[1004] 一周重点威胁情报｜天际友盟情报站

• 8220 Gang组织最新武器披露

• Sniper Dz网络钓鱼即服务平台披露

• DragonForce勒索软件组织剖析

• 虚假浏览器更新传播新的WarmCookie后门软件

• Storm-0501组织扩展攻击至混合云环境，持续部署勒索软件

• FIN7黑客组织利用deepfake网站下载信息窃取软件

• MimiStick组织近期活动分析

• Key Group勒索软件组织活动追踪

• 针对库尔德网站的重大水坑攻击，利用4种不同变种的恶意脚本

• RomCom恶意软件新变种SnipBot揭密

• 新型安卓恶意软件Octo2在欧洲传播

• BBTok银行木马瞄准巴西实体

• 攻击者利用HTML Smuggling手段传播DCRat

• 8220 Gang组织最新武器披露

近期，Sekoia近期检测到了一个针对Windows和Linux系统的感染链。据悉，攻击者主要利用CVE-2017-10271和CVE-2020-14883 Weblogic漏洞部署Python和Bash脚本，通过执行K4Spreader和Hadooken恶意软件，然后传播Tsunami后门和加密货币挖矿程序。对于Windows系统，攻击者则试图执行旨在通过基于.NET的加载程序安装加密货币挖矿程序的PowerShell脚本。Tsunami是一种基于Linux的恶意软件，主要用作DDoS机器人，它最初名为Kaiten，后来演变为Tsunami，攻击者利用它通过向目标发送受感染机器的流量来发起大规模DDoS攻击，部署的挖矿软件则是PwnRig，是XMRig的一个变种。数据表明，本次活动受害者数量在200到250台机器之间，受影响地区主要为亚洲、其次为南美，尤其是巴西。

详情查询：https://redqueen.tj-un.com/home/infoDetail/80bb89362c464f8d9c20db1165e38c9d

• Sniper Dz网络钓鱼即服务平台披露

Unit42近期披露了一个名为Sniper Dz的网络钓鱼即服务(PhaaS)平台。据悉，Sniper Dz主要针对流行的社交媒体平台和在线服务，其背后的团队在其Telegram频道上拥有数千名订阅者，许多网络钓鱼攻击者可能正在使用该平台发起钓鱼攻击。数据显示，过去一年中有超过14万个钓鱼网站以及与Sniper Dz平台相关的网络钓鱼网站。使用Sniper Dz的攻击者经常利用合法的公共代理服务器来隐藏其网络钓鱼内容。在建立其基础设施时，这些攻击者会使用流行品牌名称、趋势甚至敏感话题作为关键词，以诱导受害者打开并使用其钓鱼网页。从受害者那里窃取凭据后，该基础设施还可将受害者重定向到恶意广告，包括分发潜在不需要的应用程序，例如流氓浏览器安装程序。

详情查询：https://redqueen.tj-un.com/home/infoDetail/9b1e7b29c152436da48ac45d81a8b214

• DragonForce勒索软件组织剖析

DragonForce于2023年8月首次被发现，实行勒索软件即服务(RaaS)运营模式，并采用双重勒索策略，之前一直使用泄露的LockBit3.0构建器变体来针对关键行业的公司，最近在2024年7月开始使用声称属于自己原创的但实际上基于ContiV3的勒索软件变体。具体来说，其附属计划于2024年6月26日启动，向附属机构提供80%的赎金，以及攻击管理和自动化工具，关联公司可以创建定制的勒索软件样本，包括禁用安全功能、设置加密参数和个性化勒索记录。在攻击期间，DragonForce使用"自带易受攻击的驱动程序"(BYOVD)技术(包含在其Conti勒索软件变体中)来禁用安全进程并逃避检测。此外，它还会在加密后清除Windows事件日志，以阻碍取证调查并掩盖其踪迹。DragonForce勒索软件组织利用SystemBC后门实现持久性，利用Mimikatz和Cobalt Strike进行凭证收集，利用Cobalt Strike进行横向移动，以及SoftPerfect Network Scanner等网络扫描工具来绘制网络图并进一步促进勒索软件的传播。数据显示，2023年8月至2024年8月期间，DragonForce已攻击多个行业的82名受害者，并重点关注制造业、房地产和运输行业。目前，DragonForce还在暗网上有一个专有的数据泄露平台，其中包含受害公司的唯一ID和泄露的帐户详细信息。

详情查询：https://redqueen.tj-un.com/home/infoDetail/9f4d286f939b4b31bdb051f8368c83d9

• 虚假浏览器更新传播新的WarmCookie后门软件

针对法国用户的新FakeUpdate活动利用受感染的网站来显示虚假的浏览器和应用程序更新，从而传播新版本的WarmCookie后门。FakeUpdate是被SocGolish黑客组织使用的一种网络攻击策略，该组织入侵或创建虚假网站，向访问者展示各种应用程序的虚假更新提示，例如Web浏览器、Java、VMware Workstation、WebEx和Proton VPN。当用户点击旨在看起来合法的更新提示时，会下载一个虚假更新，其中会放置恶意负载，例如信息窃取程序、加密货币挖矿程序、RAT甚至勒索软件。

研究人员观察到WarmCookie的最新活动，其作为虚假的Google Chrome、Mozilla Firefox、Microsoft Edge和Java更新进行分发。此次活动中，WarmCookie后门已更新为新功能，包括从临时文件夹运行DLL并发回输出，以及传输和执行EXE和PowerShell文件的能力。

详情查询：https://redqueen.tj-un.com:57788/IntelDetails.html?id=41e33e4370974ede866e690725ca8e0e