与哈马斯有关联的APT组织WIRTE扩大并转向破坏性攻击活动——每周威胁情报动态第200期（11.08-11.14）

CloudComputating攻击组织利用多插件恶意软件框架进行网络攻击活动

在2023年10月，卡巴斯基捕捉到了QSC框架文件的新活动，这些活动针对的是西亚的一个互联网服务提供商（ISP）。进一步的调查发现了这些目标机器自2022年起就已经被Quarian后门版本3（也称为Turian）感染。攻击者利用这个后门作为跳板，部署了QSC框架。此外，攻击者还部署了一个用Golang编写的新后门，称为“GoClient”。这个后门与C2服务器通信时使用了TLS加密，并采用了RC4加密算法来保护其后续的通信安全。

QSC框架的加载器是一个服务DLL，它通过特定的文件路径或系统目录中的n_600s.sys文件来读取代码。加载器将解压缩的代码注入内存，并调用导出的方法plugin_working，从而启动核心模块。核心模块负责读取、解压缩并注入网络模块。网络模块是一个64位DLL，负责与C2服务器的通信。核心模块通过调用网络模块的导出方法来初始化它，包括设置配置数据、验证配置字段并准备网络对象。文件管理模块提供了文件系统浏览和文件传输的功能。命令壳模块则负责启动cmd.exe作为命令壳，并使用管道与命令壳进行数据传输。

攻击者利用Quarian后门和新部署的GoClient后门，以及QSC框架，执行了一系列命令，以收集系统信息、执行文件操作和远程命令。这些活动包括使用WMIC和被盗的域管理员凭据在网络中的其他机器上执行QSC框架。

通过代码相似性分析、配置和行为模式的分析，卡巴斯基研究人员将QSC框架和相关活动归因于CloudComputating组织。该组织也被称为BackdoorDiplomacy或Faking Dragon。这一归属是基于多个因素得出的，包括Quarian后门样本的编译时间、配置的域名以及与CloudComputating组织其他恶意软件的高度相似性。

参考链接：

https://securelist.com/cloudcomputating-qsc-framework/114438/

与哈马斯有关联的WIRTE攻击组织扩大并转向破坏性攻击活动

WIRTE攻击组织是一个中东的高级持续性威胁（APT）组织，自2018年以来一直活跃，主要涉及政治动机的网络间谍攻击活动，聚焦于情报信息收集，可能与地区地缘政治冲突有关。该组织被认为与哈马斯有关联的加沙网络组织的一个子群。近日，Check Point 研究人员发现了WIRTE攻击组织的持续攻击活动。尽管该地区冲突不断，WIRTE的攻击活动也并未受到影响，他们继续利用近期地区事件进行网络间谍攻击活动。

自2023年末以来，研究人员一直在监控WIRTE组织的攻击活动，该活动针对中东地区的实体，特别是巴勒斯坦权力机构、约旦、埃及和沙特阿拉伯。此次行动使用了自定义加载器IronWind，这在2023年11月作为TA402操作的一部分首次披露。除了间谍活动外，该组织攻击者最近还对以色列进行了至少两波破坏性攻击。独特的代码重叠揭示了该组织自定义恶意软件与SameCoin之间的联系，SameCoin是一种针对以色列实体的擦除器恶意软件，在2024年2月和10月部署了两波攻击。

WIRTE组织使用的工具自该组织出现以来已经多次版本迭代，但其操作的关键方面确保持一致，例如：域名命名约定、通过HTML标签通信、对特定用户代理的响应限制以及重定向到合法网站。2024年9月，研究人员识别出一个新的感染链，该链以一个显示错误的PDF文件开始，其中包含一个嵌入式URL，该URL模仿了一个URL缩短服务。这个链接将用户重定向到一个名为 RAR 1178的RAR归档文件。该归档包含三个文件，旨在使用DLL-Sideloading。在执行了初始的DLL-sideloading攻击后，攻击者通过propsys.dll这一第一阶段的感染程序，传递并激活了下一阶段的有效载荷。这个有效载荷是被称为Havoc Demon的代理，属于一个开源框架Havoc的一部分，该框架专门设计用于支持高级持续性威胁（APT）操作。Havoc框架以其灵活性和多功能性被攻击者采用，它允许攻击者在被攻陷的网络中保持持久访问，并为他们提供了一个平台，以方便地执行各种恶意活动。这些活动包括但不限于数据泄露、横向移动以及对受害系统的远程控制。通过这种方式，攻击者能够在受害者的网络内部探索、窃取敏感信息，并可能为未来的攻击建立基础。

在这一特定攻击案例中，Havoc Demon被配置为与C2（命令与控制）服务器通信，该服务器托管在域名master-dental[.]com上。这个C2服务器作为攻击者与受感染系统之间的中转站，接收攻击者的指令并发送回受感染系统的状态和收集到的数据。通过这个C2通道，攻击者可以远程操控受害系统，并根据需要部署额外的恶意软件或执行特定的恶意行为。这种策略使得WIRTE组织能够在不被受害者察觉的情况下，长期潜伏在目标网络中，提高了他们进行间谍活动和数据收集的能力。此外，这也表明了WIRTE组织在工具和战术上的复杂性，以及他们如何利用开源工具来增强自己的攻击能力。

参考链接：

新型钓鱼工具GoIssue针对GitHub开发者发起大规模电子邮件攻击

网络安全研究人员一种名为GoIssue的新型钓鱼工具正在针对GitHub开发者发起大规模的电子邮件攻击。这一工具由名为cyberdluffy（也称Cyber D' Luffy）的威胁行为者于今年8月首次在Runion论坛上推广，其允许犯罪分子从公开的GitHub个人资料中提取电子邮件地址，并向用户收件箱发送大量电子邮件。GoIssue的开发者声称，该工具提供了“精确度和力量”，能够直接向GitHub用户的收件箱发送大量电子邮件，针对任何收件人。这一工具的出现标志着针对性钓鱼攻击的危险转变，可能成为源代码盗窃、供应链攻击和通过泄露的开发者凭据进行企业网络入侵的门户。

GoIssue的定制版本售价为700美元，或者购买者可以花费3000美元获得其源代码的完全访问权。截至2024年10月11日，为了吸引前5名客户，价格已大幅降低至150美元和1000美元。在假设的攻击场景中，威胁行为者可能使用这种方法将受害者重定向到伪造的页面，目的是捕获他们的登录凭据、下载恶意软件或授权一个请求访问他们私有存储库和数据的恶意OAuth应用程序。值得注意的是，cyberdluffy的Telegram个人资料声称他们是“Gitloker团队的成员”。Gitloker此前被归因于一个针对GitHub的敲诈活动，该活动通过冒充GitHub的安全和招聘团队，诱骗用户点击一个陷阱链接。GoIssue通过在随机打开的问题或拉取请求上使用已经泄露的账户标记开发者账户，自动触发GitHub发送的电子邮件消息中的链接。这些欺诈页面指示他们登录他们的GitHub账户并授权一个新的OAuth应用程序以申请新工作。如果开发者不注意并授予恶意OAuth应用程序所有请求的权限，威胁行为者将清除所有存储库内容，并用一个要求受害者通过Telegram联系名为Gitloker的人物的勒索信替换它们。GoIssue发送这些针对性电子邮件的能力使攻击者能够扩大他们的活动规模，一次性影响数千名开发者。这增加了成功入侵、数据盗窃和项目泄露的风险。与此同时，Perception Point概述了一种新的两步钓鱼攻击，该攻击利用Microsoft Visio (.vdsx)文件和SharePoint来窃取凭据。电子邮件伪装成商业提案，从先前被入侵的电子邮件账户发送，以绕过身份验证检查。

参考链接：

https://thehackernews.com/2024/11/new-phishing-tool-goissue-targets.html

Hot Topic数据泄露事件：5600万客户账户或受影响

根据网络安全新闻平台BleepingComputer的报道，美国知名零售连锁店Hot Topic及其姊妹品牌Box Lunch和Torrid遭遇数据泄露事件，据称影响了超过5600万客户账户。此次泄露的数据包括全名、电子邮件地址、出生日期、电话号码、物理地址、购买历史和部分信用卡数据，这使得数百万客户面临身份盗窃、金融欺诈和针对性社会工程攻击的风险。

此次数据泄露事件最初由一名自称为“Satanic”的攻击者于10月21日在黑客论坛BreachForums上发布。该黑客声称他们从Hot Topic及其相关品牌获取了3.5亿用户记录。泄露的数据库内容如下：

• 全名

• 电子邮件地址

• 出生日期

• 电话号码

• 联系地址

• 购买历史

• 部分信用卡数据

攻击者试图将被盗数据货币化，最初标价高达2万美元。尽管Hot Topic尚未正式确认此次泄露事件，但据称泄露的敏感数据可能会使客户面临针对性网络钓鱼攻击和金融欺诈的风险。攻击者可能会利用这些个人信息制作极具说服力的网络钓鱼电子邮件，诱使收件人透露更多敏感信息或授权欺诈性交易。此外，据报道泄露的数据库中还包含部分信用卡数据。如果这些信息落入恶意分子手中，可能会导致金融欺诈甚至身份盗窃，尤其是如果攻击者试图将部分数据与其他信息结合起来访问客户账户或银行详细信息。

参考链接：

https://www.bitdefender.com/en-us/blog/hotforsecurity/hot-topic-data-breach-allegedly-exposes-over-56-million-customer-accounts

数据泄露者“Nam3L3ss”泄露亚马逊、惠普等公司近800万员工记录

一名自称为“数据卫士”的泄露者“Nam3L3ss”利用MOVEit文件传输软件的广泛漏洞，公开了来自全球行业巨头近800万员工的记录，暴露了主要公司中的网络安全缺陷。Nam3L3ss否认自己是黑客，并从2024年11月8日开始泄露数据。迄今为止，已有27家公司，共计7,952,414条员工记录被曝光。其中包括亚马逊的2,861,111条记录，亚马逊已确认这一数据泄露事件。

Hackread.com的研究团队对Nam3L3ss泄露的每个文件进行了深入分析，发现数据包括全名、电子邮件地址、电话号码、办公地址、住宅地址、公司名称、位置坐标等。

受影响公司及员工人数列表如下：

• 3M: 48,630名员工

• 惠普: 104,119名员工

• 达美航空: 57,317名员工

• MetLife: 585,130名员工

• 亚马逊: 2,861,111名员工

• 麦当劳: 3,295名员工

• 联想: 45,522名员工

• TIAA: 2,464,625名员工

• CalSTRS: 422,311名员工

• BT: 15,347名员工

• URBN: 17,553名员工

• Leidos: 52,610名员工

• 瑞银集团: 20,462名员工

• 汇丰银行: 280,693名员工

• Firmenich: 13,248名员工

• 美国银行: 114,076名员工

• 加拿大邮政: 69,860名员工

• 西屋电气: 18,193名员工

• Rush大学: 15,853名员工

• Omnicom集团: 37,320名员工

• 查尔斯·施瓦布: 49,356名员工

• 城市国家银行: 9,358名员工

• 应用材料公司: 53,170名员工

• 嘉德诺健康: 407,437名员工

• 百时美施贵宝: 37,497名员工

• TIAA（额外列表）: 23,857名员工

• 富达投资: 124,464名员工

Nam3L3ss在Breach Forums上发表“宣言”，解释他们是谁以及为什么要泄露数据。根据帖子，他们监控包括AWS、Azure、Digital Ocean、Google以及FTP和MongoDB服务器在内的各种服务中配置错误和不安全的云数据库，提取并公开这些数据。Nam3L3ss还声称监控勒索软件团队，分析被盗数据，通过删除重复和无关信息进行清理，然后在线发布。

尽管“数据卫士”这个术语存在争议，但Nam3L3ss表达了对公司和政府机构未能保护其网络的挫败感。通过泄露这些数据，他们旨在提高数据安全意识，并鼓励更好的网络安全实践。

参考链接：

https://hackread.com/data-vigilante-employee-records-amazon-hp-others/

Emmenhtal Loader利用脚本技术传播Lumma等恶意软件

近日，一种名为Emmenhtal Loader的恶意软件加载器正在利用Living Off the Land Binaries and Scripts（LOLBAS）技术，通过合法的Windows工具传播包括Lumma和Amadey在内的多种恶意软件。这种隐蔽的传播方式使得Emmenhtal Loader能够规避传统的安全检测措施。Emmenhtal Loader的执行链开始于一个看似无害的恶意LNK文件，该文件执行forfiles命令，这一命令通常用于搜索和执行文件。随后，forfiles定位并利用合法的Windows工具HelpPane来启动PowerShell，后者再调用Mshta下载并执行一个使用AES算法加密的负载。这一加密过程增加了安全研究人员分析和解密恶意软件的难度。

在ANY.RUN的交互式沙箱中，研究人员能够详细追踪并分析Emmenhtal Loader的执行过程。沙箱环境中的分析显示，Mshta解密并执行下载的加密负载，该负载包含继续感染过程的指令。接着，PowerShell运行一个AES加密命令来解密Emmenhtal Loader本身，这一混淆的命令使得传统安全措施难以检测。最终，Emmenhtal Loader启动一个名为Updater.exe的负载，完成从加载器到实际恶意软件的过渡，使得恶意软件能够成功感染系统并执行其预定的恶意活动，如数据泄露、凭证盗窃或建立持久性。

参考链接：

https://hackread.com/emmenhtal-loader-uses-scripts-deliver-lumma-malware/#google_vignette

LodaRAT恶意软件新变种全球传播，目标转向浏览器凭据

网络安全公司Rapid7发现一种名为LodaRAT的远程访问木马（RAT）的新变种正在全球范围内传播，其目标是窃取Microsoft Edge和Brave浏览器的cookies和密码。LodaRAT最初于2016年被观察到，是一种用AutoIt编写的远程访问工具，自2021年以来，其Android版本也在野外传播。本次发现分析的是Windows版本。

LodaRAT最初被创建用于信息收集，它具备多种能力，包括收集和泄露受害者数据、传递额外的恶意软件、捕获受害者屏幕、控制受害者摄像头或鼠标，甚至在受感染的环境中传播。值得注意的是，这似乎是自2022年以来对该RAT的唯一更新。即便是内嵌的DLL文件也保持不变。LodaRAT的老版本使用网络钓鱼和已知漏洞利用技术进行传播，但Rapid7发现新版本是通过DonutLoader和CobaltStrike进行分发。研究人员还观察到LodaRAT与其他恶意软件家族如AsyncRAT、Remcos、Xworm等共同存在于受感染的系统中，尽管尚不能确定LodaRAT是否与这些恶意软件家族一起分发，或者仅仅是偶然出现。新的LodaRAT样本伪装成知名的Windows软件，如Discord、Skype和Windows Update等。

与之前针对特定国家组织的威胁行动者不同，新的活动似乎在全球范围内感染受害者。大约30%的VirusTotal样本来自美国。

LodaRAT在2021年被Cisco归因于Kasablanka APT，该组织专注于针对俄罗斯和孟加拉国的信息收集和间谍活动。Rapid7观察到的2024年活动显示出攻击者行为的显著转变——即偏好全球分布而非特定地区目标——因此我们不一定将今年的活动归因于同一个APT。作为一个AutoIt编译的二进制文件，LodaRAT的源代码可以被熟练的威胁行动者轻易提取和定制。Rapid7还发现了一个包含泄露的LodaRAT源代码的GitHub仓库。基于能力、变量名和字符串，泄露的代码是一个四年前的LodaRAT版本，意味着对手有足够的时间分析和更新新版本的代码。LodaRAT的执行始于检查一个特定命名的窗口，以确保系统中只执行恶意软件的一个实例。接下来，恶意软件更改其窗口标题，并检查受感染的操作系统是否为Windows 10或11。然后，它定义局部变量，并通过在注册表中添加一个新值来实现持久性。并非总是通过添加新的注册表值来实现持久性。然而，Rapid7观察到一些LodaRAT样本创建了一个新的计划任务，该任务将每分钟执行一次编译的AutoIt，而其他样本则根本没有尝试建立持久性。有趣的是，在Rapid7没有观察到添加新注册表值以实现持久性的两种情况下，恶意软件在卸载过程中仍尝试删除注册表值。恶意软件还检查一系列注册表值是否已设置，并根据命令和控制（C2）服务器的特定命令设置。它检查用户%AppData%目录中是否存在特定文件夹，并在必要时创建它们，同时将目录属性设置为System和Hidden以逃避检测。然后恶意软件将开始与C2服务器建立TCP连接，捕获受害者的屏幕，并保存捕获内容。C2信标包含基本的受害者信息，如用户是否具有管理员权限、用户名、操作系统版本和架构、防病毒解决方案的状态、主机IP地址、桌面分辨率、端点类型和文件夹中的文件数量。

LodaRAT的能力包括下载和执行额外的有效载荷、在受害者主机上执行命令、控制受害者的鼠标、屏幕捕获、窃取浏览器cookies和凭据、禁用Windows防火墙、文件枚举和泄露、网络摄像头录制、麦克风录音以及创建新的本地用户。此外，恶意软件还能够打开和关闭CD托盘，同时创建一个GUI聊天窗口，而对话被保存到文件中。

参考链接：

https://www.rapid7.com/blog/post/2024/11/12/lodarat-established-malware-new-victim-patterns/

新型Ymir勒索软件与RustyStealer恶意软件联合发起网络攻击

近日，一种名为Ymir的新型勒索软件正在野生环境中活跃，它与已知的RustyStealer信息窃取恶意软件合作，对全球企业发起了一波新的网络攻击。这种合作攻击模式不仅展示了网络犯罪活动的合作趋势，也引发了对其潜在影响的广泛关注。Ymir勒索软件的特点在于其完全在内存中执行，利用'malloc'、'memmove'和'memcmp'等函数来逃避安全检测。它通过使用ChaCha20流密码算法加密受害者系统中的文件，加密后的文件会附加随机扩展名，并在所有包含加密文件的目录中生成名为“INCIDENT_REPORT.pdf”的赎金说明。该说明声称受害者的数据已被窃取，Kaspersky推测这可能是通过RustyStealer等工具在Ymir部署之前完成的。

Ymir的攻击过程始于RustyStealer的感染，该恶意软件作为一种凭证窃取工具，帮助攻击者获得高权限账户的访问权限，从而实现横向移动。攻击者利用Windows远程管理和PowerShell等工具进行远程控制，并安装了Process Hacker和Advanced IP Scanner等工具，进一步巩固了对目标系统的控制。在巩固立足点并可能窃取数据后，Ymir作为最终的有效载荷被部署。Ymir勒索软件的独特之处在于其完全在内存中执行，使用ChaCha20流密码算法加密受害者系统中的文件。加密后的文件会附加随机扩展名，并生成名为“INCIDENT_REPORT.pdf”的赎金说明。Ymir勒索软件的攻击不仅对数据安全构成威胁，还可能对企业的运营和声誉造成严重影响。勒索软件运营商可能会提供解密最多三个文件作为证据，并提供数据被盗的证据，以建立对攻击者说法的信任，并促使受害者顺从。

参考链接：

https://www.bleepingcomputer.com/news/security/new-ymir-ransomware-partners-with-rustystealer-in-attacks/

新型Frag勒索软件利用Veeam漏洞CVE-2024-40711发起攻击

网络安全公司Sophos X-Ops最近揭露了一种名为Frag的新型勒索软件，该软件正在一系列网络攻击中利用Veeam备份服务器的漏洞，该漏洞被指定为CVE-2024-40711。这种新观察到的勒索软件由Sophos追踪的攻击组织STAC 5881部署，它遵循熟悉的剧本，但引入了一些新的战术。在之前的事件中，这个攻击组织使用了其他勒索软件，如Akira和Fog，但Frag标志着他们武器库中的独特新增。Frag勒索软件是由命令行驱动的，攻击者指定参数来控制每个文件被加密的百分比。这种灵活性允许选择性加密，可能为了逃避检测或延长受害者恢复文件的尝试时间。Sophos X-Ops的研究人员指出，Frag在命令行上执行，带有多个参数。加密后，文件会被重命名为.frag扩展名。像Akira一样，这种勒索软件还利用被破坏的VPN设备来获得访问权限，并利用Veeam的漏洞在目标系统上创建管理员账户。Sophos报告称，Frag的战术与在Akira勒索软件中看到的相似，这表明这两个组织之间可能存在联系或共享技术。Agger Labs也注意到了这些相似之处，表明Frag可能预示着一个新的、复杂的勒索软件参与者的崛起。

参考链接：

https://securityonline.info/frag-ransomware-a-new-threat-exploits-veeam-vulnerability-cve-2024-40711/