APT组织Angry Likho利用Lumma Stealer发动新一轮网络攻击

近日，卡巴斯基实验室发布了一份关于Angry Likho（部分厂商称为Sticky Werewolf）APT组织的最新研究报告。该组织自2023年起便受到监测，其攻击活动主要针对俄罗斯和白俄罗斯的政府机构及其承包商，同时涉及其他国家的零星受害者。Angry Likho与之前分析过的Awaken Likho组织高度相似，被归类为Likho恶意活动集群的一部分。Angry Likho组织的攻击活动具有明显的针对性，其基础设施较为紧凑，使用的恶意软件种类有限，主要攻击对象为大型组织的员工，包括政府机构及其承包商。鉴于其诱饵文件使用流利的俄语编写，研究人员推测攻击者可能是以俄语为母语的人士。截至目前，研究人员已在俄罗斯发现数百名受害者，白俄罗斯也有数起相关事件，其他国家的受害者可能是研究人员或使用沙箱环境、Tor和VPN出口节点的用户。

Angry Likho的攻击通常以标准化的钓鱼邮件为初始攻击向量，邮件中包含各种附件。这些附件多为恶意的RAR压缩包，内含两个恶意的LNK文件，旨在诱骗受害者点击以执行恶意代码。在2024年6月，研究人员发现了一个与Angry Likho相关的有趣恶意软件植入体，名为FrameworkSurvivor.exe。该植入体通过合法的开源安装程序Nullsoft Scriptable Install System（NSIS）创建，并包含一个用于环境检查的AU3脚本。该脚本会检测是否存在与安全供应商的研究环境或模拟器相关的痕迹，一旦发现，则要么终止执行，要么延迟10,000毫秒后再执行，以此逃避检测。这种检查机制与Awaken Likho植入体中的类似，表明两者之间存在关联。AU3脚本随后设置错误处理模式，隐藏系统错误消息和报告，并删除自身文件以避免留下痕迹。解密和解压后的有效载荷是一个MZ PE文件，经分析确认是Lumma Trojan stealer（Trojan-PSW.Win32.Lumma）。Lumma stealer能够从受感染的设备中收集系统和已安装软件的信息，以及敏感数据，如cookies、用户名、密码、银行卡号和连接日志等。此外，它还能窃取来自11种浏览器的数据，包括Chrome、Edge、Firefox等主流浏览器，以及Binance和Ethereum等加密货币钱包的数据。

研究人员在恶意文件中发现了编码和加密的命令服务器地址。通过解密程序，恢复了用于命令服务器的原始域名。这些域名包括averageorganicfallfaw[.]shop、distincttangyflippan[.]shop等多个看似无关的网址，实则是Angry Likho用于远程控制受感染设备的关键节点。自2024年6月以来，研究人员一直在追踪Angry Likho的攻击活动。2025年1月，该组织的活动出现了新的高潮，多家网络安全机构报告了相关攻击事件。据分析，Angry Likho的主要目标是窃取敏感数据并通过恶意远程管理工具建立对受感染机器的全面控制。目前，已有数百名俄罗斯受害者被发现，同时也有少数白俄罗斯受害者。

参考链接：

https://securelist.com/angry-likho-apt-attacks-with-lumma-stealer/115663/

GitVenom攻击组织利用GitHub进行加密货币盗窃

近期，研究人员发现了一起名为GitVenom组织的网络攻击活动，攻击者通过在GitHub上创建虚假项目，诱骗开发者下载恶意代码，进而实施加密货币盗窃等恶意行为。该活动已经持续数年，影响范围广泛，涉及多个国家和地区。

GitVenom组织攻击活动中，攻击者在GitHub上创建了数百个包含虚假项目的恶意代码仓库。这些虚假项目涵盖了多种看似实用的功能，例如用于与Instagram账户交互的自动化工具、管理比特币钱包的Telegram机器人，以及针对游戏《Valorant》的黑客工具等。为了使这些恶意仓库看起来更加真实，攻击者精心设计了仓库的README.md文件，可能借助人工智能工具生成了详细的项目介绍和编译说明。此外，攻击者还通过添加多个标签和人为增加提交记录来增强仓库的可信度。他们甚至在仓库中放置了一个时间戳文件，每隔几分钟更新一次，以制造活跃开发的假象。

研究人员在分析GitVenom组织攻击活动中的恶意仓库时发现，这些虚假项目使用了多种编程语言编写，包括Python、JavaScript、C、C++和C#。尽管这些项目并未实现其README.md文件中所声称的功能，但它们的代码中都嵌入了恶意代码，且植入方式因编程语言而异。例如，在基于Python的项目中，攻击者在项目文件中插入了一行长达2000个制表符的代码行，随后是负责解密并执行Python脚本的代码。在JavaScript项目中，攻击者创建了一个恶意函数，并在项目主文件中调用它。该函数的作用是从Base64解码脚本并执行。对于包含C、C++和C#代码的仓库，攻击者选择将恶意批处理脚本隐藏在Visual Studio项目文件中，并配置其在项目构建时执行。

尽管这些虚假项目中的恶意代码使用了不同的编程语言编写，但它们的目标一致：从攻击者控制的GitHub仓库（研究时的URL为：hxxps://github.com/Dipo17/battle）下载并执行进一步的恶意组件。这些组件包括：

• 一个Node.js信息窃取器，用于收集保存的凭证、加密货币钱包数据和浏览历史等信息，将其打包成7z格式的压缩包，并通过Telegram上传给攻击者。
• 开源的AsyncRAT植入程序（C2服务器地址：138.68.81.155）。
• 开源的Quasar后门（C2服务器地址与上述相同）。
• 一个剪贴板劫持器，用于搜索剪贴板中的加密货币钱包地址，并将其替换为攻击者控制的地址。值得注意的是，攻击者控制的一个比特币钱包（ID：bc1qtxlz2m6r...yspzt）在2024年11月收到了约5个比特币（当时约合48.5万美元）。

在调查与GitVenom活动相关的恶意仓库时，研究人员发现了一些两年前发布的虚假项目。鉴于攻击者已经利用这些虚假项目诱骗受害者多年，该感染途径可能相当有效。根据研究人员的监测数据，GitVenom相关的感染尝试已在全球范围内被观察到，其中俄罗斯、巴西和土耳其的感染尝试次数最多。研究人员预计，这些攻击尝试在未来仍将继续，攻击者可能会对攻击手法进行小幅调整。

GitHub等代码共享平台被全球数百万开发者广泛使用，因此威胁行为者将继续利用虚假软件作为感染诱饵。鉴于此，开发者在处理第三方代码时必须格外小心。在尝试运行此类代码或将其集成到现有项目之前，务必仔细检查其执行的操作。这样可以轻松识别虚假项目，并防止其中嵌入的恶意代码被用于破坏开发环境。

参考链接：

https://securelist.com/gitvenom-campaign/115694/

俄罗斯警告金融部门：IT服务商LANIT遭黑客攻击

近日，俄罗斯国家计算机事件协调中心（NKTsKI）发布警告称，俄罗斯主要的IT服务和软件提供商LANIT集团遭到网络攻击，其旗下的LANTER和LAN ATMservice等子公司可能受到影响。此次事件可能对俄罗斯金融领域造成重大冲击。

LANIT集团（Laboratory of New Information Technologies）是俄罗斯最大的IT服务和软件提供商之一，成立于1989年，提供包括系统集成、软件开发、网络安全、云服务和IT咨询在内的广泛解决方案。其服务对象涵盖金融、政府、医疗和电信等多个领域。LANIT集团在俄罗斯的数字基础设施中扮演着重要角色，并与全球IT供应商保持合作关系。

根据俄罗斯国家计算机事件协调中心（NKTsKI）发布的安全通知，此次网络攻击发生在2025年2月21日。攻击目标是LANIT集团旗下的LANTER LLC和LAN ATMservice LLC，这两家公司专注于金融IT解决方案，包括支付处理和ATM服务。目前，攻击的具体技术细节尚未完全披露，但根据NKTsKI的建议，此次攻击可能导致了LANIT集团部分系统的访问凭证泄露。

参考链接：

https://securityaffairs.com/174604/hacking/russia-warns-financial-sector-lanit-hack.html

美国药物和酒精检测公司数据泄露事件

近日，美国领先的背景调查和药物及酒精检测公司DISA Global Solutions遭遇了一起严重的数据泄露事件，导致超过330万人的敏感信息可能被泄露。DISA Global Solutions在2024年2月9日遭到网络攻击者的入侵，但直到两个月后的4月22日才发现此次安全事件。该公司在事件发生后并未立即公开披露，直到最近才向公众通报相关情况。根据最新消息，此次数据泄露事件共影响了3,332,750人的个人信息。

根据DISA发布的安全公告，未经授权的第三方在2024年2月9日至4月22日期间访问了该公司的系统，并获取了部分数据。尽管法医调查未能明确指出被获取的具体数据，但DISA通过详细审查受影响文件，确认泄露的个人信息可能包括：

姓名

社会安全号码（SSN）

驾驶证号码

其他政府颁发的身份证号码

财务账户信息

其他杂项数据

DISA表示，泄露数据的具体类型因个人而异。值得注意的是，DISA并未明确指出此次事件的具体攻击类型。然而，根据BleepingComputer的报道，该公司可能支付了赎金，以换取攻击者不公开被盗数据。

参考链接：

https://www.bitdefender.com/en-us/blog/hotforsecurity/breach-at-us-drug-and-alcohol-testing-company-leaks-data-of-3-3-million-people

Medusa团伙再次曝光HCRG Care Group 被盗50TB数据

近日，黑客组织Medusa被曝光窃取了HCRG Care Group的大量数据，此次泄露的数据量高达50TB。HCRG Care Group是一家在医疗保健领域具有重要影响力的机构，负责处理和存储大量的患者个人信息、医疗记录以及相关的敏感数据。然而，近期该机构遭遇了严重的网络攻击，导致大量数据被黑客组织Medusa窃取并公之于众。

据初步统计，此次泄露的数据量高达50TB，涵盖了患者的个人身份信息、医疗记录、保险信息等多个方面。这些数据的泄露不仅会对患者个人隐私造成严重侵犯，还可能导致身份盗窃、保险欺诈等一系列后续安全问题。此外，对于HCRG Care Group来说，此次事件可能会引发公众对其数据安全和隐私保护能力的质疑，进而影响其声誉和业务运营。

黑客通过伪装成合法的电子邮件或网站，诱骗HCRG Care Group的员工点击恶意链接或下载恶意软件，从而获取系统访问权限。通过扫描并利用了HCRG Care Group系统中存在的安全漏洞，例如未及时更新的软件或配置不当的网络设备，进而渗透到其内部网络。不排除存在内部人员协助黑客攻击的可能性。黑客也可能通过贿赂、胁迫或其他手段，诱导内部人员泄露系统登录凭证或协助其绕过安全防护措施。在获取系统访问权限后，黑客组织利用恶意软件在HCRG Care Group的网络中横向移动，寻找并窃取存储在服务器上的敏感数据。最终，这些数据被加密并传输到黑客控制的服务器，随后被曝光在网络上。

参考链接：

https://databreaches.net/2025/02/26/medusa-unveils-another-50tb-of-stolen-data-from-hcrg-care-group-giving-greater-insight-into-the-scope-of-the-breach/

Silent Killers利用Windows策略漏洞绕过检测并部署恶意软件

近日，Check Point Research（CPR）揭露了一起复杂的网络攻击事件，攻击者自2024年6月以来，通过利用Windows驱动程序签名策略漏洞，禁用安全工具并在数千个系统中部署恶意软件。

据悉，攻击者利用了2500多个经过修改的Truesight.sys驱动程序（v2.0.2）的变种，该驱动程序是Adlice公司RogueKiller Antirootkit的一部分。攻击者通过这些变种终止了如EDR/AV解决方案等受保护进程，并安装了Gh0st RAT（远程访问木马）的有效载荷。此次攻击活动主要针对位于中国、使用阿里云基础设施的受害者，占比高达75%。最初的感染途径包括伪装成电子商务平台的钓鱼网站（如bung486[.]com），这些网站分发伪装成合法软件安装程序的恶意下载器。研究人员发现，经过三个阶段的加密有效载荷执行后，攻击者利用内核驱动程序漏洞禁用了安全进程，并通过Gh0st RAT变种建立了远程控制。

攻击者利用了一个关键的Windows策略例外，该例外允许在2015年7月之前签名的旧版驱动程序在现代系统上加载，从而绕过了微软的驱动程序签名强制（DSE）机制。尽管Truesight.sys v2.0.2存在任意进程终止漏洞，但它仍符合这一漏洞条件。与微软黑名单中的新版本不同，这一变种由于以下原因而避免了检测：未被列入微软的脆弱驱动程序黑名单；不在LOLDrivers项目数据库中；修改后仍保留有效的数字签名。为了规避基于哈希的检测，攻击者修改了非关键的可移植可执行（PE）部分，同时保留了有效的签名。他们更改了NT头中的4字节校验和字段和WIN_CERTIFICATE结构中的4字节填充，从而生成了2500多个驱动程序变种的唯一哈希值。CPR的分析显示，驱动程序的IOCTL 0x22E044处理程序通过DeviceIoControl函数执行进程终止。EDR/AV杀手模块（S.dll）利用此功能终止了192个安全进程，如360sd.exe、McAfeeEngineService.exe和CrowdStrikeHost.exe。攻击者还在32位有效载荷上部署了商业保护器（如VMProtect），以阻碍逆向工程。他们还将加密的有效载荷伪装成图像文件（PNG/JPG），在内存中反射加载以避免磁盘扫描。最终阶段的Gh0st RAT变种使用自定义的XOR+ADD加密进行C2（命令与控制）通信。

在披露后，微软于2024年12月17日更新了其黑名单，纳入了Truesight v2.0.2。然而，组织需要手动应用最新的Windows Defender应用程序控制（WDAC）策略，因为自动更新每半年才进行一次。Check Point的Harmony Endpoint和Threat Emulation现在能够检测相关的指标（IoCs），包括驱动程序哈希和C2域名。

参考链接：

https://cybersecuritynews.com/silent-killers-exploiting-windows-policy-loophole/

Rhadamanthys信息窃取器通过MSC扩展传播

近日，AhnLab安全情报中心（ASEC）确认，Rhadamanthys信息窃取器正通过MSC扩展文件进行传播。MSC扩展是一种基于XML的格式，由Microsoft Management Console（MMC）执行，能够注册并执行各种任务，包括脚本代码、命令执行以及程序运行。此次事件再次凸显了恶意软件传播手段的复杂性和多样性。

Rhadamanthys信息窃取器是一种恶意软件，专门用于窃取用户设备上的敏感信息，如登录凭证、财务数据和个人身份信息。此次，该恶意软件通过MSC扩展文件进行传播，利用了MSC文件的特性，伪装成合法的文件格式，诱骗用户执行，从而实现恶意代码的植入和运行。

自2024年6月以来，MSC恶意软件的传播呈上升趋势，其中一种利用了apds.dll漏洞（CVE-2024-43572）。该漏洞允许恶意软件通过特定的语法触发，该语法通过“res://”协议访问本地文件中的资源，利用apds.dll中的“redirect.html”资源执行恶意代码。此方法的核心在于直接在易受攻击的DLL中执行代码，而不是通过MMC。

另一种MSC恶意软件的传播方式是通过Console Taskpad执行命令。与利用DLL漏洞不同，这种方法通过解释和执行<ConsoleTaskpads>和</ConsoleTaskpads>之间的命令来实现。它利用MMC支持的功能，允许执行简单的命令和特定文件。

此次发现的MSC恶意文件伪装成Microsoft Word文档，诱骗用户点击“打开”按钮。点击后，文件会从外部来源下载并执行一个PowerShell脚本。该脚本进一步下载一个EXE文件（Rhadamanthys），并将其保存在%LocalAppData%目录下，伪装成“eRSg.mp3”文件。随后，该恶意软件会在用户不知情的情况下运行，窃取敏感信息。

Rhadamanthys信息窃取器的传播对用户隐私和信息安全构成严重威胁。一旦用户设备被感染，恶意软件可能会窃取以下信息：

登录凭证（包括电子邮件、社交媒体和在线银行账户）

个人身份信息（如身份证号码、地址等）

财务数据（如信用卡信息、交易记录等）

此外，恶意软件还可能进一步利用用户设备作为攻击跳板，传播到其他设备或网络。

参考链接：

https://asec.ahnlab.com/en/86391/

英国南方水务公司遭勒索软件攻击：损失高达450万英镑

近日，英国南方水务公司（Southern Water）遭到勒索软件攻击，导致其运营系统瘫痪，并造成高达450万英镑的经济损失。此次事件凸显了关键基础设施在网络安全方面面临的严峻挑战。

南方水务公司是英国主要的水务供应商之一，为数百万用户提供饮用水和污水处理服务。此次勒索软件攻击发生在2025年2月26日，攻击者通过网络入侵，加密了公司的关键运营系统，导致其无法正常运行。

据南方水务透露，攻击者通过未知途径成功侵入公司内部网络，并部署了勒索软件，加密了大量文件和数据。随后，黑客组织Black Basta在其泄露网站上列出了南方水务的名字，并声称已经窃取了750GB的数据，包括客户的个人信息以及公司的内部文档。面对这一危机，南方水务迅速采取行动，启动了全面的应急响应计划，并与执法部门紧密合作展开调查。

从技术角度来看，此次攻击很可能利用了先进的社会工程学手段或未修补的安全漏洞作为入口点。一旦进入内部网络，攻击者可能会使用横向移动技术来扩大其影响力，寻找高价值目标进行加密。值得注意的是，此次攻击中涉及的数据盗窃行为表明，攻击者采用了双重勒索策略——既加密数据要求赎金，又威胁公开敏感信息以施加额外压力。

参考链接：

https://databreaches.net/2025/02/26/ransomware-attack-on-southern-water-cost-4-5-million/