安全简讯（2025.02.19）

1. Cl0p勒索软件团伙再现，声称攻击47家公司

2月13日，与俄罗斯有关的勒索软件团伙Cl0p近期再次活跃，声称对包括DXC Technology和芝加哥公立学校在内的47家公司发动了攻击。这些公司遍布美国、加拿大、墨西哥、英国和爱尔兰。其中，DXC Technology是一家拥有130,000名员工的跨国IT服务和咨询公司，而芝加哥公立学校则是美国第三大学区，服务330,000多名学生。Cl0p团伙采用独特的沟通方式，不在暗网上直接联系受害者，而是发布消息促使受害者主动联系。该团伙采用勒索软件即服务（RaaS）模式和“双重勒索”策略，既加密数据又窃取数据，并在受害者不支付赎金时发布窃取的数据。据威胁情报平台FalconFeeds分享，受害者名单中还包括卡尔森分销公司、森堡汇集团等多家企业和组织。Cl0p团伙历史上曾策划过包括MOVEit和Fortra GoAnywhere文件管理软件黑客攻击在内的多起大规模黑客事件，并从中获利丰厚。尽管2021年乌克兰执法部门曾摧毁其IT基础设施并逮捕多名嫌疑人，但该团伙仍在积极寻找新的受害者。

https://cybernews.com/cybercrime/chicago-schools-dxc-technology-cl0p-ransomware/

2. 新日铁公司遭BianLian勒索软件攻击，敏感数据遭窃取

2月14日，全球第四大粗钢生产商新日铁公司（Nippon Steel）据称遭到了BianLian勒索软件集团的攻击。该组织在其暗网网站上发布信息，声称从新日铁美国分部网络窃取了500GB的数据，包括会计数据、客户财务和个人信息、生产数据等敏感资料，并向公司高管发布了个人联系信息。此次袭击对新日铁来说时机糟糕，因为自美国总统拜登阻止其与美国钢铁公司的合并计划以来，该公司一直备受关注。BianLian还在其暗网上发布了一个数据样本，似乎描述了新日铁与美国钢铁公司合并前后的细节。然而，当Cybernews访问BianLian的洋葱网站时，却发现Nippon并未出现在受害者名单上，BianLian称新日铁的数据“很快就会公布”，猜测日本公司可能正在谈判支付赎金。BianLian勒索软件组织自2022年6月出现以来，已针对关键基础设施部门、中小型企业以及医疗、专业和房地产行业发动了多次攻击。据CISA和FBI的联合公告，该团伙据称来自俄罗斯，采用双重勒索模式，首先窃取数据，然后加密受害者系统，以实现持久性命令和控制。

https://cybernews.com/news/nippon-steel-claimed-by-bianlian-ransomware-group/

3. StaryDobry恶意软件活动：利用破解游戏传播XMRig挖矿病毒

2月18日，StaryDobry是一个针对全球游戏玩家的大规模恶意软件活动，它利用破解的游戏版本，如Garry's Mod、BeamNG.drive和Dyson Sphere Program等Steam上高评分的游戏，作为传播恶意软件的载体。据报道，该活动在2024年12月下旬至2025年1月27日期间活跃，主要影响德国、俄罗斯、巴西、白俄罗斯和哈萨克斯坦的用户。威胁行为者提前数月上传受感染的游戏安装程序到种子网站，在假期期间触发有效载荷以降低被发现的风险。StaryDobry采用多阶段感染链，最终目的是在用户系统中安装XMRig加密矿工。用户下载看似正常的游戏安装程序后，恶意软件植入程序会在后台解压并启动，收集系统信息后发送到C2服务器。随后，恶意软件加载程序会伪装成Windows系统文件，创建计划任务以持续存在，并在满足条件时下载并运行XMRig挖矿程序。XMRig矿工是Monero矿工的修改版本，它连接到私人挖矿服务器，使得收益更难追踪。卡巴斯基指出，这些攻击可能来自一名讲俄语的攻击者，且StaryDobry倾向于一次性活动，旨在通过瞄准强大的游戏机来最大化挖矿收益。

https://www.bleepingcomputer.com/news/security/cracked-garrys-mod-beamngdrive-games-infect-gamers-with-miners/

4. 风险投资巨头 Insight Partners 遭遇网络攻击

2月18日，总部位于纽约的风险投资和私募股权公司Insight Partners，在其30年的业务运营期间已投资了全球800多家软件和技术初创企业，管理着超过900亿美元的监管资产。然而，该公司在1月份遭受了一次复杂的社会工程攻击。据该公司周二发布的声明，其部分信息系统于1月16日遭到攻击。发现违规行为后，Insight Partners迅速采取行动，在几小时内控制了局面并开始调查，同时通知了相关执法部门和利益相关者，并聘请了第三方网络安全专家来评估影响。虽然该公司尚未分享有关攻击性质的更多信息，以及数据是否在攻击中被访问或窃取，但表示没有证据表明攻击者在被发现后仍能访问其网络，且此次事件并未对公司的运营造成进一步的干扰。Insight Partners正在与第三方网络安全专家、取证专家以及外部法律顾问合作，努力确定事件的范围，并与利益相关者分享信息，预计这一过程将需要数周时间。目前，该公司认为此次攻击不会对投资组合公司、Insight基金或其他利益相关者产生重大影响，并承诺在调查过程中获得相关信息后，将向受影响的个人通报最新情况。

https://www.bleepingcomputer.com/news/security/venture-capital-giant-insight-partners-hit-by-cyberattack/

5. 报业巨头Lee Enterprises遭勒索软件攻击致运营中断

2月18日，报业出版巨头Lee Enterprises确认，其遭遇的勒索软件攻击是导致集团运营持续中断超过两周的根本原因。该集团在26个州出版77份日报、350份周刊及专业刊物，拥有超过120万的日报发行量和4400万的数字版独立访客。此次攻击导致2月3日系统中断，影响了产品分销、账单、收款和供应商付款等运营，印刷出版物分销延迟，在线运营受限。截至2月12日，所有核心产品已恢复正常分发，但周度和辅助产品尚未恢复，占公司总营业收入的5%。Lee正在调查敏感数据是否泄露，同时实施临时措施维持关键业务功能。此次攻击导致报业集团陷入混乱，记者和编辑无法访问文件。此前，该集团曾在2020年美国总统大选前遭受伊朗黑客的网络攻击。

https://www.bleepingcomputer.com/news/security/lee-enterprises-newspaper-disruptions-caused-by-ransomware-attack/

6. Snake Keylogger新变种：隐身攻击Windows用户并窃取凭据

2月18日，New Snake Keylogger变种，也被称为404 Keylogger，是一种针对Windows用户的恶意软件，主要通过网络钓鱼电子邮件传播。它使用AutoIt脚本语言进行隐身攻击，能够绕过标准防病毒解决方案，增加检测难度。该恶意软件记录击键、捕获凭据、监视剪贴板，并将被盗数据通过电子邮件和Telegram机器人泄露到命令和控制服务器。在攻击过程中，它将自身副本隐藏在系统启动文件夹中，并使用进程挖空技术将恶意负载注入合法的.NET进程，从而逃避检测。此外，它还能检索受害者地理位置，检测对包含敏感数据的文件夹的访问，并从浏览器自动填充系统中窃取数据。这是一种复杂且功能丰富的恶意软件变体，对全球Windows用户构成严重威胁，需要组织和个人采取高级威胁防护和主动安全措施来防御。

https://hackread.com/snake-keylogger-variant-windows-data-telegram-bots/