/aa24-060a-stopransomware-phobos-ransomware_1.pdf
CISA,FBI和MS-ISAC发布了一份关于Phobos勒索软件的联合网络安全指南,该活动旨在发布一些针对网络防御者的咨询,详细介绍了各种勒索软件变体和勒索软件威胁行为者。这些防御指南内容包括了最近和历史上观察到的TTPs和IOCs,以帮助组织防范勒索软件。Phobos勒索软件是一种RaaS模式的勒索软件,自2019年5月以来,MS-ISAC就经常收到影响州,地方,部落和领土(SLTT)政府的Phobos勒索软件事件的报告。这些事件针对了市政和县政府,紧急服务,教育,公共医疗和其他关键基础设施实体,成功地勒索了数百万美元。联合网络安全咨询提供了Phobos勒索软件的技术细节,包括其分发方法,部署和安装过程,远程控制能力,以及一些反分析技术。
1.10IBM 发布全新AI SSD,60 秒内检测并清除勒索软件
https://www.ithome.com/0/752/804.htm
IBM 公司近日发布新闻稿,宣布推出新版 FlashCore Module 存储硬盘和新版 Storage Defender 软件,两者结合可提高客户检测和应对网络攻击或勒索软件的能力。
1.11LockBit利用新的服务器和加密器再次发起攻击
https://www.bleepingcomputer.com/news/security/lockbit-ransomware-returns-to-attacks-with-new-encryptors-servers/
在不久前因联合执法行动而中断服务后,LockBit 勒索软件团伙使用更新后的加密器和链接到新服务器的勒索票据再次发起攻击。
1.12Predator间谍软件在曝光后仍在活跃
https://go.recordedfuture.com/hubfs/reports/cta-2024-0301.pdf
Predator间谍软件是一种针对高价值目标的手机监控工具。Predator间谍软件可以利用零日漏洞攻击Android和iOS设备,获取设备上的所有数据和权限。2021年8月至10月,研究人员发现了三起利用Predator间谍软件的网络攻击活动,目标包括欧盟议会主席、台湾总统、美国国会议员和德国驻美国大使等。这些攻击都是通过发送伪装成URL缩短服务的一次性链接来实施的,一旦用户点击链接,就会被重定向到攻击者控制的域名,从而触发零日漏洞并下载Predator间谍软件。Predator间谍软件在曝光后仍在活跃,对手机用户的隐私和安全构成严重威胁。
1.13美国法院命令NSO集团将其间谍软件代码交给WhatsApp
https://www.freebuf.com/news/393207.html
近日,美国法院下令要求以色列间谍软件开发商NSO集团将其Pegasus间谍软件的代码交给WhatsApp。2019年,NSO集团利用WhatsApp的安全漏洞对1400名用户进行了为期两周的监视。同年,WhatsApp向该公司提起了法律诉讼。自那时起,诉讼一直在进行。
1.14印度UPI系统遭洗钱应用程序滥用
https://www.cloudsek.com/whitepapers-reports/shadow-banking-in-your-pocket-exposing-android-app-used-by-money-mules
据研究人员的报告,网络犯罪分子正在利用一个名为XHelper的Android应用程序,在印度招募“洗钱骡子”,策划一场大规模的洗钱计划。这个恶意应用程序是招募和管理这些洗钱骡子的“关键工具”。通过这个应用程序,犯罪分子能够在不知情的用户中间转移资金,从而进行洗钱活动。这个洗钱计划的揭露,凸显了印度统一支付接口(UPI)系统面临的安全挑战。UPI作为一个创新的支付系统,提供了即时银行转账服务,但同时也暴露了潜在的安全漏洞。这次事件提醒了相关机构和用户,对于金融科技的便利性和创新性,必须要有相应的安全防护措施,以防止此类犯罪活动的发生。当前,印度警方和网络安全专家正在密切关注此类应用程序,以及它们如何被用于非法活动。同时,也在呼吁公众提高警惕,避免成为网络犯罪的受害者。
1.15新的CHAVECLOAK银行木马通过恶意PDF针对巴西用户
https://www.fortinet.com/blog/threat-research/banking-trojan-chavecloak-targets-brazil
研究人员近日发现,一种名为“CHAVECLOAK”的新型银行木马正在通过恶意PDF文件针对巴西用户。这种攻击涉及下载ZIP文件,并使用DLL侧加载技术执行最终的恶意软件。CHAVECLOAK专门设计用来窃取与金融活动相关的敏感信息。攻击流程如下:受害者被诱导点击PDF中的按钮以查看和签署附件文档,但实际上PDF中嵌入了恶意下载链接。这个链接通过“Goo.su”这样的免费链接缩短服务进行处理,最终重定向到一个ZIP文件的下载链接。解压后,ZIP文件释放出一个MSI文件。MSI安装程序解压后包含多个与不同语言设置相关的TXT文件,一个合法的执行文件,以及一个名为“Lightshot.dll”的恶意DLL。这个DLL文件的修改日期比安装程序中所有其他文件都要新,这进一步强调了它的异常性质。通过DLL侧加载技术,合法的执行文件“Lightshot.exe”将加载并运行恶意代码,从而悄无声息地进行数据窃取等未授权活动。CHAVECLOAK的命令和控制(C2)服务器遥测数据显示了这种恶意软件的活动。
1.16TA577组织转向盗取NTLM认证信息
https://www.proofpoint.com/uk/blog/threat-insight/ta577s-unusual-attack-chain-leads-ntlm-data-theft
研究人员发现,TA577这一威胁行为体现出不寻常的攻击链路,其目标是盗取NT LAN Manager(NTLM)认证信息。TA577通过电子邮件中的压缩HTML附件,对全球数百个组织发起了数万条信息攻击。这些附件一旦被打开,就会触发系统尝试连接到外部的Server Message Block(SMB)服务器。TA577的目的是从SMB服务器获取NTLMv2挑战/响应对,以窃取NTLM哈希值。这些哈希值可能被用于密码破解或在特定组织内部进行“传递哈希”攻击。研究人员还注意到,越来越多的威胁行为者滥用文件URI方案,并引导收件人连接到外部文件共享以传递恶意软件。TA577最近转向使用Pikabot作为其初始载荷,这一前所未有的转变表明,该威胁行为者具有快速迭代和测试新传递方法的时间、资源和经验。这种适应性使TA577能够保持在检测机制之前,并提高其有效载荷传递的效果。
1.17新型Linux恶意软件攻击Docker和其他关键应用程序
https://www.cadosecurity.com/spinning-yarn-a-new-linux-malware-campaign-targets-docker-apache-hadoop-redis-and-confluence/
近期,研究人员现了一种名为SpinningYarn的新型Linux恶意软件活动,其目标是运行ApacheHadoopYARN、Docker、Confluence和Redis面向Web服务的配置错误的服务器。SpinningYarn是一种恶意活动,利用了各行业企业使用的流行Linux软件的弱点。这些服务是组织IT基础设施中的重要组成部分。Docker对于开发、部署和管理容器化应用程序至关重要。ApacheHadoop允许分布式处理大型数据集。通过破坏这些应用程序,攻击者可以获得对系统的未经授权的访问、窃取敏感数据、破坏操作或部署勒索软件,从而对服务器和关键基础设施构成重大威胁。在SpinningYarn中,威胁行为者使用了几种独特的有效负载,包括四个Golang二进制文件,它们可以自动发现和感染主机并让它们利用代码。他们使用Confluence来利用常见的错误配置和漏洞,发起远程代码执行(RCE)攻击并感染新主机。
1.18GhostSec与Stourmous联手发起勒索软件攻击
https://blog.talosintelligence.com/ghostsec-ghostlocker2-ransomware/
研究人员最新的报告指出,两个黑客团伙GhostSec和Stourmous正在联合进行一场勒索软件攻击。这场攻击利用了新的GhostLocker2.0勒索软件,该软件是GhostLocker勒索软件的Golang版本。这两个团伙启动了一个名为STMX_GhostLocker的勒索软件即服务(RaaS)运营,为其附属成员提供多种选项。这一发现表明,勒索软件攻击者正在不断创新其攻击手段,以适应不断变化的网络安全环境。GhostSec和Stourmous通过这种合作,能够扩大其攻击范围,并提高其攻击的成功率。GhostSec是现代五大家族组织的成员,该组织包括ThreatSec、Stormous、Blackforums和SiegedSec。该组织的活动包括拒绝服务(DoS)攻击、勒索软件攻击和黑客活动。“GhostLockerRaaS有一个C2面板,附属机构可以在其中概览他们的攻击和收益。当部署在受害者的机器上时,勒索软件二进制文件将注册到C2面板,附属机构可以跟踪受害者机器上的加密状态。
1.19BlackCat勒索软件疑似复苏
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/resurgence-of-blackcat-ransomware/
2024年3月6日,研究人员发布了关于BlackCat勒索软件的复苏的报道。美国司法部在2023年12月19日对该组织进行了打击,但最近的观察显示,BlackCat组织在被打击后不久便卷土重来。他们在2月21日对ChangeHealthcare发起了重大攻击,ChangeHealthcare是Optum的一部分,隶属于UnitedHealthGroup。据报道,该组织声称从ChangeHealthcare窃取了6TB的数据。此次攻击导致支付索赔处理延迟,迫使客户自付服务费用,在某些情况下甚至无法兑现处方。BlackCat利用合法的远程访问工具和独特的令牌,执行了一种复杂的勒索软件变体。这种策略强调了保持警惕的重要性,以及组织需要不断发展其安全措施以有效对抗这些不断变化的威胁。他们通过TotalSoftwareDeployment和ScreenConnect等合法的远程会话管理软件,建立了初始的攻击阵地,使得攻击者能够在正常的管理活动中隐藏,大大增加了检测难度。BlackCat勒索软件的功能包括在禁用安全产品后,威胁行为者(TA)传输并执行了BlackCat勒索软件二进制文件update.exe。与典型的执行过程不同,这个二进制文件需要一个64字符的十六进制访问令牌才能执行;没有这个令牌,二进制文件将不会执行。
1.20Snak信息窃取恶意程序通过Facebook消息传播
https://securityaffairs.com/160131/malware/snake-info-stealer.html
Cybereason 研究人员警告称,威胁行为者正在利用 Facebook 消息传播 Snake 恶意软件,这是一种基于 Python 的信息窃取程序。
1.21Play勒索软件组泄露瑞士政府机密数据
https://www.ncsc.admin.ch/ncsc/en/home/aktuell/im-fokus/2024/bericht-datenanalyse-xplain.html
瑞士IT服务提供商Xplain于2023年6月遭受了Play勒索软件团伙的网络攻击。攻击者通过利用漏洞锁定Xplain为州服务托管的服务器,要求支付赎金以换取解锁工具。波及影响包括联邦警察局、联邦海关和边境保护办公室、瑞士联邦铁路和阿尔高州政府。此外,6月瑞士联邦政府网站及瑞士联邦铁路在线门户也遭遇了DDoS攻击,数个网站因此不可访问,负责攻击的是自称为亲俄团体“NoName”。Play勒索软件团伙在其暗网泄露网站上公布了约65000份瑞士联邦政府文件,包括机密文件和登录凭证。瑞士国家网络安全中心(NCSC)已共同进行调查,并发布了攻击后果的详细信息。约有70%(约47413份)的文件属于Xplain,14%(9040份)属于联邦行政部门。其中,约95%的文件来自瑞士联邦政府,主要涉及联邦司法与警察部门、联邦司法办公室、联邦警察局、移民秘书处和ISC-FDJP。联邦行政部门的文件中,约半数包含敏感内容,例如个人数据、技术信息、分类信息和密码。有4779份文件含有个人数据,278份文件含有技术信息。121个项目被列为信息保护条例下的机密,其中4个包含可读密码。
1.22嵌入式PLC恶意软件威胁扩展至工控系统
https://www.ndss-symposium.org/wp-content/uploads/2024-49-paper.pdf
研究人员发表的一篇论文中指出,嵌入到工业固件中的Web服务器可能为黑客提供了一个攻击的新途径。这些Web服务器被嵌入到以往依赖串行通信协议的可编程逻辑控制器(PLC)中,是目前占据全球市场80%份额的每一家大型PLC供应商的产品。这种嵌入Web服务的便利性深刻而不可逆转地改变了工业控制系统(ICS)生态系统。攻击者可以利用嵌入式Web PLC恶意软件来伪造传感器读数、禁用安全警报、操作物理执行器,甚至造成人员伤亡等灾难性事件。传统的PLC恶意软件受固有硬件约束和实时操作系统的限制,而这些新型的Web PLC恶意软件则可以通过浏览器执行,对工业设备及其控制系统造成严重损害。黑客可以通过多种方式感染PLC Web服务器,包括通过用户自定义的Web页面或利用HTML5特性“service worker”,该特性允许JavaScript资产在Web浏览器和Web服务器之间充当代理,即使主要恶意载荷被从设备上彻底移除,缓存的JavaScript文件还是可以重新感染设备。与传统PLC恶意软件不同,Web PLC恶意软件无需深入了解物理过程或执行器设置,可以简单地通过虚拟操作界面造成破坏。此外,攻击者可以滥用管理员设置进一步破坏或窃取工业间谍数据。随着这种新型恶意软件的出现,过去在控制室内操作的场景可能被转移到了使用平板电脑或开着谷歌Chrome的控制室内。因此这代表了对运营技术环境的新威胁,可能导致比历史上著名的Stuxnet病毒更严重的后果。
1.23新APT组织Lotus Bane攻击越南金融机构
https://www.group-ib.com/media-center/press-releases/hi-tech-crime-trends-2023-2024/
最近,越南金融机构遭受了一个名为Lotus Bane的新型先进持续性威胁(APT)组织的攻击。这一攻击行动于2023年3月首次被检测到,据研究人员分析,该黑客组织自2022年起即活跃于网络空间。虽然感染链的具体细节暂时未知,但攻击中使用了多种恶意工具作为后续行动的基础。研究人员表示,Lotus Bane所使用的技巧与一个名为OceanLotus(又称APT32、Canvas Cyclone、Cobalt Kitty)的与越南关联的威胁行动者有所重叠。这主要表现在它们都使用PIPEDANCE恶意软件进行命名管道通信。Lotus Bane目前集中攻击亚太地区的银行业,虽然已知的攻击发生在越南,但其方法的复杂程度显示出可能在更广泛的亚太地区开展活动的潜力。目前还不清楚它们在本次发现之前已经活动了多长时间,但正在进行的调查可能会进一步揭示其历史。
1.24针对亚太地区!iOS 木马开始窃取面部识别数据
https://www.freebuf.com/articles/network/392979.html
2023 年 10 月,针对越南五十余家金融机构进行攻击的安卓银行木马 GoldDigger 浮出水面。通过对其持续跟踪分析,研究人员发现一整套针对亚太地区的银行木马。其中,研究人员发现了一个专门针对 iOS 用户的新型木马,被命名为 GoldPickaxe.iOS。GoldPickaxe 不仅有安卓版本,也覆盖了 iOS 平台。GoldPickaxe.iOS 木马的典型特征就是能够收集面部识别数据、身份的证件并拦截短信,尽管安卓平台的木马早就有这些功能。
1.25思科:超15国多行业遭GhostLocker双重勒索攻击
https://www.secrss.com/articles/64243
技术、教育、制造、政府、交通、能源、法医、房地产和电信等一些行业遭受了严重影响。
1.26黑客利用Dropbox发送钓鱼邮件植入恶意软件
https://darktrace.com/blog/legitimate-services-malicious-intentions-getting-the-drop-on-phishing-attacks-abusing-dropbox
研究人员最近观察到,攻击者在针对一名客户的钓鱼攻击中恶意利用了Dropbox。在一月份,攻击者通过发送包含恶意链接的钓鱼邮件,来自合法的Dropbox地址,进而威胁到了该客户的软件即服务(SaaS)环境。虽然邮件来源和Dropbox链接看似合法,但研究人员发现一个红旗信号:PDF文件中含有一个指向“mmv-security[.]top”域的链接,而这个域在该客户的环境中从未出现过,随后在1月29日再次发送邮件提醒用户打开之前共享的PDF文件。尽管Darktrace已将其归类为垃圾邮件,并应用锁定链接操作,但员工仍打开了邮件并点击了PDF文件中的链接,最终导致与恶意端点建立了连接。这导致了用户关联的内部设备的安全受到威胁,研究人员后来还发现了一系列可疑活动,包括多个异常的SaaS登录、使用VPN服务隐藏位置,以及在受损Outlook账户内创建电子邮件规则来隐藏恶意活动。
1.27BianLian组织利用TeamCity漏洞发动勒索软件攻击
https://www.guidepointsecurity.com/blog/bianlian-gos-for-powershell-after-teamcity-exploitation/
BianLian勒索软件团伙最近被发现在攻击中利用了JetBrains TeamCity软件的多个漏洞。研究人员在调查一起与BianLian勒索软件团伙有关的攻击时发现,攻击者通过利用TeamCity服务器中的漏洞(CVE-2024-27198或CVE-2023-42793)获取了对目标环境的初始访问权。自2022年8月份BianLian勒索软件出现以来,该恶意软件已被用于针对制造业、媒体和娱乐业以及医疗保健等多个行业的攻击。2023年1月,研究人员发布了一个免费的BianLian勒索软件解密工具以帮助受害者恢复被锁定的文件。在此次攻击中,攻击者在受影响的服务器上创建了新用户,并执行了恶意命令进行后期开发和横向移动。攻击者随后在目标环境中发现了两台构建服务器,以此为基础在受害者组织中扩大了攻击范围并进一步进行了开发。研究人员注意到,BianLian团伙在多次尝试执行其定制的GO后门不成功后,转而采用了活在地上(living off the land)的策略,并利用了PowerShell实现的后门。尽管这个PowerShell后门被混淆了,但并没有采用任何新颖的技术来避免被检测或防止恶意软件被分析。
1.28在野外观察到针对企业的新 DoNex 勒索软件
https://cyware.com/cyber-security-news-articles
DoNex 勒索软件正积极针对美国和欧洲的公司,采用双重勒索方法来劫持文件和敏感数据。
1.29新的 xStealer 恶意软件首次亮相,具有高级功能
https://www.anquanke.com/post/id/293757
该恶意软件背后的开发人员承诺不断更新,确保其保持最新、最先进的窃取技术。
1.30FakeUpdates恶意软件活动以WordPress为目标
https://blog.checkpoint.com/research/february-2024s-most-wanted-malware-wordpress-websites-targeted-by-fresh-fakeupdates-campaign/
全球数百万使用WordPress内容管理系统的网站正面临被恶意软件攻击的风险。根据研究人员于2024年2月发布的全球威胁指数报告,揭露了名为FakeUpdates或SocGholish的恶意软件活动,此活动通过黑客攻击管理员账户来侵入WordPress站点。该恶意软件使用了修改过的合法WordPress插件等手段,以欺骗用户下载远程访问木马。尽管自2017年以来多方面进行了抵抗,但FakeUpdates活动仍持续存在,对网站安全构成了重大威胁。恶意软件主要针对带有内容管理系统的网站,诱骗用户下载恶意软件。该活动与俄罗斯网络犯罪团伙Evil Corp有关,并被认为通过出售对受感染系统的访问权限来赚取收入。
1.31新型Vcurms恶意软件瞄准流行浏览器窃取数据
https://www.fortinet.com/blog/threat-research/vcurms-a-simple-and-functional-weapon
研究人员近日发现了名为Vcurms的新型恶意软件,该软件通过利用云服务攻击受欢迎的浏览器和应用程序进行登录信息和数据盗窃。Vcurms通过电子邮件作为指挥控制中心,并采用AWS和GitHub等公共服务来存储恶意软件,同时还使用商业防护软件来规避侦测,显示出攻击者最大程度发挥恶意软件影响力的有组织努力。该恶意软件主要针对安装有Java的平台,对所有使用这些系统的组织构成威胁。一旦成功入侵,攻击者即可完全控制受损系统。攻击手段和技术上,攻击者引诱用户下载恶意Java下载器,该下载器作为传播Vcurms和冒充假勒索软件感染的STRRAT特洛伊木马的载体。这些恶意邮件通常伪装成合法请求,敦促收件人验证支付信息并下载托管在AWS上的有害文件。下载后,Vcurms展现出经典的网络钓鱼特征,运用伪装名称和混淆字符串来隐藏其恶意本质。它利用一个名为“DownloadAndExecuteJarFiles.class”的类来帮助下载和执行额外的JAR文件,进一步扩大攻击者的控制范围。
1.32BIPClip攻击活动利用Python包索引窃取加密钱包
https://www.reversinglabs.com/blog/bipclip-malicious-pypi-packages-target-crypto-wallet-recovery-passwords
研究人员在Python包索引(PyPI)库中发现了一组旨在窃取用于恢复加密货币钱包私钥的BIP39助记词短语的七个软件包,这一软件供应链攻击活动被研究人员命名为BIPClip。这些软件包在被从PyPI中删除之前总共被下载了7451次。这些软件包针对的是从事生成和保护加密货币钱包相关项目的开发人员,并且自2022年12月4日首次发布以来就一直活跃。研究人员的报告中指出:“这只是利用软件供应链攻击加密资产的最新活动。它证实了加密货币继续是供应链威胁行为者最热门的攻击目标之一。”其中一个软件包—mnemonic_to_address—为了避免被侦测,除了列出含有恶意组件的bip39-mnemonic-decrypt作为其依赖项外,没有任何恶意功能。
1.33黑客通过SVG图像文件隐藏键盘记录器和RAT恶意软件
https://dd80b675424c132b90b3-e48385e382d2e5d17821a5e1d8e4c86b.ssl.cf1.rackcdn.com/external/strategic-analysis-svg-files-abused-in-emerging-campaigns-1.pdf
研究人员发现,威胁行为者正在将恶意软件隐藏于SVG图像文件中,从而绕过检测,传递勒索软件、下载银行特洛伊木马,并分发恶意软件。研究人员在1月份观察到一个为期两个月的运动,该运动利用SVG文件传递Agent Tesla键盘记录器和XWorm远程控制木马(RAT)恶意软件。在2023年12月和2024年1月的Agent Tesla键盘记录器活动中,电子邮件包含附带的SVG文件,打开后传递嵌入的.zip归档。这些归档启动了一系列有效载荷下载,最终执行了Agent Tesla键盘记录器。威胁行为者修改了AutoSmuggle生成的SVG文件,以增强其欺骗能力。XWorm RAT运动呈现出不同的感染链。有些使用嵌入式链接导向SVG文件,而有些则直接使用附带的SVG文件。这些文件启动了包含用于执行XWorm RAT的有效载荷的.zip归档的下载。这些在运动中使用的SVG文件缺乏在Agent Tesla键盘记录器运动中观察到的复杂性,并在打开时呈现空白页。
1.34PixPirate木马利用新策略针对巴西用户
https://securityintelligence.com/posts/pixpirate-brazilian-financial-malware/
根据研究人员的技术报告,一个名为PixPirate的安卓银行木马正通过一种新的策略来避免在被感染设备上被检测到,并从巴西用户那里窃取敏感信息。该策略能够将恶意应用的图标从受害者设备的主屏幕上隐藏,使得在PixPirate侦察和攻击阶段,受害者对这款恶意软件在后台执行的操作毫无察觉。PixPirate通常通过短信和WhatsApp传播,攻击流程涉及到使用一个下载器应用,其被设计用以部署主负载(又称“下落物”)来实施财务诈骗。在最新版本的下落物中变化的是,它没有带有允许用户通过点击其图标从主屏幕启动应用的动作“android.intent.action.Main”和类别“android.intent.category.LAUNCHER”。简而言之,感染链要求下载器和下落物协同工作,前者负责通过与下落物暴露的服务绑定来运行PixPirate APK。即便受害者从其设备中移除了PixPirate下载器,这种技术也允许下落物继续运行并隐藏其存在。
1.35印度Android用户钓鱼诈骗活动日趋猖獗
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/android-phishing-scam-using-malware-as-a-service-on-the-rise-in-india/
研究人员报告,自2023年3月起至今,印度Android用户成为了钓鱼诈骗软件活动的目标。这种恶意软件已经发展成一个服务形式,涵盖了800多个应用程序,并感染了超过3700台设备。钓鱼页面设计用于易于欺骗的场景,比如电费付款、预约医院和快递预定等。这些页面会在不同应用程序中加载,最后出售给诈骗者。诈骗者通常通过电话、短信、电子邮件或社交应用程序联系受害者,通知他们需要重新安排服务,引诱他们下载应用并提交个人信息。此外,该恶意软件能通过钓鱼网页窃取银行账户信息,甚至能偷取设备上的短信,让诈骗者即便绕过OTP认证也能转移资金。研究人员将这种威胁识别为Android/SmsSpy。此外,研究人员揭露了一家名为ELVIA INFOTECH的网络犯罪集团,他们作为服务提供者出售这些钓鱼网页和恶意软件,并在Telegram群组中进行交易。这些恶意应用程序通常会假装是“客户支持”或者是一些在印度流行的快递公司,诱骗受害者点击假图标并攻击他们。该恶意软件不但能通过钓鱼页盗取个人信息,还会请求发送和查看短信的权限,以截获包含一次性密码(OTP)的短信,协助完成银行交易。
1.36RedCurl团伙利用Windows PCA工具进行企业间谍活动
https://www.trendmicro.com/en_us/research/24/c/unveiling-earth-kapre-aka-redcurls-cyberespionage-tactics-with-t.html
俄语网络犯罪组织RedCurl正在利用一个名为程序兼容性助手(PCA)的合法微软Windows组件执行恶意命令。研究人员分析中指出,该服务(pcalua.exe)原本设计用来识别和解决与旧程序的兼容问题,但敌对方可以利用这个工具作为命令行解释器的替代,以此执行命令并绕过安全限制。RedCurl组织自2018年起活跃,以企业间谍活动面向位于澳大利亚、加拿大、德国、俄罗斯、斯洛文尼亚、英国、乌克兰和美国的实体发起攻击。研究人员观察的攻击链包括使用含有恶意附件(.ISO和.IMG文件)的网络钓鱼电子邮件,启动一个多阶段的过程,该过程首先通过cmd.exe从远程服务器下载名为curl的合法工具,然后用作传递装载器(ms.dll或ps.dll)的渠道。接着,恶意的DLL文件运用PCA来启动一个下载器进程,该进程负责与curl之前使用的同一域建立连接,获取装载器。攻击中还利用了Impacket这款开源软件来执行未授权的命令。根据指挥控制(C2)基础设施的重叠以及与该组织使用的已知下载器制品的相似性,分析人员将攻击与Earth Kapre团队联系起来。
1.37新型恶意软件BunnyLoader 3.0窃取凭证及加密货币
https://unit42.paloaltonetworks.com/analysis-of-bunnyloader-malware/
最近,研究人员揭露了一种名为“BunnyLoader 3.0”的新型恶意软件,此恶意软件专门设计用来窃取用户登录凭证和加密货币,同时能够在操作系统中潜伏不被发现。自2023年9月首次被发现以来,BunnyLoader经过多次升级和增强,以逃避安全检测和提高效能。2024年2月11日,黑客公开了这一恶意软件的最新版本——BunnyLoader 3.0。与前一版本相比,3.0版本在性能上有了90%的显著提升,且有效减少了载荷体积和增强了键盘记录功能,这使得它比以往任何版本都要危险。研究人员的报告不仅揭示了BunnyLoader背后的技术细节,还展示了恶意软件作者用来规避侦测的策略和技术,例如更改文件名、模仿合法应用程序等。这些策略使BunnyLoader能够避开网络安全专家的视线。
1.38APT28针对多地区开展广泛网络钓鱼攻击
https://securityintelligence.com/x-force/itg05-leverages-malware-arsenal/
根据研究人员发布的最新报告,与俄罗斯有关联的网络威胁行为者APT28,被发现正在进行多起精心策划的网络钓鱼攻击。这次攻击针对的是欧洲、南高加索地区、中亚以及北美和南美的政府及非政府组织(NGOs)。APT28利用看似官方的诱饵文档进行欺骗,这些文档既包括内部文件也包括公开可获得的文档,涵盖了金融、重要基础设施、行政会议、网络安全、海洋安全、卫生保健、商务和国防产业等多个领域。研究人员观察到的最新活动是在2023年11月末至2024年2月间,APT28利用Microsoft Windows的"search-ms:" URI协议处理器欺骗受害者下载恶意软件,这些软件托管在行为者控制的WebDAV服务器上。还有迹象显示,这些WebDAV服务器以及MASEPIE的C2服务器可能托管在遭到破坏的Ubiquiti路由器上。美国政府上月关闭了包含这些路由器的僵尸网络。APT28通过伪装成来自阿根廷、乌克兰、格鲁吉亚、白俄罗斯、哈萨克斯坦、波兰、亚美尼亚、阿塞拜疆和美国等国家的实体,使用一系列真实的公共政府和非政府诱饵文档,启动感染链。APT28的这些复杂策略最终导致执行了MASEPIE、OCEANMAP和STEELHOOK等后门程序,这些程序设计用于窃取文件、执行任意命令以及窃取浏览器数据。OCEANMAP被视为CredoMap后门的升级版,CredoMap是APT28之前使用的一个后门程序。研究人员总结说,APT28具备适应不断变化的环境及机会的能力,他们不仅提供新的感染方法,还利用商业化基础设施服务,并不断提升恶意软件的能力。
1.39朝鲜APT组织利用Tornado Cash洗钱2300万美元
https://www.elliptic.co/blog/north-korean-hackers-return-to-tornado-cash-despite-sanctions
据研究人员报道,与朝鲜有关的网络黑客组织Lazarus再次恢复使用加密货币混合器平台Tornado Cash洗钱2300万美元。2023年11月发生的HTX交易所1125万美元的盗窃案被追踪到Lazarus APT组织,如今,Elliptic通报称Lazarus组织通过Tornado Cash清洗了来自该次攻击的逾2300万美元资金。2022年8月,美国财政部外国资产控制办公室(OFAC)因北朝鲜相关的Lazarus APT组织使用而对Tornado Cash实施了制裁。混合器是网络犯罪分子们重要的洗钱工具,此前已经被用来洗掘受害者资金。OFAC宣布制裁时,Tornado Cash自2019年以来用于洗钱的虚拟货币价值超过70亿美元。Lazarus APT组织通过Tornado Cash洗掘了至今为止已知的最大规模虚拟货币盗窃案中超过4.55亿美元的资金。此外,Tornado Cash还用于清洗2022年6月24日Harmony Bridge盗窃案中9600万美元的资金,以及Nomad加密货币盗窃案中至少780万美元的资金,即便如此,Tornado Cash依然没有中断其操作。作为对制裁的回应,Lazarus转而使用混合器Sinbad.io,但该服务于2023年11月被美国当局查封。研究人员指出,这些混合器通过去中心化区块链上的智能合约运行,使其免受查封和关闭的影响,如中心化混合器Sinbad.io那样被关闭。
1.40恶意广告提供虚假Notepad++和VNote安装包针对中国用户
https://thehackernews.com/2024/03/malicious-ads-targeting-chinese-users.html
在百度等搜索引擎上寻找 Notepad++ 和 VNote 等合法软件的中国用户正成为恶意广告和虚假链接的目标,这些链接会分发该软件的木马版本,并最终部署Geacon(一种基于 Golang 的 Cobalt Strike 实现)。
1.41LockBit 一重要成员被加拿大法院判处 4 年监禁
https://www.ithome.com/0/755/716.htm
据加拿大媒体 CTV News 报道,黑客组织 LockBit 重要成员米哈伊尔・瓦西里耶夫(Mikhail Vasiliev)被加拿大安大略省法院判处 4 年监禁。
1.42新型AcidPour恶意软件瞄准乌克兰Linux系统
https://www.hackread.com/acidrain-linux-malware-variant-acidpour-ukraine/
研究人员近日发现了一种针对乌克兰Linux系统的恶意软件新变种,命名为“AcidPour”。这种恶意软件是已知AcidRain恶意软件的进化版本,去年三月首次出现并在俄罗斯入侵乌克兰之初于Viasat hack事件中破坏了大量KA-SAT Surfbeam2调制解调器。AcidPour与原始的AcidRain在某些代码字符串上有相似之处,但在代码库上有显著不同,这个新的变种是专门为Linux x86设备编译的,而不是MIPS体系结构。研究人员指出,AcidRain主要功能是作为一个通用的擦除工具,针对嵌入式Linux分发版上的常见目录和设备路径。相比之下,AcidPour引入了新的元素,如针对UBI(未排序块映像)和与LVM(逻辑卷管理器)关联的虚拟块设备的引用,表明目标可能已经扩展到了上一版本之外的领域。虽然存在相似之处,但也有明显的不同,包括对如LVMs这类设备的不同擦除逻辑,这表明威胁行为者的策略可能已经发展。研究人员已经向乌克兰的相关方面提醒了AcidPour的存在,尽管该操作的具体目标和范围仍然不明确。
1.43TMChecker工具可降低攻击者恶意活动门槛
https://www.resecurity.com/blog/article/cybercriminals-evolve-tooling-for-remote-access-compromise
研究人员警告称,新的名为TMChecker的工具集在暗网上作为攻击武器获得关注,旨在针对远程访问服务和流行的电子商务平台。该工具由化名为"M762"的威胁行为者开发,并在XSS网络犯罪论坛上售价每月200美元,根据研究人员的报告,它可用于针对企业VPN网关、电子邮件服务器、内容管理系统和主机控制面板。TMChecker帮助威胁行为者侵入企业网络,获取未经授权的访问敏感数据的机会。微软去年观察到,自2022年9月以来,使用损坏的远程访问工具的人工操作攻击数量已经增加了两倍。安全专家预计,这一趋势将在2024年加剧。TMChecker使用登录检查和暴力破解相结合的方式,针对远程访问网关。研究人员称:“这种混合暴力攻击和日志扫描工具包大大降低了新手威胁行为者的入门门槛,他们可能缺乏购买黑暗网络上较高价值的VPN和RDP访问工具的财力或关系。该工具的面向服务的用户模式使得经验较少的攻击者非常容易获得访问令人垂涎的远程网关的权限。在更有经验的威胁行为者手中,TMChecker和类似工具为对手操作提供了更多便利和流程简化。”
1.44黑客利用假谷歌站点传播AZORult木马病毒
https://www.netskope.com/blog/from-delivery-to-execution-an-evasive-azorult-campaign-smuggled-through-google-sites
近期,研究人员发现了一种新的恶意软件活动,攻击者通过制作伪造的谷歌站点页面,并采用HTML走私技术,传播一种名为AZORult的商业恶意软件以窃取信息。研究人员发布的报告中指出,这种钓鱼活动尚未归咎于特定的威胁行为者或团伙,但已广泛展开,目的是收集敏感数据并在黑市论坛出售。AZORult是一种信息窃取软件,最初于2016年被检测到。它通常通过钓鱼和垃圾邮件活动、为盗版软件或媒体植入的特洛伊木马以及通过恶意广告传播。一旦安装,它就能够收集来自Web浏览器的凭据、cookie和历史记录、屏幕截图、匹配特定扩展名的文档(例如.TXT,.DOC,.XLS,.DOCX,.XLSX,.AXX,和.KDBX),以及来自137种加密货币钱包的数据。在最新的攻击活动中,攻击者创建了伪造的谷歌文档页面,并使用HTML走私技术传递恶意载荷。当受害者被诱导打开钓鱼邮件中的欺骗性页面时,浏览器就会解码脚本并在主机设备上提取有效载荷,有效绕过了常规安全控制。此次AZORult活动通过增加验证码障碍,不仅增加了合法性的外表,还充当了针对URL扫描器的额外保护层。
1.45DEEP#GOSU新恶意软件攻击活动针对Windows系统
https://www.securonix.com/blog/securonix-threat-research-security-advisory-new-deepgosu-attack-campaign/
研究人员近日发现一场名为DEEP#GOSU的新型攻击活动,利用PowerShell和VBScript恶意软件攻击Windows系统,并窃取敏感信息。研究人员通过技术分析指出,该恶意软件运用高级技术,能够在Windows系统中悄无声息地执行操作,尤其在网络监控方面。DEEP#GOSU被认为与朝鲜支持的黑客组织Kimsuky相关。该恶意软件的功能包括记录键盘操作、监控剪贴板内容、执行动态有效载荷以及使用远程访问工具软件(RAT)、计划任务和自执行的PowerShell脚本等方式,保持对受感染系统的持久访问。值得注意的是,该攻击活动使用了像Dropbox或Google Docs这类合法服务作为命令与控制(C2)服务器,这使得犯罪分子的网络流量能够在正常流量中隐匿起来。初步感染通常来自一封含有ZIP归档的恶意电子邮件附件,装有假冒PDF文件的快捷方式(.LNK)。这些.LNK文件嵌入了PowerShell脚本,并使用了幌子PDF文档。PowerShell脚本还会连接到由攻击者控制的Dropbox基础设施,以取回并执行另一个PowerShell脚本。另一方面,第二阶段的PowerShell脚本会从Dropbox检索新文件,该文件是.NET组建的二进制形式文件,实则为一个名为TruRat的开源远端访问木马,具备记录键盘操作、管理文件和远程控制的功能。
1.46LockBit 试图通过新版本维持生存
https://www.trendmicro.com/en_us/research/24/b/lockbit-attempts-to-stay-afloat-with-a-new-version.html
最近,研究人员获得了一个样本,据信该样本代表了 LockBit 的新演变:与平台无关的恶意软件正在测试的开发版本,与以前的版本不同。
1.47Kimsuky团伙利用Windows帮助文件进行网络攻击
https://www.rapid7.com/blog/post/2024/03/20/the-updated-apt-playbook-tales-from-the-kimsuky-threat-actor-group/
据研究人员透露,臭名昭著的朝鲜黑客团伙Kimsuky已开始采取新的网络攻击手段。Kimsuky一直偏爱使用钓鱼攻击,有时还会通过长时间的社会工程学手段冒充学者或媒体人与目标建立联系。他们之前的攻击中,受害者会收到加载了恶意软件的问卷。虽然研究人员尚不确定该团伙如何分发其最新的攻击载荷,但它们确信包括有毒的Microsoft编译的HTML帮助(CHM)文件,以及ISO、VHD、ZIP和RAR文件。由于CHM文件能执行JavaScript,Kimsuky对它们越发感兴趣。研究人员检查了他们认为是Kimsuky的一个CHM文件,发现了“一个使用HTML和ActiveX在Windows机器上执行任意命令的例子,通常用于恶意目的。”这种恶意软件会安装一个VBScript,并修改Windows注册表以确保在系统启动时运行团伙的脚本。该脚本会收集受害者计算机的信息、运行的进程、最近的Word文件,并列出目录及其内容。
1.48新型网络钓鱼攻击运用Office漏洞部署NetSupport恶意软件
https://perception-point.io/blog/operation-phantomblu-new-and-evasive-method-delivers-netsupport-rat/
一种新型网络钓鱼活动正在针对美国组织,其目的是部署名为NetSupport RAT的远程访问木马。研究人员正在追踪这一活动,称其为“Operation PhantomBlu”。PhantomBlu行动引入了一种新颖的利用方法,通过利用OLE(对象链接与嵌入)模板操控,巧妙地利用Microsoft Office文档模板来执行恶意代码,同时规避检测,背离了NetSupport RAT的典型传输机制。NetSupport RAT是合法远程桌面工具NetSupport Manager的恶意变种,使得攻击者能在受损的终端上进行一系列数据收集行动。这次攻击从一封假装是会计部门发送、主题涉及工资的钓鱼邮件开始,诱使收件人打开附件中的Microsoft Word文档查看“月度工资报告”。仔细分析邮件头部——特别是Return-Path和Message-ID字段——表明攻击者通过一个名为Brevo(前身为Sendinblue)的合法电子邮件营销平台发送邮件。一旦打开Word文档,受害者被指引输入邮件正文中提供的密码并启用编辑,继而双击嵌入在文档中的打印机图标查看工资图表。这样做实际上会打开一个包含Windows快捷方式文件的ZIP归档文件("Chart20072007.zip"),该快捷方式作为PowerShell拖放者,从远程服务器检索和执行NetSupport RAT二进制文件。
1.49黑客积极利用JetBrains TeamCity漏洞传播恶意软件
https://www.trendmicro.com/en_us/research/24/c/teamcity-vulnerability-exploits-lead-to-jasmin-ransomware.html
根据研究人员的报告,多个威胁行为者正在积极利用JetBrains TeamCity最近曝光的安全漏洞来发动攻击。研究人员报告称,攻击者可以利用CVE-2024-27198进行广泛的恶意活动,包括投放Jasmin勒索软件、部署XMRig加密货币挖矿程序、部署Cobalt Strike信标、部署SparkRAT后门、执行域发现和持久性命令等。攻击者借此安装恶意软件,与指挥控制服务器联系,并执行其他命令,如部署Cobalt Strike信标和远程访问木马。这些恶意活动不仅对敏感数据和关键系统的保密性、完整性和可用性构成威胁,还会给受影响的组织带来财务和运营风险,因此迅速采取行动减轻这些漏洞的危害并防止勒索软件敲诈和其他恶意软件造成进一步损失至关重要。
1.50新型“Loop DoS”攻击威胁30万系统
https://cispa.de/en/loop-dos
研究人员发现了一种名为“Loop DoS”的新型拒绝服务(DoS)攻击方式,该攻击通过UDP漏洞针对应用层协议,创建无限循环通信,影响约30万主机。与传统的滥用大量流量使系统不堪重负的DoS攻击不同,“Loop DoS”攻击利用了UDP(面向无连接的协议)不验证消息的特性,通过伪造IP地址制造服务器间的无休止通信,导致服务不可用。这种攻击可以影响DNS、NTP、TFTP等常用协议,以及Echo和Chargen这样的传统协议。尽管目前还未发现该漏洞被广泛利用,但此现象展示了网络安全威胁的演变和网络犯罪分子的高级化。系统管理员和IT安全专家需通过阻止使用UDP协议、转向采用认证和监控的TCP通信等手段来减少威胁。
1.51豪华游艇经销商遭Rhysida勒索软件攻击
https://www.theregister.com/2024/03/21/luxury_yacht_dealer_rhysida/
美国豪华游艇经销商MarineMax在本月初遭到了Rhysida勒索软件团伙的网络攻击。该集团宣称对此次攻击负责,并在其网站上发布了声称从MarineMax窃取的数据片段。这些文件主要与账户和财务相关,但文件的具体性质并不清晰。尽管MarineMax在3月10日向证券交易委员会(SEC)披露了网络攻击,并采取了一系列措施来减少业务受到的影响,但他们当时并未提及勒索软件的参与。MarineMax在提交给SEC的8-K表格中声称,受影响的信息环境中并未存储敏感数据。据了解,该公司在去年录得数十亿美元的收入,攻击发生后其业务在“所有重要方面继续进行”。Rhysida集团目前在其网站上进行七天拍卖,声称如果收到一个它们认为合理的出价,就会将数据独家出售给第三方,而不是公开。这种方法实际上是在受害者拒绝支付赎金的情况下,勒索软件攻击者获取收益的第二种手段。这种双重敲诈的勒索软件场景中,攻击者通常会要求赎金,如果受害者不支付,就会在线上公布窃取的数据。
1.52微软曝光利用纳税申报表的新型网络钓鱼骗局
https://www.microsoft.com/en-us/security/blog/2024/03/20/microsoft-threat-intelligence-unveils-targets-and-innovative-tactics-amidst-tax-season/
微软最近警告称,在纳税季节,针对个人纳税人和企业的网络钓鱼及恶意软件活动正在升温。这些网络诈骗活动不仅针对新税务人士、最近获得绿卡的移民、自行申报的小企业主以及年长者等特定群体,还使用紧急手段来窃取他们的个人和财务数据。攻击者经常伪装成可信来源,例如雇主、税务机构和支付处理商,发送模糊或不完整的税务文件,创建紧急感,诱使目标点击带有恶意附件的电子邮件。这些附件被设计用来窃取登录凭证,或将受害者重定向到假冒的看似合法的税务平台网站上。在2024年1月,微软已经识别出一种由雇主发送税务文件看起来的电子邮件诈骗案例,点击其附带的HTML文件会导致受害者跳转到一个假的登陆页面,目的是为了窃取用户的登录凭证。研究人员截获的活动是伪装的正式税表,如W-2和W-9通知以及其他工资税文件。这些邮件附带的HTML附件会触发Cloudflare的验证码检查,最后将受害者导向一个钓鱼页面,旨在收集敏感信息。当收件人打开这些附件时,JavaScript脚本被执行,有助于安装窃取信息的恶意软件。
1.53俄黑客组织APT29针对德国政党发起网络攻击
https://www.mandiant.com/resources/blog/apt29-wineloader-german-political-parties
俄罗斯黑客团伙APT29被指控对德国政党进行网络攻击作为其背后莫斯科支持的间谍活动的一部分。安研究人员表示,此次行动是该组织首次针对政治组织。研究人员发布的报告中将这次活动归咎于与俄罗斯外交情报局关联的APT29。该活动自2月底以来活跃,主要通过假装来自德国基督教民主联盟的网络钓鱼邮件进行。攻击者发送的钓鱼电子邮件看起来是来自德国基督教民主联盟的,邀请受害者参加晚宴接待。这些邮件包含了一个伪装成zip文件附件的恶意软件"RootSaw"。一旦受害者下载了恶意文件,就会安装一个名为"WineLoader"的全新后门恶意软件,该软件能够执行解密功能以调用shellcode,并与指挥控制服务器建立通信,发送诸如受害者的用户和设备名称之类的信息,以帮助攻击者识别受害者。基于对WineLoader解密文件的分析,研究人员估计,威胁行为者可能已将该变体从他们之前链接到去年针对乌克兰外交官的类似钓鱼活动的MuskyBeat旧变体中复用。尽管该组织之前曾针对欧洲政府、外国大使馆和相关外交活动,但研究人员称,这次新活动是该团伙首次被发现针对政治党派,这表明攻击者未来行动策略的改变。
1.54SmokeLoader恶意软件针对金融部门发起网络钓鱼攻击
https://scpc.gov.ua/api/files/8e300d33-6257-4d7f-8f72-457224268343
近期,一群以金融动机为驱动的黑客利用SmokeLoader恶意软件,广泛针对乌克兰政府和行政机构的财务部门进行了一系列的网络钓鱼攻击活动。根据研究人员共同跟踪,他们分析了从2023年5月到11月发生的23起网络钓鱼活动。在这些频繁且规模庞大的攻击中,利用诱骗性电子邮件,黑客锁定了政府、防务、电信、零售和金融部门的财务部门。攻击者使用之前泄露的电子邮件地址来构建信任感,邮件主题常关于支付和账单,且包含以前泄露事件中窃取的合法财务文件。虽然试图使电子邮件看起来可信,但邮件中常有拼写错误,并混杂乌克兰语和俄语单词。他们还使用Windows合法工具和双文件扩展名欺骗用户,以在网络中维持持久性、搜集信息和横向移动。攻击者还使用了过时的SmokeLoader版本,并依赖多义文件在某些情况下规避传统的电子邮件保护。研究人员预测,基于对过去7个月使用SmokeLoader攻击的周期性分析,类似的网络钓鱼活动每月至少会组织两次。
1.55AndroxGh0st恶意软件攻击Laravel应用窃取云凭证
https://blogs.juniper.net/en-us/security/shielding-networks-against-androxgh0st
研究人员近日揭示了一个名为AndroxGh0st的恶意软件,该软件针对使用Laravel框架的应用程序,窃取敏感数据,包括云服务凭证。研究人员表示,AndroxGh0st通过扫描和窃取.env文件中的重要信息,揭露了与AWS和Twilio等服务相关的登录详情。该恶意软件自2022年起就已在野外被检测到,利用者通过它访问Laravel环境文件,窃取包括亚马逊云服务(AWS)在内的各种云服务应用程序的凭证。AndroxGh0st利用已知的Apache HTTP服务、Laravel框架和PHPUnit中的安全漏洞,以获得初步访问权限,并进行权限提升与持久化控制。今年1月,美国网络安全和情报机构即警告攻击者正在部署AndroxGh0st恶意软件来构建一个用于“在目标网络中识别和利用受害者”的僵尸网络。此外,研究人员观察到针对CVE-2017-9841的活动有所增加,呼吁用户迅速更新到最新版本以避免风险。
1.56新型Loop DOS攻击可能针对30万个脆弱主机
https://securityaffairs.com/160851/hacking/loop-dos-attack.html
该攻击通过配对使用UDP协议的服务器,并利用IP伪造技术,诱导它们进入一个无限循环的通信状态。
1.57Sign1 恶意软件感染了9 万个 WordPress 网站
https://www.bleepingcomputer.com/news/security/evasive-sign1-malware-campaign-infects-39-000-wordpress-sites/
在对 Sign1 恶意软件详细分析后,Sucuri 指出该恶意软件使用了基于时间戳的随机化生成动态 URL,每 10 分钟就会更新一次,以躲避安全拦截。
2.攻击特点总结
(1)TimbreStealer
攻击方式:通过发送与墨西哥税务相关的垃圾邮件,利用地理围栏技术定向投放给墨西哥用户,附件中包含恶意的PDF文件而非真实税务文件。
目的:窃取墨西哥用户的信息,是一款针对该地区的新款模糊信息窃取程序。
(2)Agent Tesla
攻击方式:假冒知名品牌(如Booking.com)发送伪造的退款请求邮件,附带PDF格式的卡对账单,实为恶意JavaScript下载器。执行后下载PowerShell脚本,通过复杂混淆技术加载Agent Tesla恶意软件。
目的:窃取数据和在受感染系统上执行命令,针对旅游行业展开攻击。
(3)德国黑森州消费者中心遭遇勒索软件攻击
影响:导致IT基础设施暂时无法使用或受限,后经过恢复,大部分服务已恢复正常。
未知因素:攻击的具体途径尚未明确,组织正与外部安全专家合作调查。
(4)Atomic Stealer
目标:针对苹果macOS系统,窃取加密钱包信息、浏览器数据、系统信息和密码等敏感内容。
(5)勒索软件威胁加剧
趋势:Proofpoint报告指出,过去一年有69%的组织遭受勒索软件攻击,比例较上年增长5个百分点,成为企业面临的主要威胁之一。
(6)Bifrost恶意软件
逃避技术:使用类似VMware的欺骗性域名(download.vmfare[.]com),以逃避安全检测,通过该域名与C&C服务器通信。
(7)新型恶意软件BunnyLoader 3.0:
特性:专门窃取登录凭证和加密货币,具备高度隐蔽性,3.0版本性能提升90%,体积更小,键盘记录功能增强,更具危险性。
逃避策略:更改文件名、模仿合法应用等手段以躲避检测。
(8)APT28网络钓鱼攻击
目标:针对欧洲、南高加索、中亚以及北美和南美的政府与非政府组织。
手法:使用看似官方的诱饵文档,利用Microsoft Windows的URI协议处理器下载恶意软件,通过WebDAV服务器传播,使用MASEPIE、OCEANMAP和STEELHOOK等后门程序进行数据窃取和远程控制。
(9)朝鲜APT组织Lazarus利用Tornado Cash洗钱:
金额:洗钱总额达2300万美元,与HTX交易所被盗案有关。
背景:Tornado Cash已受到美国OFAC制裁,但Lazarus仍继续使用,且曾使用其他混合器如Sinbad.io,但已被查封。
(10)针对中国用户的恶意广告:
手段:提供虚假Notepad++和VNote安装包,通过广告平台诱使中国用户下载,植入恶意软件。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...