LUNAR SPIDER 对金融行业发动勒索软件攻击

  Tag：LUNAR SPIDER, BRc4

事件概述：

LUNAR SPIDER最近的一次攻击活动使用了一种名为Latrodectus的高度混淆的JavaScript加载器，以传递针对金融行业的Brute Ratel C4（BRc4）有效载荷。攻击者通过恶意广告和搜索引擎优化（SEO）投毒，使寻找税务相关内容的受害者被重定向下载恶意JavaScript文件，如Document-16-32-50.js。这些脚本检索MSI安装程序，通过伪装为合法软件（vierm_soft_x64.dll under rundll32 execution）部署BRc4，这种方法体现了高级的逃避检测策略。BRc4与多个C2域进行通信，如bazarunet[.]com和tiguanin[.]com，允许在受损系统上进行远程访问和命令执行。情报显示，LUNAR SPIDER与其他组织（如ALPHV/BlackCat和WIZARD SPIDER）共享基础设施和恶意软件服务。   

LUNAR SPIDER的这次攻击活动显示了其先进的逃避检测策略和复杂的C2基础设施。它使用混淆的JavaScript脚本（如Document-16-32-50.js）来下载和执行MSI有效载荷，并通过伪装为合法软件来部署BRc4。此外，BRc4与多个C2域进行通信，允许攻击者在受损系统上进行远程访问和命令执行。这种基础设施的持久性表明，LUNAR SPIDER可能与其他恶意软件活动（如IcedID和Latrodectus）共享资源。此外，LUNAR SPIDER还与其他组织（如ALPHV/BlackCat和WIZARD SPIDER）共享基础设施和恶意软件服务，这进一步表明了其在勒索软件操作中的关键角色。这种情况强调了多因素认证、威胁情报共享和自动化安全措施的重要性。

来源：

https://contagiodump.blogspot.com/2024/11/2024-10-30-lunar-spiders-latrodectus-js.html

政府威胁情报

哈马斯关联威胁行动WIRTE利用中东紧张局势进行网络攻击

  Tag：WIRTE, SameCoin Wiper

事件概述：

据《黑客新闻》报道，哈马斯关联的威胁行动WIRTE（与加沙网络帮派、也被称为TA402和Molerats有关）利用中东地区的紧张局势，对以色列各组织进行更广泛的入侵。在进行了涉及分发RAR存档诱饵以部署IronWind下载器和Havoc后期利用框架的网络间谍攻击后，WIRTE开始以冒充网络安全公司ESET的以色列合作伙伴的身份，用更新的SameCoin Wiper恶意软件针对多个以色列实体进行网络钓鱼攻击，Check Point的报告显示。研究人员报告称，新的SameCoin Wiper变体中集成了先前在IronWind加载器的更近期迭代中看到的加密技术。   

研究人员补充说：“尽管中东地区的冲突持续不断，但该组织仍然坚持进行多次活动，展示了一套多功能的工具包，包括用于间谍和破坏的擦除器、后门和网络钓鱼页面。”这种情况再次突显了多因素认证、威胁情报共享和自动化安全措施的重要性。在网络安全防御中，这些技术细节是至关重要的。通过多因素认证，可以增强账户安全，防止未经授权的访问。威胁情报共享则可以帮助组织了解最新的威胁和攻击技术，以便采取适当的防御措施。而自动化的安全措施则可以提高防御效率，减少人为错误。

来源：

https://www.scworld.com/brief/expanded-cyberattacks-launched-by-hamas-linked-hackers-against-israel

能源威胁情报

哈里伯顿公司遭受勒索软件攻击，损失3500万美元

  Tag：网络安全事件, RansomHub组织

事件概述：

能源服务供应商哈里伯顿公司公开了8月份的一次勒索软件攻击，导致公司损失3500万美元，凸显了网络威胁对财务的重大影响。这家总部位于迪拜的跨国公司是能源行业，特别是美国页岩气开采行业的最大产品和服务供应商之一。该公司在其第三季度财务报告中披露了这一信息。尽管3500万美元的“网络安全事件”损失与公司在9月30日前三个月产生的57亿美元收入相比显得微不足道，但它证明了勒索软件带来的持续财务风险。

哈里伯顿公司在8月底通知了美国证券交易委员会，8月21日，“未经授权的第三方获得了其部分系统的访问权限”。公司得知问题后，启动了其网络安全应对计划，并在外部顾问的支持下内部展开调查，以评估和补救未经授权的活动。公司的应对努力包括主动将某些系统脱机以保护它们，并通知执法部门。公司正在进行的调查和应对包括恢复其系统和评估实质性。然而，大约一周后的另一份8-K表格揭示，这次事件比最初想象的更为严重。该公司认为，未经授权的第三方访问并窃取了公司系统的信息。据信，RansomHub组织对此次攻击负责，尽管尚不清楚他们窃取了什么信息，以及3500万美元的损失中是否有来自勒索支付的部分，或者与运营中断、事件响应和恢复的成本有关。

来源：

https://www.infosecurity-magazine.com/news/energy-giant-halliburton-35m/

流行威胁情报

新型恶意软件Glove Stealer可绕过Google Chrome的应用绑定加密

  Tag：Glove Stealer, App-Bound 加密

事件概述：

Glove Stealer恶意软件需要首先获得本地管理员权限才能运行。该恶意软件通过包含HTML附件的钓鱼邮件进行分发，当点击时，会显示假错误消息，声称内容无法正确呈现，并提供指导用户如何解决问题的建议。实际上，毫无防备的受害者被告知复制恶意脚本并在运行提示符或终端中运行它。在执行多个脚本和一个PowerShell命令后，脚本最终导致信息窃取器感染。运行后，Glove Stealer重复原始故事，表面上寻找系统中的错误。但在后台，它与命令和控制（C&C）服务器联系，并开始其外泄和数据收集过程。恶意软件从C&C服务器获取额外的模块，开始寻找应用绑定加密密钥，以便绕过安全性并从基于Chromium的浏览器中外泄cookies。

来源：

https://heimdalsecurity.com/blog/glove-stealer-malware/

高级威胁情报

APT组织DONOT针对制造业发起新攻击活动

  Tag：APT组织DONOT, PowerShell

事件概述：

Cyble Research and Intelligence Labs (CRIL) 发现，与知名APT组织DONOT有关的网络攻击活动正在针对支持海事和国防部门的制造业。攻击活动使用伪装成RTF的恶意LNK文件，该文件包含加密数据，通过PowerShell进行解密，以传递诱饵RTF和有效载荷。此外，攻击活动会创建定时任务，确保恶意软件每五分钟运行一次以保持持久性。随机生成的域用作备用的C&C服务器。与之前的活动相比，C&C通信的加密方法已经改变。阶段性恶意软件使用AES加密和Base64编码与C&C服务器通信，以规避检测。第二阶段有效载荷的解密密钥现在位于下载的二进制文件中，而不是硬编码在配置文件中。在传递最终有效载荷之前，会收集受害者的系统信息，以评估目标的价值。阶段性恶意软件使用环境变量存储关键配置详细信息，如C&C地址和任务信息。

本次攻击活动使用.LNK文件作为初始感染矢量，该文件可能通过垃圾邮件中的RAR存档到达。.LNK文件伪装成RTF文件，使用户误以为他们正在打开合法文件。当用户点击执行时，它会触发cmd.exe和powershell.exe运行额外的恶意命令，加载阶段性恶意软件（一个DLL文件），并通过创建定时任务来执行DLL文件，以确保恶意软件的持久性。此外，它通过发送唯一设备ID的POST请求与主C&C服务器进行通信，并响应TA的控制命令来指导其下一步行动。这些行动包括自我销毁，通过从指定URL下载加密有效载荷部署额外的恶意有效载荷，并进行后续执行。为了规避检测和复杂化分析，恶意软件采用了不同的加密方法，而不是在之前的活动中使用的单字节XOR密钥。恶意“.LNK”文件包含PowerShell命令，一个加密的诱饵RTF文件，和加密的阶段性有效载荷。执行后，“.LNK”文件启动“cmd.exe”，在“%temp%”路径中创建一个目录，并将“powershell.exe”复制到该位置作为“2SqSxDA2.exe”。新复制的PowerShell进程随后执行嵌入在LNK文件中的PowerShell代码。

来源：

https://cyble.com/blog/donots-attack-on-maritime-defense-manufacturing/

漏洞情报

俄罗斯黑客利用新的NTLM漏洞通过钓鱼邮件部署RAT恶意软件

  Tag：Windows NT LAN Manager (NTLM), CVE-2024-43451

事件概述：

一项新修补的影响Windows NT LAN Manager (NTLM)的安全漏洞被一名疑似与俄罗斯关联的行为者作为零日漏洞利用，作为针对乌克兰的网络攻击的一部分。这个漏洞，CVE-2024-43451（CVSS评分：6.5），是指一个可以被利用来窃取用户NTLMv2哈希的NTLM哈希披露欺骗漏洞，本周早些时候被微软修补。以色列网络安全公司ClearSky发现了这个漏洞在2024年6月被零日利用，它表示这个漏洞被作为一个攻击链的一部分，传递开源的Spark RAT恶意软件。攻击链包括从一个被乌克兰政府服务器（“doc.osvita-kp.gov[.]ua”）发送钓鱼邮件，提示收件人通过点击消息中嵌入的一个被设置陷阱的URL来更新他们的学术证书。这导致下载一个包含恶意互联网快捷方式（.URL）文件的ZIP存档。当受害者通过右键点击、删除或将其拖到另一个文件夹与URL文件交互时，会触发这个漏洞。

URL文件被设计用来与一个远程服务器（“92.42.96[.]30”）建立连接，下载额外的有效载荷，包括Spark RAT。ClearSky表示：“此外，一个沙箱执行引发了一个关于试图通过SMB（服务器消息块）协议传递NTLM（NT LAN Manager）哈希的警报。”“在接收到NTLM哈希后，攻击者可以进行一次Pass-the-Hash攻击，以识别与捕获的哈希关联的用户，而不需要相应的密码。”乌克兰的计算机应急响应队（CERT-UA）将这个活动与一个可能的俄罗斯威胁行为者联系起来，它将其跟踪为UAC-0194。最近几周，该机构还警告说，带有税收相关诱饵的钓鱼邮件被用来传播一个名为LiteManager的合法远程桌面软件，描述这个攻击活动是由一个名为UAC-0050的威胁行为者进行的，动机是财务上的。

来源：

https://unsafe.sh/go-272687.html

勒索专题

Sophos发现新型Frag勒索软件利用Veeam备份服务器漏洞进行攻击

  Tag：Frag勒索软件, CVE-2024-40711

事件概述：

Sophos X-Ops最近在一系列针对Veeam备份服务器的网络攻击中发现了Frag勒索软件，这些攻击利用了一个被指定为CVE-2024-40711的漏洞。Sophos追踪的威胁组织STAC 5881部署了这种新观察到的勒索软件，这种勒索软件遵循了熟悉的剧本，但引入了一些新的策略。在以前的事件中，这个威胁组织使用了其他的勒索软件，如Akira和Fog，但Frag是他们武器库中的一个独特的增加。

Frag勒索软件是命令行驱动的，攻击者指定参数来控制要加密的每个文件的百分比。这种灵活性允许选择性加密，可能是为了逃避检测或者延长受害者恢复文件的尝试。Sophos X-Ops的一位研究员指出，“Frag在命令行上执行，有一些参数，其中一个是必需的：文件加密的百分比。”加密后，文件被重命名为.frag扩展名。这种勒索软件，像Akira一样，也利用被攻陷的VPN设备来获取访问权限，并利用Veeam漏洞在目标系统上创建管理员账户，如“point”和最近的情况下，另一个“point2”账户。Sophos报告说，Frag的策略与Akira勒索软件中看到的策略相似，这暗示了这两个组织之间可能存在联系或者共享技术。Agger Labs也注意到了这些相似性，表明Frag可能标志着一个新的、复杂的勒索软件玩家的崛起。Sophos已经通过更新他们的CryptoGuard功能来主动检测和阻止Frag勒索软件攻击。报告确认，“已经添加了对勒索软件二进制文件的检测。”

来源：

https://securityonline.info/frag-ransomware-a-new-threat-exploits-veeam-vulnerability-cve-2024-40711/

钓鱼专题

生成式AI加剧网络钓鱼攻击威胁

  Tag：网络钓鱼攻击, CISA

事件概述：

在生成式AI的时代，网络钓鱼攻击变得更为狡猾且具有人性化特征。据CISA报告，90%的数据泄露事件源自网络钓鱼攻击。AI增强的钓鱼技术对企业构成巨大威胁，更具针对性和个人化元素的钓鱼活动，如电话呼叫，成功率提高了三倍以上，点击率超过53%。2023年FIDO联盟的研究发现，54%的全球消费者发现可疑信息和诈骗活动有所增加，52%的人认为这些信息变得更加精细。生成式AI为网络犯罪分子提供了更多机会，他们使用ChatGPT等工具进行非法活动，并开发了专门用于网络犯罪的版本，如FraudGPT和WormGPT。 

生成式AI使得网络犯罪分子能够更加精细地进行网络钓鱼攻击。他们使用ChatGPT等工具进行非法活动，并开发了专门用于网络犯罪的版本，如FraudGPT和WormGPT。这些工具可以帮助犯罪分子制作出极具说服力的钓鱼邮件和钓鱼网站。只需向AI生成器输入几个简单的提示，就可以轻松制作出引诱受害者点击恶意链接的引人入胜的故事。然而，生成式AI的这种用途在2024年对组织的威胁相对较小。尽管AI创建的深度伪造（包括操纵的视频、照片或音频录音）和AI驱动的恶意软件在新闻中引起了轰动，但由于这些欺诈技术在大规模执行时难度极大，因此在2024年的数据泄露事件中占比相对较小。相反，AI增强的现有钓鱼技术构成更大的威胁。根据Verizon的《2023年数据泄露调查报告》显示，74%的泄露事件是由人为错误、权限滥用、使用被盗凭证或社会工程学引起的。现在，全球任何地方的骗子都可以利用生成式AI制作出近乎完美的钓鱼攻击，这些攻击几乎无法被检测到，而制作深度伪造的努力则大大减少。

来源：

https://www.techtarget.com/searchsecurity/post/How-passwordless-helps-guard-against-AI-enhanced-attacks

数据泄露专题

2024年医疗行业勒索软件攻击激增

  Tag：勒索软件攻击, SafetyDetectives

事件概述：

根据SafetyDetectives的分析，2024年医疗行业的勒索软件攻击急剧增加。截至9月，已经有264起对医疗服务提供商的攻击，几乎超过了2023年全年的268次攻击。报告指出，2024年勒索软件团体和变种的增加导致了对医疗行业攻击次数的增加。2023年，68个活跃团体全球范围内发起了约4841次攻击。而今年，87个团体平均每月发起394次攻击。报告还揭示，网络犯罪分子正在改变策略：仅在2024年4月至9月期间，网络安全专家就发现了177种新的勒索软件变种。   

勒索软件攻击对医疗组织的影响可以非常严重。例如，服务中断可能会延迟关键服务，阻止访问电子健康记录(EHRs)，并威胁到诊断系统，从而使患者的生命处于危险之中。数据盗窃是另一个重大影响。根据SafetyDetectives的估计，攻击者可能在2024年从医疗组织中窃取了近120TB的数据。在某些情况下，这些数据可能对患者造成严重伤害。攻击者经常将包括患者文件、护照甚至整形诊所的不适当图片在内的敏感患者数据发布到公共论坛。这种数据的暴露可能会造成极大的心理压力，可能导致身份盗窃、医疗欺诈和受害者的心理压力。为应对增加的勒索软件威胁，SafetyDetectives建议医疗组织：定期进行软件更新和修补；实施多因素认证(MFA)和严格的访问控制；进行员工培训以减轻钓鱼和其他网络攻击的风险；维护关键数据的离线备份；制定全面的事件响应计划。

来源：

https://informationsecuritybuzz.com/ransomware-attacks-on-healthcare-secto/