每周安全速递²⁹⁹|P2PInfect僵尸网络向受控节点分发勒索软件模块

第299期

本周热点事件威胁情报

P2PInfect僵尸网络向受控节点分发勒索软件模块

原本潜伏的、动机不明的点对点恶意软件僵尸网络P2PInfect最近开始变得活跃起来，在对Redis服务器的攻击中部署了勒索软件模块和加密矿工，研究人员声称有证据表明该恶意软件以“雇佣僵尸网络”的形式运行。从2024年5月16日开始，感染P2PInfect的设备开始收到从指定URL下载并运行勒索软件负载(rsagen)的指令，该命令有效期至2024年12月17日，勒索软件针对与数据库（SQL、SQLITE3、DB）、文档（DOC、XLS）和媒体文件（MP3、WAV、MKV）相关的特定扩展名的文件进行加密。

参考链接：

https://www.cadosecurity.com/blog/from-dormant-to-dangerous-p2pinfect-evolves-to-deploy-new-ransomware-and-cryptominer

BlackSuit勒索团伙攻击CDK Global造成服务中断

研究人员发现BlackSuit勒索软件团伙是造成CDK Global公司大规模IT服务中断以及北美各地汽车经销店中断的幕后黑手。不愿透露姓名的消息人士声称CDK目前正在与勒索软件团伙谈判，以获得解密器并避免被盗数据泄露。由于CDK Global服务平台目前已关闭，汽车经销商不得不改用纸笔来开展业务。CDK警告相关客户，威胁行为体正在致电冒充CDK代理或附属公司经销商的名义发起攻击，以获取未经授权的系统访问权限。

参考链接：

https://www.bleepingcomputer.com/news/security/cdk-global-outage-caused-by-blacksuit-ransomware-attack/

RansomHub勒索软件针对VMware ESXi虚拟机

RansomHub勒索软件于2024年2月开始活跃，其代码与组织成员与ALPHV/BlackCat和Knight 勒索软件有关联。由于可以更好地管理CPU、内存和存储资源，大量企业采用虚拟机来托管其服务器，研究人员近期发现RansomHub威胁组织在其武器库中还有一个专门针对VMware ESXi虚拟机Linux环境的变体，在加密完成后还会禁用系统日志和其他关键服务以阻碍日志记录，并可配置执行后自行删除，以避免被检测和分析。

参考链接：

https://www.recordedfuture.com/ransomhub-draws-in-affiliates-with-multi-os-capability-and-high-commission-rates

网络犯罪组织利用免费软件诱饵传播窃密软件

研究人员发现威胁行为者使用免费或盗版的商业软件作为诱饵攻击毫无戒心的用户，例如攻击者设法诱骗用户下载受密码保护的存档文件，其中包含了被木马感染的Cisco Webex Meetings应用程序，Cisco Webex Meetings应用程序会秘密加载隐秘的名为Hijack Loader的恶意软件加载程序，然后部署名为Vidar Stealer的信息窃取程序，甚至利用额外的有效载荷在受感染的主机上部署加密货币挖矿程序。

参考链接：

https://www.trellix.com/blogs/research/how-attackers-repackaged-a-threat-into-something-that-looked-benign/

美创科技第59号安全实验室，专注于数据安全技术领域研究，聚焦于安全防御理念、攻防技术、漏洞挖掘等专业研究，进行知识产权转化并赋能于产品。自2021年起，累计向CNVD、CNNVD等平台提报数千个高质量原创漏洞，并入选国家信息安全漏洞库（CNNVD）技术支撑单位（二级）、信创政务产品安全漏洞库支撑单位，团队申请发明专利二十余项，发表多篇科技论文，著有《数据安全实践指南》、《内网渗透实战攻略》等。