Ducktail使用Infostealer新变种攻击Facebook企业用户——每周威胁动态第100期（10.14-10-20）

Ducktail使用Infostealer新变种攻击Facebook企业用户

近期，Zscaler的研究人员披露了具有越南背景的APT组织Ducktail，通过伪装成各种免费或破解的应用安装程序，如游戏、Microsoft Office应用程序和Telegram等，积极分发Ducktai lInfostealer的新变种。当伪装的应用安装程序被受害者执行后，会释放PHP.exe本地解释器、执行用于窃取信息的各种脚本以及支持工具。恶意软件还通过在主机上添加计划任务以每天和定期执行来实现持久性。同时，生成的TMP文件会运行一个并行进程来启动窃取器组件。窃取器的代码是一个经过混淆的(Base64)PHP脚本，它直接在内存上执行而不落地磁盘，从而最大限度地减少被检测到的机会。最后，攻击者针对的目标是可能是有权访问Facebook Business帐户的个人，并且最终目标是劫持受害者管理的Facebook Business帐户。攻击链图如下所示。

来源：

https://www.zscaler.com/blogs/security-research/new-php-variant-ducktail-infostealer-targeting-facebook-business-accounts

DiceyF使用GamePlayerFramework框架针对在线赌场展开攻击

近日，Kaspersky的研究人员发现了一个新的APT组织DiceyF，针对东南亚的在线赌场部署了恶意攻击框架。DiceyF使用的攻击框架名为“GamePlayerFramework”，是对C++恶意软件“PuppetLoader”的C#重写。该框架包含有效负载下载器、恶意软件启动器、插件、远程访问模块、键盘记录器、剪贴板窃取器等。同时，该框架还维护两个分支，即“Tifa”和“Yuna”。除此之外，KasperSky还发现DiceyF正在通过网络钓鱼电子邮件，将假冒的Mango应用程序安装包投递至赌场员工。该应用程序连接到与GamePlayerFramework相同的C2，并上传受害机的系统、网络和Mango Messenger数据。为了使该工具规避安全工具的查杀，攻击者还使用了被盗的有效数字证书对其进行签名，并且该证书也用于GamePlayerFramework框架。攻击框架的加载过程如下图所示。

来源：

https://securelist.com/diceyf-deploys-gameplayerframework-in-online-casino-development-studio/107723/

FIN7使用JssLoader展开定向网络钓鱼攻击

近日，微步的研究人员披露了具有俄罗斯背景的APT组织FIN7，使用更新的JssLoader展开定向网络钓鱼攻击。JssLoader是FIN7经常使用的一款集信息收集、多类型插件下载/加载功能于一体的中期渗透插件。攻击者投递的鱼叉邮件的xll载荷由Excel进程默认加载，xll!xlAutoOpen内存加载执行第一段shellcode，然后挂起64位系统进程wermgr.exe，通过天堂之门技术在32位Excel进程中内存执行x64shellcode，x64_shellcode进一步将最终的核心载荷注入wermgr.exe，然后恢复挂起进程执行。x64_coreloader收集用户及主机信息C&C上线，请求执行C&C下发的功能插件，可支持ps1vbsjsexedllshellcode等多种类型载荷加载，也可支持不落地内存执行。攻击链图如下所示。

来源：

https://mp.weixin.qq.com/s/uqUCBPqHkWqnFMExx8qqBA

披露Lazarus Group的样本

近日，研究人员披露了Lazarus Group组织的恶意样本，IOC信息如下所示：

文件名：ctxupd.dat

SHA256：c114b73da17eb5c8aff5a7b5509ffe26b9770e28c7123f038e98d42f8a065632

URL：https://www.bbcnewsagency.com/logo.jpg

来源：

https://twitter.com/h2jazi/status/1582809597051826177

保加利亚受到俄罗斯黑客KillNet 的网络攻击

近期，保加利亚政府机构的基础设施遭到大规模DDoS攻击，包括内务部、国防部、司法部、宪法法院等多个政府部门都受到严重影响。本轮攻击自10月15日开始，保加利亚专家认为是由具有俄罗斯政治背景的攻击者精心策划。据广播公司Dnevnik报道称，俄罗斯黑客组织KillNet声称对此攻击负责。

来源：

https://securityaffairs.co/wordpress/137230/hacking/bulgaria-hit-cyber-attack-russia.html

微软发生数据泄露暴露了客户的部分信息

近期，微软表示，其部分客户的敏感信息被错误配置的微软服务器暴露在互联网上。在2022年9月24日微软收到威胁情报公司SOCRadar的安全研究人员的泄漏通知后对该服务器加强了防护。据微软称，泄漏是由“在微软生态系统中未使用的端点上的无意错误配置”引起的，而不是由于安全漏洞，其中泄露的信息可能包含客户姓名、电子邮件地址、电子邮件内容、公司名称和电话号码，以及与受影响客户与微软或授权微软合作伙伴之间的业务相关的文件等。

来源：

https://www.bleepingcomputer.com/news/security/microsoft-data-breach-exposes-customers-contact-info-emails/

RedLine Stealer通过冒充Convertio网站进行传播

近期，Cyble研究人员发现了一个钓鱼网站“hxxps://convertigoto.net/”，该网站冒充了一个真正的“Convertio”网站。Convertio是一个简单的在线工具，可以将文件转换为不同的文件格式，包括文档、图像、电子表格等。研究人员通过分析下载的恶意载荷，发现是一种名为“RedLine Stealer”的已知恶意软件。Redline Stealer是一种用C#编写的恶意软件，其使用SOAP API与C&C服务器进行通信，并且还能够从Web浏览器、加密货币钱包以及FileZilla、Discord、Steam、Telegram和VPN客户端等应用程序中窃取信息。除此之外，该恶意软件还可以上传和下载文件、执行命令，并定期将有关受感染计算机的信息发送到C&C服务器。正规网站与盗版网站对比如下所示（左边是盗版，右边是正版）。

来源：

https://blog.cyble.com/2022/10/14/online-file-converter-phishing-page-spreads-redline-stealer/

新勒索软件Prestige主要针对乌克兰和波兰的组织

近日，微软的研究人员发现了一种新的勒索软件Prestige，用于针对乌克兰和波兰的运输和物流组织的攻击活动，并且于10月11日首次在野使用。Prestige勒索软件有三种部署方法：1.将勒索软件payload复制到远程系统的ADMIN$共享目录，使用Impacket在目标系统上远程创建Windows Scheduled Task来执行payload；2.将勒索软件payload复制到远程系统的ADMIN$共享目录，使用Impacket在目标系统上远程调用编码的PowerShell命令来执行payload；3.将勒索软件负载复制到Active Directory域控制器并使用默认域组策略对象部署到目标系统。目前，微软尚未将Prestige勒索软件攻击与特定的威胁行为者联系起来，并暂时将此攻击活动的集群定义为DEV-0960。

来源：

https://www.microsoft.com/security/blog/2022/10/14/new-prestige-ransomware-impacts-organizations-in-ukraine-and-poland/

日本科技公司Oomiya遭LockBit 3.0勒索软件攻击

LockBit 3.0 RaaS的附属公司之一袭击了日本科技公司Oomiya。Oomiya是一家专注于设计和制造微电子设备的公司。Lockbit 3.0运营商声称已从公司窃取数据，并威胁如果公司不支付赎金，将在2022年10月20日之前泄露数据。目前，勒索软件团伙尚未公布涉嫌被盗文件的样本。此事件可能会对第三方组织产生重大影响，因为Oomiya处于全球多个行业的主要组织的供应链中，涉及包括制造、半导体、汽车、通信和医疗保健在内的多个行业。

来源：

https://securityaffairs.co/wordpress/137243/cyber-crime/oomiya-lockbit-3-0-ransomware.html