第352期

本周热点事件威胁情报

Epsilon Red勒索软件通过ClickFix传播

网络安全机构发现了一起通过伪造的ClickFix验证页面传播Epsilon Red勒索软件的活动。该活动自7月起活跃，攻击者利用社交工程技术，冒充Discord、Twitch和OnlyFans等平台，诱骗用户下载恶意的.HTA文件。通过ActiveX静默执行恶意命令，攻击者会从控制的IP地址下载并运行勒索软件有效载荷。受害者在不知情的情况下，其设备会被加密，随后勒索软件会要求支付赎金。专家建议用户禁用ActiveX，屏蔽攻击者IP，并进行安全意识培训以防范此类攻击。

参考链接：

https://www.cloudsek.com/blog/threat-actors-lure-victims-into-downloading-hta-files-using-clickfix-to-spread-epsilon-red-ransomware

Soco404新型加密挖矿活动伪装成虚假404页面

安全机构发现了一种名为Soco404的新型加密货币挖矿攻击活动。该活动利用云环境中的漏洞和错误配置，尤其是PostgreSQL的错误配置，针对Linux和Windows系统部署恶意软件。攻击者通过伪装成合法系统进程、利用cron作业和shell初始化文件实现持久性，并通过受感染的合法服务器托管和传播恶意软件。恶意负载被嵌入在使用Google协作平台构建的虚假404HTML页面中。研究人员推测，Soco404是更广泛的加密诈骗基础设施的一部分，攻击者还利用虚假的加密货币交易网站进行社会工程活动。

参考链接：

https://www.wiz.io/blog/soco404-multiplatform-cryptomining-campaign-uses-fake-error-pages-to-hide-payload

研究人员揭露新型勒索软件ChaosRaaS

一个名为Chaos的新型勒索软件即服务 (RaaS) 组织正在发起复杂的攻击活动。Chaos通过低强度垃圾邮件、语音钓鱼获取初始访问权限，随后滥用远程管理工具 (RMM) 和合法文件共享软件实现持久连接和数据窃取。该勒索软件采用多线程快速选择性加密技术，针对本地和网络资源，同时利用反分析技术阻碍检测和恢复。安全人员认为，Chaos很可能是由BlackSuit(Royal) 勒索软件团伙的前成员组成，其攻击活动涉及多个商业领域，主要受害者位于美国、英国、新西兰和印度。Chaos在暗网俄语论坛RAMP上推广其跨平台勒索软件，支持Windows、ESXi、Linux和NAS系统，并提供自动化面板管理目标。该组织通过数据泄露网站披露未支付赎金的受害者数据，索要30万美元赎金，并威胁进行DDoS攻击和数据泄露。

参考链接：

https://blog.talosintelligence.com/new-chaos-ransomware/

勒索软件组织Lynx声称攻击PC制造商iBUYPOWER

勒索软件组织Lynx承认其于6月份对游戏PC制造商iBUYPOWER及其姊妹品牌HYTE发起了网络攻击，导致数据泄露。iBUYPOWER于6月25 日宣布在6月21日遭遇网络安全事件，多个内部系统暂时中断。目前尚不清楚iBUYPOWER是否支付了赎金、Lynx索要的赎金金额、攻击者是如何入侵该公司网络的，以及哪些具体数据遭到泄露。不过，iBUYPOWER表示其不会在其网络环境中存储客户支付信息。

参考链接：

https://www.comparitech.com/news/ransomware-gang-says-it-hacked-pc-maker-ibuypower/?&web_view=true