鑽石舞台

點擊藍字關注我們

周報匯總下載前往TI平台：

https://ti.dbappsecurity.com.cn/info

首頁-「安全周報」每周更新，往期周報可以在TI平台關鍵詞搜索「周報」。請保留該地址哦~

2022.8.20-8.26

全球情報資訊

Grandoreiro：針對西班牙、墨西哥用戶的銀行木馬

AsyncRAT以無文件形式分發

Escanor惡意軟件通過武器化Office文檔分發

ATMZOW JS-sniffer與Hancitor惡意軟件存在聯繫

BugDrop惡意軟件試圖繞過谷歌安全功能

EvilCoder項目在線銷售多種惡意工具

希臘天然氣運營商遭到Ragnar Locker勒索軟件攻擊

多米尼加共和國政府機構遭到Quantum勒索軟件攻擊

RansomEXX勒索團伙攻擊加拿大製造商

航空技術提供商遭到BlackCat勒索軟件攻擊

Solidbit勒索軟件分析

BianLian勒索軟件變種正在興起

數字轉型巨頭Orion Innovation遭到LockBit勒索軟件攻擊

TA558團伙攻擊拉丁美洲酒店和旅遊組織

攻擊者通過盜版軟件下載網站，分發信息竊取惡意軟件

0ktapus大規模網絡釣魚活動影響了136個組織

疑似新APT組織針對土耳其海軍發起釣魚攻擊

Charming Kitten組織使用新工具以竊取用戶數據

俄羅斯APT29組織持續針對北約Microsoft 365帳戶

Kimsuky組織攻擊韓國媒體和智庫

Nobelium組織開發了MagicWeb後利用工具

惡意軟件威脅情報

「Grandoreiro」是一種銀行木馬，至少自 2016年以來一直活躍，其攻擊目標為西班牙語國家，包括墨西哥和西班牙。近日，研究人員發現了自2022年6月開始的Grandoreiro活動，本次活動的目標行業包括化學品製造、汽車、民用和工業建築、機械以及物流。活動始於一封用西班牙語編寫的魚叉式網絡釣魚電子郵件，針對墨西哥和西班牙的受害者。郵件包含一個嵌入式鏈接，單擊該鏈接會將受害者重定向到一個網站，在受害者的計算機上進一步下載惡意 ZIP 存檔。ZIP 存檔與Grandoreiro加載器模塊捆綁在一起，以誘導受害者下載、提取並執行最終的「Grandoreiro」有效負載。

AsyncRAT 是一種開源 RAT 惡意軟件，通過 C2 接收攻擊者的命令，可以執行各種惡意行為。近日，研究人員發現，分布式AsyncRAT正作為電子郵件中的壓縮文件附件分發，通過多個腳本文件以無文件形式執行。通過釣魚郵件分發的壓縮文件中有一個 html 文件，執行此文件會將內部惡意數據保存為 ISO 文件。

網絡犯罪分子正在暗網和Telegram中宣傳一種名為Escanor的新RAT。該工具於今年1月26日發布，最初是作為緊湊型HVNC植入程序，允許建立與受害者計算機的遠程靜默連接，後來轉變為具有多種功能集的商業RAT。大多數樣本都是使用 Escanor Exploit Builder 交付的，攻擊者使用模仿流行在線服務的發票和通知作為誘餌文件。目前，研究人員已在美國、加拿大、阿聯酋、沙特阿拉伯、科威特、巴林、埃及、以色列、墨西哥和新加坡發現了被 Escanor 感染的受害者。

8月17日，研究人員發布報告稱，對ATMZOW最近活動的進一步分析顯示，ATMZOW JS嗅探器活動和Hancitor惡意軟件分發活動可能是由相同的攻擊者發起的。

BugDrop是一個新的 Android 釋放器，目前仍在開發中，旨在繞過谷歌操作系統中實施的安全功能。BugDrop釋放器的開發者為Hadoken Security網絡犯罪組織，該組織至少從 2021 年底開始就一直活躍，使用多個惡意軟件家族，包括Xenomorph銀行木馬和 Dropper Gymdrop。

在例行的威脅搜尋活動中，研究人員發現了一個宣傳Windows RAT的暗網帖子，並發現該惡意軟件開發商的網站正在出售多種惡意工具，包括用於創建惡意軟件、隱藏現有惡意軟件、竊取加密貨幣以及生成PowerShell腳本的工具。

勒索專題威脅情報

希臘最大的天然氣分銷商 DESFA 遭到了網絡攻擊，攻擊導致IT系統中斷，並泄露了部分數據。此次事件的攻擊者為Ragnar Locker勒索團伙，該團伙表示在DESFA的系統上發現了多個安全漏洞，如果DESFA不支付贖金，則會泄露竊取的公司文件。

8月18日，多米尼加共和國的農業研究所(IAD)遭到了Quantum勒索軟件攻擊，導致多米尼加政府機構的多個服務和工作網站被加密。Quantum勒索團伙聲稱已經竊取了超過 1TB 的IAD數據，要求該機構支付 650,000 美元的贖金。

RansomEXX勒索軟件團伙聲稱攻擊了加拿大製造商龐巴迪娛樂產品公司(BRP)。BRP擁有超過 20,000 名員工，在 120 多個國家/地區分銷各種娛樂產品，包括 Ski-Doo 雪地摩托、Sea-Doo 摩托艇等，年銷售額接近 60 億美元。由於網絡攻擊，BRP暫時停止運營，產品生產受到影響，與客戶和供應商的某些交易預計將出現延遲。8月23日，RansomEXX團伙在其泄密網站上將龐巴迪娛樂產品公司列為受害者，並列出了據稱從該公司竊取的 29.9GB 文件，包括保密協議、護照和身份證、材料供應協議、合同續簽等。

Accelya是一家為航空公司提供服務的技術公司，在 9 個國家有 250 多家合作的航空公司。近日，Accelya公司遭到BlackCat勒索軟件攻擊，勒索團伙公布了據稱從 Accelya 竊取的數據，包括電子郵件、員工合同等。

SolidBit是一種相對較新的勒索軟件，大約從 2022 年 7 月開始活躍。SolidBit是 Yashma 勒索軟件的變種，針對遊戲玩家和社交媒體用戶。SolidBit已表現出作為勒索軟件即服務 (RaaS) 威脅運行的意圖，以 200 美元的價格提供對勒索軟件構建器、解密器和基於 TOR 的控制面板的訪問權限，後來降價至 100 美元。

「BianLian」是一種以Go語言編寫的勒索軟件變種，於2022年7月中旬首次被發現。該勒索軟件針對製造、教育、醫療保健、BFSI（銀行、金融服務和保險） 等多個行業領域的知名組織，迄今為止共有 9 個受害者。

總部位於美國新澤西州的數字轉型公司 Orion Innovation 遭到了 LockBit 勒索軟件攻擊。目前尚不清楚LockBit團伙從Orion Innovation竊取了多少數據，但該團伙要求Orion Innovation公司在 9 月 1 日之前支付贖金。

攻擊團伙威脅情報

TA558是一個疑似出於經濟動機的小型威脅組織，其目標是酒店和旅遊組織。自 2018 年以來，TA558組織一直活躍，在活動中使用了多種惡意軟件，包括 Loda RAT、Vjw0rm 和 Revenge RAT。TA558主要針對拉丁美洲地區，也針對西歐和北美實體。

惡意活動威脅情報

近日，研究人員發現了多個正在進行的惡意軟件分發活動，這些活動針對尋求下載盜版軟件副本的互聯網用戶，分發信息竊取惡意軟件，如RedLine Stealer或RecordBreaker Stealer，並勒索受害者，以獲取經濟收益。

8月25日，研究人員披露了代號為0ktapus的大規模網絡釣魚活動。0ktapus活動至少從2022年3月開始運行，旨在竊取Okta身份憑證和2FA代碼，並利用它們進行後續的供應鏈攻擊。該活動攻擊了136個組織，竊取了9931個用戶憑據，攻擊者利用這些憑據通過 VPN 和其他遠程訪問設備訪問公司網絡和系統。受害組織主要位於美國、印度、加拿大、法國、瑞典和澳大利亞等。大多數受影響的組織是軟件公司，其次是電信、商業服務、金融、教育、零售和物流行業。

高級威脅情報

近期，安恆信息中央研究院獵影實驗室捕獲到數個針對土耳其海軍的釣魚文檔樣本，攻擊者通過將文檔加密誘騙受害者啟用宏腳本，啟用宏後文檔中的內容將被解密並運行惡意vba代碼。經分析此次行動與2021年4月26日友商披露的 「Actor210426」行動攻擊手法高度重合，推斷兩次行動極有可能來自同一組織。為方便追蹤，獵影實驗室將其命名為OceanDoge（安恆信息內部追蹤代號為「APT-LY-1003」）。

Charming Kitten是一個伊朗支持的APT組織，也被稱為 APT35 和 Phosphorus。2021 年 12 月，谷歌威脅分析組織發現了一種名為 HYPERSCRAPE 的新型 Charming Kitten 工具，用於從 Gmail、Yahoo! 和 Microsoft Outlook 帳戶中竊取用戶數據。

2022年，與俄羅斯有關聯的APT組織Cozy Bear（又名 APT29 和 Nobelium）持續針對北約國家的 Microsoft 365 帳戶進行間諜活動。APT29 設計了新的戰術、技術和程序來逃避檢測，可以在受感染的目標帳戶上禁用 Purview 審計功能。APT29 通過混合惡意行為（例如後門服務以收集電子郵件並添加良性應用程序地址 URL）來進一步混淆其 Azure AD 管理員活動。

Kimsuky（又名Thallium、Black Banshee 和 Velvet Chollima）是一個多產且活躍的朝鮮APT組織，主要針對韓國個人和實體。2022 年初，研究人員觀察到Kimsuky組織正在攻擊韓國的媒體和智囊團，包括與政治或外交活動相關的人員或組織。攻擊集群代號為GoldDragon，感染鏈導致 Windows 惡意軟件的部署，這些惡意軟件旨在竊取文件列表、用戶擊鍵和存儲的 Web 瀏覽器登錄憑據。

來自俄羅斯的Nobelium APT組織（又名APT29、Cozy Bear）開發了一種後利用工具「MagicWeb」，攻擊者可以利用該工具來維持對受損環境的持續訪問。MagicWeb 工具將AD FS使用的合法 DLL 替換為惡意版本，以操縱用戶身份驗證證書，並修改受感染服務器生成的令牌中傳遞的聲明。