安全简讯（2024.07.18）

1. Void Banshee APT利用Microsoft MHTML漏洞传播Atlantida

7月16日，一个名为Void Banshee的高级持续性威胁 (APT) 组织利用微软 MHTML 浏览器引擎中最近披露的安全漏洞作为零日漏洞来传播名为Atlantida的信息窃取程序。网络安全公司趋势科技于 2024 年 5 月中旬观察到了该活动，该漏洞（追踪为CVE-2024-38112）被用作使用特制的互联网快捷方式 (URL) 文件的多阶段攻击链的一部分。Atlantida 活动的变种在整个 2024 年都非常活跃，并已发展到使用 CVE-2024-38112 作为 Void Banshee 感染链的一部分。像 Void Banshee 这样的 APT 组织能够利用 [Internet Explorer] 等已禁用的服务，这对全球组织构成了重大威胁。Windows 制造商将 CVE-2024-38112 描述为现已停用的 Internet Explorer 浏览器中使用的 MSHTML（又名 Trident）浏览器引擎中的一个欺骗漏洞。然而，零日计划 (ZDI) 声称这是一个远程代码执行漏洞。

https://thehackernews.com/2024/07/void-banshee-apt-exploits-microsoft.html

2. 研究团队发现HardBit 勒索软件使用密码保护来绕过检测

7月16日，HardBit 勒索软件以 4.0 版本出现以来。与典型的勒索软件组织不同，该勒索软件不使用泄漏站点或双重勒索。他们的策略包括数据盗窃、加密、索要赎金以及威胁进行其他攻击。Cybereason 的网络安全研究人员发现，HardBit 勒索软件一直在积极使用密码保护来逃避安全措施。他们通过 TOX（一种点对点消息传递系统）进行交流。虽然尚不清楚他们最初的感染方法是什么，但他们似乎在某些方面与 LockBit 勒索软件相似。他们观察到的 TTP 包括 RDP 和 SMB 暴力破解、利用 Mimikatz NLBrute 进行凭证盗窃以及可能利用 LaZagne NirSoft 工具。Cyberreason报告称，威胁行为者使用高级端口扫描器和 KPortScan 3.0 等网络发现工具通过 RDP 进行移动。他们安装了与 Neshta 病毒捆绑在一起的 HardBit 勒索软件，这是一种破坏文件并长期维持感染的工具。

https://gbhackers.com/hardbit-passphrase-evade/

3. 研究团队发现ShadowRoot勒索软件瞄准土耳其企业

7月15日，安全研究团队 Forcepoint X-Labs公布了一种名为“ShadowRoot”的新型勒索软件专门针对土耳其企业。攻击始于来自俄罗斯域名的钓鱼电子邮件，其中包含伪装成发票的恶意 PDF 附件。攻击首先通过电子邮件以 PDF 附件的形式发送看似合法的发票。这些 PDF 中嵌入了一个恶意链接，用户交互后会触发下载托管在受感染 GitHub 存储库上的可执行文件。下载的有效载荷是一个 Delphi 二进制文件，旨在植入旨在混淆其活动并逃避常规安全措施的其他组件。这些组件最终会部署主要勒索软件有效载荷“RootDesign.exe”，它会系统地加密受害者系统中的文件，并为每个受感染的文件附加“.shadowroot”扩展名。随后，受害者会收到一封土耳其语的勒索信，指示他们通过电子邮件与威胁行为者联系，以获取有关支付赎金和解密的进一步指示。ShadowRoot 似乎是一种相对初级的勒索软件变种，很可能是出自一名缺乏经验的开发人员之手。尽管该勒索软件功能简单，但它利用伪造的 PDF 发票诱使受害者下载恶意负载，从而有效地将土耳其企业作为攻击目标。使用“.ShadowRoot”扩展名加密文件并连接到俄罗斯 SMTP 服务器表明这是一种有针对性且略显复杂的方法。

https://securityonline.info/shadowroot-ransomware-targets-turkish-businesses/?&web_view=true

4. 伊拉克黑客利用 PyPI 通过 Python 软件包入侵系统

7月17日，最近发现的一个网络犯罪分子利用恶意 Python 软件包攻击开发人员，这在科技界引起了轩然大波。全球领先的应用程序安全测试 (AST) 解决方案提供商 Checkmarx 在一份报告中详细介绍了这一复杂计划，该计划揭露了一个复杂的攻击者网络，他们利用Python 软件包索引 (PyPI)（第三方 Python 软件的官方存储库）来渗透系统并窃取敏感数据。据研究人员称，名为“dsfsdfds”的用户将恶意 Python 软件包上传到流行的 Python 存储库 PyPI，其中包含旨在将数据泄露给攻击者的 Telegram 机器人的隐藏代码。该机器人充当他们的 C2 中心，可能与位于伊拉克的更广泛的犯罪网络有关，该网络的业务遍及多个国家。该恶意脚本使用系统性方法来入侵受害者的系统并提取敏感数据。它会扫描用户的文件系统，重点扫描根文件夹和 DCIM 文件夹，并搜索扩展名为 .py、.php 和 .zip 的文件以及扩展名为 .png、.jpg 和 .jpeg 的照片。它会在用户不知情或未同意的情况下将数据发送给攻击者的Telegram 机器人。

https://hackread.com/iraqi-hackers-exploit-pypi-infiltrate-system-python-packages/

5. Konfety广告欺诈利用250多个Google Play诱饵应用传播

7月16日，有关“大规模广告欺诈行为”的详细信息已经浮出水面，该行为利用 Google Play Store 中的数百个应用程序执行一系列恶意活动。该活动被代号为“Konfety ”（俄语中“糖果”），原因是其滥用了与俄罗斯广告网络CaramelAds相关的移动广告软件开发工具包 (SDK) 。Konfety 代表了一种新的欺诈和混淆形式，威胁行为者会在主要市场上操作‘诱饵双胞胎’应用程序的‘邪恶双胞胎’版本。虽然这些诱饵应用程序（总数超过 250 个）是无害的并通过 Google Play 商店分发，但它们各自的“邪恶双胞胎”却是通过恶意广告活动传播的，旨在促进广告欺诈、监控网络搜索、安装浏览器扩展程序和将 APK 文件代码侧载到用户的设备上。此次活动最不寻常的地方是，邪恶双胞胎会伪装成诱饵双胞胎，通过伪造后者的应用程序 ID 和广告发布商 ID 来呈现广告。诱饵和邪恶双胞胎应用程序都在同一基础设施上运行，这使得威胁行为者能够根据需要成倍地扩大其运营规模。

https://thehackernews.com/2024/07/konfety-ad-fraud-uses-250-google-play.html

6. 以人力资源为主题的钓鱼活动窃取员工的Microsoft凭证

7月15日，网络钓鱼攻击变得越来越复杂，针对员工的最新攻击策略凸显了这一演变。钓鱼邮件伪装成贵公司人力资源部门的官方通讯。它会以引人注目的主题行发送到您的收件箱，敦促您查看员工手册。电子邮件的布局和语言进一步增强了其合法性。它以正式问候语开头，并以企业通信中典型的结构化格式呈现信息。使用的语言专业、清晰、直接，模仿了员工期望人力资源部门使用的语气和风格。主题行“修改后的员工手册，适用于所有员工 - 请确认”立即引起注意并营造出紧迫感。此策略旨在激发收件人的快速行动，促使他们毫不犹豫地打开电子邮件并参与其内容。电子邮件正文包括公司通讯中常见的正式语言和指令。它以礼貌的问候开始，然后迅速过渡到审查修订后的员工手册的指令。电子邮件强调了在特定截止日期（通常是一天结束前）之前遵守规定的重要性，从而让收件人产生紧迫感和重要感。此钓鱼邮件的主要目的有两个：诱骗收件人点击嵌入的超链接，并诱骗他们在虚假的登录页面上输入凭据。通过伪装成来自可信来源（人力资源部门），该邮件利用权威性和紧迫性说服收件人立即采取行动，而不会质疑请求的真实性。

https://cofense.com/blog/beware-of-the-latest-phishing-tactic-targeting-employees/?web_view=true