2024年5月恶意软件及勒索病毒总体情况

1、LockBItSupp否认自己就是LockBit 头目霍罗舍夫

https://therecord.media/lockbitsupp-interview-ransomware-cybercrime-lockbit

LockBit 勒索软件团伙的头目网络名叫 LockBitSupp，他在接受采访时称国际执法部门犯了一个错误：他不是德米特里·尤里耶维奇·霍罗舍夫，执法部门将错误的人附加到了他的名称上。

2、波音公司去年43GB 数据泄露，拒绝向黑客支付 2 亿美元赎金

https://www.ithome.com/0/766/908.htm

波音公司周三披露细节，称 2023 年 11 月公司遭到勒索软件攻击，黑客索要高达 2 亿美元（的赎金，最终公司决定拒绝支付。

3、FIN7组织利用恶意Google广告传播NetSupport RAT

https://www.esentire.com/blog/fin7-uses-trusted-brands-and-sponsored-google-ads-to-distribute-msix-payloads/

据观察，出于经济动机的威胁行为者FIN7利用欺骗合法品牌的恶意Google广告作为提供MSIX安装程序的手段，最终部署NetSupport RAT。攻击者利用恶意网站冒充知名品牌，包括AnyDesk、WinSCP、BlackRock、Asana、Concur、华尔街日报、Workable和Google Meet。FIN7（又名Carbon Spider和Sangria Tempest）是一个持续存在的电子犯罪组织，自2013年以来一直活跃，最初涉足针对销售点(PoS)设备的攻击以窃取支付数据，后来转向通过勒索软件活动破坏大型公司。多年来，攻击者改进了其策略和恶意软件库，采用了各种自定义恶意软件系列，例如BIRDWATCH、Carbanak、DICELOADER（又名Lizar和Tirion）、POWERPLANT、POWERTRASH和TERMITE等。

4、恶意Python包在虚假请求库徽标中隐藏Sliver C2框架

https://blog.phylum.io/malicious-go-binary-delivered-via-steganography-in-pypi/

研究人员发现了一个恶意Python包，该包声称是流行的requests库的一个分支，并且被发现在该项目徽标的PNG图像中隐藏了Golang版本的Sliver命令与控制(C2)框架。使用这种隐写术的包是requests-darwin-lite，在从Python包索引(PyPI)注册表中删除之前，该包已被下载417次。Requests-darwin-lite似乎是流行的requests包的一个分支，有一些关键的区别，最明显的是包含一个恶意的Go二进制文件，打包到实际requests侧边栏PNG徽标的大版本中。这些更改已在程序包的setup.py文件中引入，该文件已配置为解码并执行Base64编码的命令以收集系统的通用唯一标识符(UUID)。

5、Black Basta勒索软件攻击了北美、欧洲和澳洲的500 多个公司

https://thehackernews.com/2024/05/black-basta-ransomware-strikes-500.html

自 2022 年 4 月出现以来，Black Basta 勒索软件即服务 (RaaS) 行动已针对北美、欧洲和澳大利亚的 500 多个私营行业和关键基础设施实体。

6、英国去年遭受的勒索软件和网络攻击达到历史新高

https://therecord.media/uk-ico-ransomware-cyberattacks-data-2023

根据信息专员办公室(ICO)最新的安全事件趋势数据更新，2023 年网络事件造成的数据泄露，尤其是勒索软件攻击，再创历史新高，自有记录以来，勒索软件攻击数量逐年增加。

7、 INC勒索软件源代码在黑客论坛上以30万美元出售

https://www.secrss.com/articles/66098

在涉嫌出售同时，INC Ransom的运营也在发生变化，这可能表明其核心团队成员之间出现分歧，或者计划进入一个涉及使用新的加密器的阶段。

8、黑客组织 FIN7 借用 Google Ads 传播恶意软件

https://www.freebuf.com/news/400742.html

近日，网络安全研究人员发现黑客组织 FIN7 滥用 Google Ads ，散播、部署恶意软件 NetSupport RAT。

9、勒索攻击组织采用新型社工手段诱导目标安装远控工具

https://www.rapid7.com/blog/post/2024/05/10/ongoing-social-engineering-campaign-linked-to-black-basta-ransomware-operators

研究人员发现了一项正在进行的社会工程活动，该活动用垃圾邮件轰炸企业，其目的是获得对其环境的初始访问权限以进行后续利用。该事件涉及威胁行为者用垃圾邮件淹没用户的电子邮件，并致电用户提供帮助。威胁行为者会提示受影响的用户下载AnyDesk等远程监控和管理软件，或利用Microsoft的内置快速协助功能来建立远程连接。据称，这一新颖的活动自2024年4月下旬开始进行，电子邮件主要包括来自合法组织的时事通讯注册确认消息，这样做的目的是扰乱电子邮件保护解决方案。

10、研究人员披露新型Cuttlefish恶意软件可劫持路由器连接

https://blog.lumen.com/eight-arms-to-hold-you-the-cuttlefish-malware/

一种名为 Cuttlefish 的新恶意软件针对小型办公室和家庭办公室 (SOHO) 路由器，其目标是秘密监控通过设备的所有流量，并从 HTTP GET 和 POST 请求收集身份验证数据。这种恶意软件是模块化的，主要目的是窃取从相邻局域网 (LAN) 传输路由器的 Web 请求中发现的身份验证材料。第二个功能使其能够执行 DNS 和 HTTP 劫持，以连接到与内部网络上的通信相关的私有 IP 空间。有源代码证据表明与另一个先前已知的名为 HiatusRAT 的活动集群重叠，尽管迄今为止尚未观察到共享的受害者学。据说这两个操作是同时运行的。

11、攻击者过去五年中在Docker Hub植入了数百万个恶意无镜像仓库

https://jfrog.com/blog/attacks-on-docker-with-millions-of-malicious-repositories-spread-malware-and-phishing-scams/

研究人员发现了多个针对 Docker Hub 的活动，在过去五年中植入了数百万个恶意“无镜像”仓库。Docker Hub 中超过 400 万个存储库是无镜像的，除了存储库文档之外没有任何内容。更重要的是，该文档与公共仓库没有任何关系。相反，它是一个旨在引诱用户访问网络钓鱼或恶意软件托管网站的网页。在发现的 460 万个无图像 Docker Hub 仓库中，据说其中 281 万个存储库被用作登陆页面，将毫无戒心的用户重定向到欺诈网站，例如下载器、电子书网络钓鱼等。

12、法国医院CHC-SV称拒绝支付LockBit勒索软件组织的赎金

https://www.bleepingcomputer.com/news/security/french-hospital-chc-sv-refuses-to-pay-lockbit-extortion-demand/

法国戛纳医院西蒙娜·韦伊医院 (CHC-SV) 宣布收到 Lockbit 3.0 勒索软件团伙的赎金要求，并表示他们拒绝支付赎金。4 月 17 日，这家拥有 840 个床位的医院宣布因网络攻击造成严重运营中断，迫使其所有计算机脱机并重新安排非紧急程序和预约。5 月 30 日，该机构在 X 上宣布，已收到 Lockbit 3.0 勒索软件操作的赎金要求，并将其转发给宪兵队和国家信息系统安全局 (ANSSI)。与此同时，LockBit 勒索软件组织在暗网上的勒索门户上添加了 CHC-SV，威胁要在当天结束前泄露攻击期间被盗的第一个文件样本包。

13、APT28组织利用Outlook漏洞攻击捷克和德国实体

https://mzv.gov.cz/jnp/en/issues_and_press/press_releases/statement_of_the_mfa_on_the_cyberattacks.html

捷克和德国周五透露，它们是与俄罗斯有联系的民族国家组织APT28进行的长期网络间谍活动的目标。捷克共和国外交部 (MFA) 在一份声明中表示，该国一些未透露姓名的实体因去年初曝光的 Microsoft Outlook 安全漏洞而遭到攻击。外交部表示：“针对政治实体、国家机构和关键基础设施的网络攻击不仅对国家安全构成威胁，而且破坏了我们自由社会所依赖的民主进程。”所涉及的安全漏洞是CVE-2023-23397，这是 Outlook 中现已修补的一个关键权限升级漏洞，可能允许攻击者访问 Net-NTLMv2 哈希值，然后使用它们通过中继攻击来验证自己的身份。

14、攻击者滥用微软 Graph API进行隐秘恶意软件通信活动递增

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/graph-api-threats

攻击者越来越多地将Microsoft Graph API武器化以用于恶意目的，以逃避检测。自 2022 年 1 月以来，已观察到多个国家联盟的黑客组织使用 Microsoft Graph API 进行 C&C。其中包括被追踪为APT28、REF2924、Red Stinger、Flea、APT29和OilRig的威胁行为者。第一个已知的 Microsoft Graph API 滥用实例可以追溯到 2021 年 6 月，涉及一个名为Harvester的活动集群，该集群被发现使用名为 Graphon 的自定义植入程序，该植入程序利用该 API 与 Microsoft 基础设施进行通信。最近检测到乌克兰的一个未透露姓名的组织使用了相同的技术，该组织涉及部署一种名为 BirdyClient（又名 OneDriveBirdyClient）的先前未记录的恶意软件。

15、研究人员披露针对macOS系统的新信息窃取程序Cuckoo

https://www.sentinelone.com/blog/macos-adload-prolific-adware-pivots-just-days-after-apples-xprotect-clampdown/

研究人员发现了一种针对 Apple macOS 系统的新信息窃取程序，旨在在受感染的主机上建立持久性并充当间谍软件。该恶意软件被称为Cuckoo，是一种通用的 Mach-O 二进制文件，能够在基于 Intel 和 Arm 的 Mac 上运行。目前尚不清楚确切的分发向量，尽管有迹象表明该二进制文件托管在 dumpmedia[.]com、tunesolo[.]com、fonedog[.]com、tunesfun[.]com 和unefab[.]com 等网站上声称提供免费和付费版本的应用程序，专门用于从流媒体服务中提取音乐并将其转换为 MP3 格式。从网站下载的磁盘映像文件负责生成 bash shell 来收集主机信息，并确保受感染的计算机不位于亚美尼亚、白俄罗斯、哈萨克斯坦、俄罗斯、乌克兰。仅当区域设置检查成功时才会执行恶意二进制文件。

16、波兰总检察长称前政府使用间谍软件 Pegasus 监视了数百人

https://www.solidot.org/story?sid=78045

总检察长表示间谍软件生成了被监视者“私人和职业生活”的大量信息。他强调波兰政府无法完全控制所收集的数据，因为该系统运行是基于是以色列公司授予的许可证。

17、ScalyWolf组织利用White Snake恶意软件攻击俄罗斯工业

https://bi.zone/eng/expertise/blog/scaly-wolf-primenyaet-stiler-white-snake-protiv-rossiyskoy-promyshlennosti/

研究人员发现了 Scaly Wolf 组织针对俄罗斯和白俄罗斯组织发起的新活动。攻击者正在以联邦机构的名义分发网络钓鱼电子邮件。这些电子邮件包含合法文档作为附件。它的目的是降低收件人的警惕性，并提示他们打开另一个文件，即受密码保护的存档。通过代表政府机构发送的网络钓鱼电子邮件，受害者更有可能与恶意附件进行交互。

18、研究人员披露HijackLoader恶意软件本更新了其规避技术

https://www.zscaler.com/blogs/security-research/hijackloader-updates

HijackLoader（又名 IDAT Loader）是一种恶意软件加载程序，最初于 2023 年发现，能够使用各种模块进行代码注入和执行。它使用模块化架构，这是大多数加载器所不具备的功能。研究人员最近分析了一个新的 HijackLoader 样本，该样本更新了规避技术。这些增强功能旨在提高恶意软件的隐蔽性，从而在更长的时间内保持不被发现。HijackLoader 现在包含用于添加 Windows Defender 防病毒排除项、绕过用户帐户控制 (UAC)、规避安全软件经常用于检测的内联 API 挂钩以及采用进程空洞的模块。

19、研究人员披露伪装成证书的LNK文件分发RokRAT恶意软件

https://asec.ahnlab.com/en/65076/

研究人员已确认持续传播异常大小的快捷方式文件（.LNK），用于传播后门型恶意软件。最近确认的快捷方式文件（.LNK）被发现是针对韩国用户，特别是与朝鲜有关的用户。确认的LNK文件名机翻的名称为：国家信息学院第八期综合课程证书（最终）.lnk、门禁名册2024.lnk、东北项目（美国国会研究服务处（CRS 报告）.lnk、设施清单.lnk。

20、新版本 Redline 木马使用 Lua 字节码逃避检测

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/redline-stealer-a-novel-approach/

近日，研究人员观察到 Redline Stealer 木马的新变种，开始利用 Lua 字节码逃避检测。根据遥测数据，Redline Stealer 木马已经日渐流行，覆盖北美洲、南美洲、欧洲和亚洲甚至大洋洲。

21、专家发现了 macOS 版本的复杂 LightSpy 间谍软件

https://securityaffairs.com/163888/malware/lightspy-macos-version.html

研究人员发现 macOS 版本的 LightSpy 监视框架至少自 2024 年 1 月以来一直在野外活跃。

22、Moonstone Sleet组织与FakePenny勒索软件攻击有关联性

https://www.microsoft.com/en-us/security/blog/2024/05/28/moonstone-sleet-emerges-as-new-north-korean-threat-actor-with-new-bag-of-tricks/

微软将其追踪的一个朝鲜黑客组织Moonstone Sleet与FakePenny勒索软件攻击联系起来，这些攻击导致数百万美元的赎金要求。虽然该威胁组织的战术、技术和程序（TTP）在很大程度上与其他朝鲜攻击者重叠，但它也逐渐采用了新的攻击方法以及其自定义的基础设施和工具。此前被追踪为Storm-17的Moonstone Sleet已被观察到使用特洛伊化软件（如PuTTY）、恶意游戏和npm包、自定义恶意软件加载器，以及设立虚假软件开发公司（如StarGlow Ventures、C.C. Waterfall）与潜在受害者在LinkedIn、Telegram、自由职业网络或通过电子邮件互动，来攻击金融和网络间谍目标。“当微软首次检测到Moonstone Sleet活动时，该行为体与Diamond Sleet有很强的重叠，广泛重用已知的Diamond Sleet恶意软件（如Comebacker）的代码，并使用已建立的Diamond Sleet技术访问组织，如通过社交媒体传递特洛伊化软件，”微软表示。

23、新型ShrinkLocker勒索软件使用BitLocker加密文件

https://usa.kaspersky.com/about/press-releases/2024_kaspersky-uncovers-new-bitlocker-abusing-ransomware

一种名为ShrinkLocker的新型勒索软件通过使用Windows BitLocker创建新的启动分区来加密企业系统的文件。ShrinkLocker之所以得名，是因为它通过缩小可用的非启动分区来创建启动卷。它已被用于攻击政府机构以及疫苗和制造业部门的公司。使用BitLocker加密计算机的勒索软件并不新鲜。一名威胁行为者曾使用Windows的这一安全功能加密了比利时一家医院40台服务器上的100TB数据。另一个攻击者用它加密了莫斯科一家肉类生产和分销公司的系统。在2022年9月，研究人员警告称，伊朗国家支持的攻击者利用BitLocker加密运行Windows 10、Windows 11或Windows Server 2016及更新版本的系统。研究人员表示ShrinkLocker具有以前未报道的功能，以最大化攻击的破坏力。ShrinkLocker用Visual Basic脚本（VBScript）编写，这是微软于1996年引入的一种语言，目前正在逐步淘汰——从Windows 11 24H2版本开始作为按需功能提供（目前处于发布预览阶段）。

24、研究人员在Google Play上发现超过90个恶意Android应用

https://www.zscaler.com/blogs/security-research/technical-analysis-anatsa-campaigns-android-banking-malware-active-google

研究人员在Google Play上发现了超过90个恶意Android应用程序，这些应用程序总共被安装了超过550万次，用于传播恶意软件和广告软件。其中，Anatsa银行木马最近活动激增。Anatsa（又称“Teabot”）是一种银行木马，针对欧洲、美国、英国和亚洲的650多家金融机构的应用程序。它试图窃取人们的电子银行凭证以进行欺诈交易。自去年底以来，Anatsa通过使用各种伪装应用程序在生产力软件类别中，通过Google Play至少感染了150,000个设备。Anatsa重新出现在Android的官方应用商店，并通过两个伪装应用程序进行分发：“PDF Reader & File Manager”和“QR Reader & File Manager”。

26、BLOODALCHEMY恶意软件针对南亚和东南亚政府发起攻击

https://blog-en.itochuci.co.jp/entry/2024/05/23/090000

网络安全研究人员发现，用于攻击南亚和东南亚政府组织的BLOODALCHEMY恶意软件实际上是Deed RAT的更新版本，后者被认为是ShadowPad的继任者。BLOODALCHEMY和Deed RAT的起源是ShadowPad，考虑到ShadowPad在众多APT攻击活动中的历史，特别关注这种恶意软件的使用趋势是至关重要的。BLOODALCHEMY首次是在2023年10月记录，当时与其追踪的REF5961入侵组织在东南亚国家联盟（ASEAN）国家的攻击活动有关。这是一个用C语言编写的基础x86后门，通过一种名为DLL侧加载的技术注入到签名的良性进程（“BrDifxapi.exe”）中，能够覆盖工具集、收集主机信息、加载额外的负载，并自行卸载和终止。虽然尚未确认，但存在如此少的有效命令表明该恶意软件可能是更大入侵集或恶意软件包的一个子功能，仍在开发中，或者是针对特定战术用途的极其专注的恶意软件。

27、JAVS法庭录音软件在供应链攻击中被植入后门

https://www.rapid7.com/blog/post/2024/05/23/cve-2024-4978-backdoored-justice-av-solutions-viewer-software-used-in-apparent-supply-chain-attack/

攻击者在广泛使用的Justice AV Solutions (JAVS)法庭视频录音软件的安装程序中植入了后门恶意软件，能够接管受感染的系统。开发该软件的公司JAVS表示，这款数字录音工具目前在全球众多法庭、律师事务所、监狱和政府机构中已有超过10000次安装。JAVS已从其官方网站上移除受感染版本，并表示包含恶意fffmpeg.exe二进制文件的木马化软件“并非来自JAVS或与JAVS相关的任何第三方。公司还对所有系统进行了全面审计，并重置了所有密码，以确保如果密码被窃取，未来的攻击尝试无法利用这些密码。“通过持续监控和与网络安全机构的合作，我们发现有人试图用受感染文件替换我们的Viewer 8.3.7软件。”公司表示。

28、OmniVision在2023年勒索软件攻击后披露数据泄露事件

https://www.documentcloud.org/documents/24674250-omnivision

总部位于加利福尼亚的成像传感器制造商OmniVision警告称，去年该公司遭遇了Cactus勒索软件攻击，导致数据泄露。OmniVision是中国韦尔半导体的子公司，设计和开发用于智能手机、笔记本电脑、网络摄像头、汽车、医疗成像系统等领域的成像传感器。2023年，该公司拥有2200名员工，年收入达14亿美元。上周五，OmniVision通知了加利福尼亚州当局，称该公司在2023年9月4日至9月30日期间发生了一起安全漏洞事件，当时其系统被勒索软件加密。“2023年9月30日，OVT了解到一起安全事件，导致某些OVT系统被未经授权的第三方加密，”公告中写道。

29、勒索软件攻击遵循既定的模式利用VMware ESXi漏洞

https://www.sygnia.co/blog/esxi-ransomware-attacks/

无论部署了何种文件加密恶意软件，针对VMware ESXi基础设施的勒索软件攻击都遵循既定模式。虚拟化平台是组织IT基础设施的核心组成部分，但它们往往存在固有的错误配置和漏洞，使其成为威胁行为者滥用的有利且高效的目标。研究人员通过其涉及各种勒索软件家族（如LockBit、HelloKitty、BlackMatter、RedAlert (N13V)、Scattered Spider、Akira、Cactus、BlackCat和Cheerscrypt）的事件响应工作发现，对虚拟化环境的攻击遵循类似的行动顺序。

30、攻击者利用Foxit PDF 阅读器漏洞传播多种恶意软件

https://research.checkpoint.com/2024/foxit-pdf-flawed-design-exploitation/

多个威胁行为者正在利用Foxit PDF Reader中的设计漏洞，传播各种恶意软件，如Agent Tesla、AsyncRAT、DCRat、NanoCore RAT、NjRAT、Pony、Remcos RAT和XWorm。该漏洞触发的安全警告可能会欺骗毫无防备的用户执行有害命令。值得注意的是，Adobe Acrobat Reader，更常见于沙箱或杀毒解决方案中，不易受此特定漏洞的影响，这也导致了该活动的低检测率。当用户被要求在启用某些功能之前信任文档以避免潜在的安全风险时，应用程序在弹出窗口中将“确定”设为默认选项。一旦用户点击“确定”，会显示第二个弹出窗口，警告文件即将执行附加命令，并将“打开”设为默认选项。然后，该命令用于下载并执行托管在Discord内容交付网络（CDN）上的恶意负载。

31、新的ATM恶意软件家族出现，称能够入侵欧洲 99% 的设备

https://securityaffairs.com/163732/malware/eu-atm-malware.html

一名威胁者正在宣传一种新的 ATM 恶意软件家族，声称能够入侵欧洲 99% 的设备。该威胁者以 30,000 美元的价格出售该恶意软件，他声称“欧盟 ATM 恶意软件”是从头设计的，还可以攻击 全球约 60% 的 ATM。

32、研究人员披露假冒杀软网站传播安卓和Windows恶意软件

https://www.trellix.com/blogs/research/a-catalog-of-hazardous-av-sites-a-tale-of-malware-hosting/

威胁行为者被发现利用假冒合法杀毒解决方案（如Avast、Bitdefender和Malwarebytes）的虚假网站传播恶意软件，这些恶意软件能够窃取安卓和Windows设备上的敏感信息。通过看似合法的网站托管恶意软件对普通消费者具有侵害性，尤其是那些希望保护设备免受网络攻击的人。这些网站包括：avast-securedownload[.]com，用于以Android软件包文件形式（"Avast.apk"）传播SpyNote木马，一旦安装，该木马会请求侵入性权限，如读取短信和通话记录、安装和删除应用程序、截屏、追踪位置，甚至挖掘加密货币。bitdefender-app[.]com，用于分发ZIP压缩文件（"setup-win-x86-x64.exe.zip"），其中包含Lumma信息窃取恶意软件。malwarebytes[.]pro，用于分发RAR压缩文件（"MBSetup.rar"），其中包含StealC信息窃取恶意软件。

33、攻击者在针对MITRE网络攻击中创建了恶意虚拟机来逃避检测

https://medium.com/mitre-engenuity/infiltrating-defenses-abusing-vmware-in-mitres-cyber-intrusion-4ea647b83f5b

MITRE公司透露，在2023年12月底针对这家非营利公司的网络攻击中，黑客利用Ivanti Connect Secure (ICS)的零日漏洞，通过在其VMware环境中创建恶意虚拟机来进行攻击。对手在VMware环境中创建了自己的恶意虚拟机，利用了被攻陷的vCenter Server访问权限。攻击者在vCenter Server的Tomcat服务器下编写并部署了一个名为BEEFLUSH的JSP web shell，以执行一个基于Python的隧道工具，促进对手创建的虚拟机与ESXi虚拟化基础设施之间的SSH连接。这种做法的动机是通过从集中管理界面（如vCenter）隐藏其恶意活动来规避检测，并在减少被发现风险的同时保持持久访问。

34、Grandoreiro 木马重浮水面，全球 1500 多家组织遭殃

https://thehackernews.com/2024/05/grandoreiro-banking-trojan-resurfaces.html

研究人员发现基于 Windows 的 Grandoreiro 特洛伊银行木马再次重新浮出水面。据悉，这是该木马在 2024 年 3 月份之后，又一次在全球范围内发动攻击。

35、BLACKBASTA勒索软件称入侵了美国最大石油分销商之一 ATLAS

https://securityaffairs.com/163489/cyber-crime/blackbasta-claims-atlas-hack.html

Blackbasta 勒索组织声称入侵了美国最大的全国燃料分销商之一阿特拉斯 (Atlas)。该团伙声称从 ATLAS 窃取了 730GB 数据，包括公司数据：账户、人力资源、财务、高管、部门数据以及用户和员工数据。

36、研究人员披露CLOUD#REVERSER恶意攻击活动

https://www.securonix.com/blog/analysis-and-detection-of-cloudreverser-an-attack-involving-threat-actors-compromising-systems-using-a-sophisticated-cloud-based-malware/

研究人员发现了一项名为CLOUD#REVERSER的新攻击活动，该活动利用Google Drive和Dropbox等合法的云存储服务来放置恶意负载。CLOUD#REVERSER中的VBScript和PowerShell脚本本质上涉及使用Google Drive和Dropbox作为平台进行文件上传和下载的指挥控制活动。这些脚本被设计用于获取符合特定模式的文件，这表明它们正在等待放置在Google Drive或Dropbox中的命令或脚本。攻击链的起点是一封包含ZIP归档文件的钓鱼电子邮件，该文件包含一个伪装成Microsoft Excel文件的可执行文件。

37、福昕 PDF 阅读器漏洞被黑客利用，传播多种恶意软件

https://thehackernews.com/2024/05/foxit-pdf-reader-flaw-exploited-by.html

多个威胁参与者正在利用 Foxit PDF Reader 中的设计缺陷来传播各种恶意软件，例如 Agent Tesla、AsyncRAT、DCRat、NanoCore RAT、NjRAT、Pony、Remcos RAT 和 XWorm。

38、Kimsuky针对韩国发起网络攻击并部署Linux后门Gomir

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/springtail-kimsuky-backdoor-espionage

Kimsuky（又名Springtail）高级持续威胁(APT)组织部署了Linux版本的GoBear后门以发起网络攻击活动。GoBear于2024年2月上旬首次被韩国安全公司记录，该活动与传播名为Troll Stealer（又名TrollAgent）的恶意软件的活动有关，该恶意软件与AppleSeed和AlphaSeed等已知的Kimsuky恶意软件系列重叠。该恶意软件是通过从韩国建筑相关协会网站下载的木马安全程序进行分发的。

39、恶意PyPi包使用Sliver C2套件在Mac上安装后门

https://blog.phylum.io/malicious-go-binary-delivered-via-steganography-in-pypi/

一个新包模仿了Python包索引(PyPI)上流行的“请求”库，以带有Sliver C2对抗框架的macOS设备为目标，用于获得对企业网络的初始访问权限。研究人员发现，该活动涉及多个步骤和混淆层，包括在PNG图像文件中使用隐写术在目标上秘密安装Sliver有效负载。截至撰写本文时，恶意PyPI软件包已被删除，但它的发现是Sliver越来越多地采用远程访问企业网络的另一个迹象。Sliver是一款跨平台（Windows、macOS、Linux）开源对抗框架测试套件，专为“红队”操作而设计，在测试网络防御时模拟对手的行为。其主要功能包括自定义植入生成、命令和控制(C2)功能、后利用工具/脚本以及丰富的攻击模拟选项。

40、Phorpiex发送数百万钓鱼邮件进行LockBit 勒索活动

https://www.bleepingcomputer.com/news/security/botnet-sent-millions-of-emails-in-lockbit-black-ransomware-campaign/

自4月份以来，已通过Phorpiex僵尸网络发送了数百万封钓鱼电子邮件，以开展大规模的LockBit Black勒索软件活动。攻击者使用包含部署LockBit Black有效负载的可执行文件的ZIP附件，该有效负载一旦启动就会对接收者的系统进行加密。这些攻击中部署的LockBit Black加密器很可能是使用一名心怀不满的开发人员于2022年9月在Twitter上泄露的LockBit 3.0构建器构建的。不过，据信该活动与实际的LockBit勒索软件操作没有任何关系。

41、Kimsuky组织利用Facebook Messenger传播恶意软件

https://www.genians.co.kr/blog/threat_intelligence/facebook

与朝鲜有联系的Kimsuky黑客组织被归因于一种新的社会工程攻击，该攻击利用虚构的Facebook帐户通过Messenger攻击目标，并最终传播恶意软件。攻击者创建了一个Facebook帐户，其身份伪装成在朝鲜人权领域工作的公职人员。声明指出，这次冒充合法个人的多阶段攻击活动旨在针对朝鲜人权和反朝领域的活动人士。该方法与典型的基于电子邮件的鱼叉式网络钓鱼策略不同，它利用社交媒体平台通过Facebook Messenger接近目标，并诱骗他们打开由该角色编写的看似私人的文档。

42、悬赏1000万，LockBit 勒索软件主谋被揭露、被指控

https://www.securityweek.com/lockbit-ransomware-mastermind-unmasked-charged/

一名俄罗斯国民被执法部门认定为臭名昭著的 LockBit 勒索软件操作的幕后策划者。该男子名叫迪米特里·尤里耶维奇·霍罗舍夫 (Dimitry Yuryevich Khoroshev)，31 岁，来自俄罗斯沃罗涅日，又名LockBitSupp、LockBit和putinkrab，他因创建和运营 LockBit 勒索软件而被美国司法部提起 26 项起诉。

43、 对波兰政府发动恶意软件攻击

https://www.anquanke.com/post/id/296335

波兰国家网络安全机构周三表示，克里姆林宫支持的黑客组织 APT 28 本周早些时候被发现针对波兰政府机构，这是俄罗斯针对支持乌克兰的北约盟国的一系列网络攻击中的最新一起。

44、恶意软件正劫持安全软件更新进行分发

https://www.freebuf.com/articles/network/400194.html

GuptiMiner 是一个高度复杂的威胁，最早在 2018 年发现，主要为了在大型企业中分发后门。一种是 PuTTY Link 的增强版本后门，能够针对本地网络进行 SMB 扫描，并通过网络横向移动到网络上其他可能易受攻击的 Windows 7 和 Windows Server 2008 主机；另一种是多模块后门，接受攻击者的命令安装更多恶意代码模块，并专注于扫描本地系统上存储的私钥和加密钱包。令人感到不解的是，GuptiMiner 还会分发挖矿程序，对于此类攻击者来说有点不可思议。GuptiMiner 利用了印度安全厂商 eScan 更新机制中的缺陷，进行恶意软件传播。研究人员向 eScan 与印度国家 CERT 披露了该安全漏洞，厂商也确认并进行了修复。

45、恶意 Android 应用冒充 Google、Instagram等窃取凭证

https://thehackernews.com/2024/05/malicious-android-apps-pose-as-google.html

据观察，伪装成 Google、Instagram、Snapchat、WhatsApp 和 X（以前称为 Twitter）的恶意 Android 应用程序会从受感染的设备中窃取用户的凭据。

46、新的 LLMjacking 攻击使用被盗云凭证攻击云托管的 AI 模型

https://sysdig.com/blog/llmjacking-stolen-cloud-credentials-used-in-new-ai-attack/

Sysdig 研究人员发现了 LLM 的反向代理被用来提供对受损帐户的访问的证据，这表明其存在经济动机。然而，另一个可能的动机是提取 LLM 训练数据。

47、zEus Stealer恶意软件通过Crafted Minecraft源包分发

https://www.fortinet.com/blog/threat-research/zeus-stealer-distributed-via-crafted-minecraft-source-pack

许多游戏制作商允许用户改变游戏的外观或行为以增加其乐趣和重玩价值。玩家通常还可以下载其他人创建的包。然而，这也是攻击者传播恶意软件的机会。研究人员发现了通过精心设计的 Minecraft 源包分发的批量窃取程序。zEus 窃取者恶意软件已添加到 YouTube 上共享的源包中。名称“zEus”来自该恶意软件的早期变体。该变体也通过 Minecraft 源包分发，但它嵌入在 WinRAR 自解压文件中。自解压文件模仿 Windows 屏幕保护程序文件。它运行窃取程序并打开用作文件图标的图像。这是来自互联网的图像，添加了字符串“zEus”。在接收被盗数据的 Discord Webhook 的配置文件中也可以找到该名称。

48、Kimsuky针对加密货币公司部署新型Golang恶意软件Durian

https://securelist.com/apt-trends-report-q1-2024/112473/

据观察，被追踪为 Kimsuky 的朝鲜威胁行为者部署了一种先前未记录的基于 Golang 的恶意软件，称为Durian，作为针对两家韩国加密货币公司的高度针对性网络攻击的一部分。Durian 拥有全面的后门功能，能够执行已发送的命令、额外的文件下载和文件泄露。这些攻击发生在 2023 年 8 月和 11 月，需要使用韩国独有的合法软件作为感染途径，但目前尚不清楚用于操纵该程序的确切机制。该软件会建立与攻击者服务器的连接，从而导致检索恶意有效负载，从而启动感染序列。

49、俄罗斯APT28组织针对波兰机构开展大规模恶意软件活动

https://cert.pl/en/posts/2024/05/apt28-campaign/

波兰政府机构已成为由与俄罗斯有联系的民族国家组织APT28精心策划的大规模恶意软件活动的一部分。计算机紧急响应小组 CERT Polska在周三的公告中表示：“该活动发送的电子邮件内容旨在引起收件人的兴趣并说服他点击链接。”单击该链接会将受害者重定向到 run.mocky[.]io 域，该域又用于重定向到另一个名为 webhook[.]site 的合法网站，这是一项免费服务，允许开发人员检查正在发送的数据通过网络钩子，以逃避检测。

50、Mirai僵尸网络利用Ivanti Connect漏洞进行恶意Payload传输

https://blogs.juniper.net/en-us/security/protecting-your-network-from-opportunistic-ivanti-pulse-secure-vulnerability-exploitation

最近披露的 Ivanti Connect Secure (ICS) 设备中的两个安全漏洞正被用来部署臭名昭著的Mirai 僵尸网络。研究人员表示漏洞CVE-2023-46805 和 CVE-2024-21887已被利用来传递僵尸网络有效Payload。CVE-2023-46805 是一个身份验证绕过漏洞，而 CVE-2024-21887 是一个命令注入漏洞，从而允许攻击者将两者链接到漏洞利用链中以执行任意代码并接管易受影响的实例。网络安全公司观察到的攻击链中，利用CVE-2023-46805获取“/api/v1/license/key-status/;”的访问权限端点，该端点容易受到命令注入的攻击，并注入有效负载。

51、研究人员披露恶意安卓远程访问木马可窃取用户凭证

https://blog.sonicwall.com/en-us/2024/04/android-remote-access-trojan-equipped-to-harvest-credentials/

据观察，伪装成Google、Instagram、Snapchat、WhatsApp和X（以前称为Twitter）的恶意Android应用程序会从受感染的设备中窃取用户的凭据。该恶意软件使用著名的Android应用程序图标来误导用户并诱骗受害者在其设备上安装恶意应用程序。该活动的分布向量目前尚不清楚。但是，一旦该应用程序安装在用户的手机上，它就会要求用户授予其访问辅助服务和设备管理员API的权限，这是一项现已弃用的功能，可在系统级别提供设备管理功能。获得这些权限允许恶意应用程序获得对设备的控制权，从而可以在受害者不知情的情况下执行从数据窃取到恶意软件部署等任意操作。该恶意软件旨在与命令和控制（C2）服务器建立连接以接收执行命令，从而允许其访问联系人列表、短信、通话记录、已安装应用程序列表；发送短信；在网络浏览器上打开网络钓鱼页面，然后切换相机手电筒。