APT40利用ScanBox偵察框架攻擊澳大利亞的政府機構
發布時間 2022-09-01
Proofpoint在8月30日披露了APT40近期的攻擊活動。攻擊主要針對澳大利亞地方和聯邦政府機構及媒體機構,和為南海風力渦輪機提供維護服務的全球重工業制造商。2022年4月至6月期間,攻擊者冒充澳大利亞晨報的員工,通過釣魚活動分發ScanBox漏洞利用框架。根據最新證據,Proofpoint得出結論,2022年的活動是APT40自2021年3月以來進行的同一情報收集任務的第三階段,當時攻擊者冒充新聞媒體,通過RTF模板注入加載Meterpreter。
https://www.proofpoint.com/us/blog/threat-insight/chasing-currents-espionage-south-china-sea
2、意大利石油公司Eni稱其內部網絡遭到未經授權的訪問
據8月31日報道,意大利石油公司Eni稱其內部保護系統檢測到針對公司網絡的未經授權的訪問。目前沒有攻擊的技術細節,無法確定攻擊者身份、如何入侵的以及他們的動機。知情人士稱,Eni好像遭到了勒索攻擊。意大利能源部門近期似乎遭到了攻擊,上周末,經營意大利電力市場的政府機構Gestore dei Servizi Energetici SpA遭到攻擊。GSE的基礎設施受到影響,網站仍處于中斷狀態。
https://securityaffairs.co/wordpress/135116/hacking/eni-suffered-cyberattack.html
3、Securonix披露新惡意軟件活動GO#WEBBFUSCATOR的細節
據8月30日報道,Securonix發現一起基于Golang的持續攻擊活動GO#WEBBFUSCATOR。感染始于一封帶有惡意文檔Geos-Rates.docx的釣魚郵件,它會下載模板文件。該文件包含一個經過混淆的VBS宏,啟用宏后,代碼會從遠程資源下載JPG圖像,然后使用certutil.exe將其解碼為可執行文件msdllupdate.exe并啟動它。在圖像查看器中,.JPG文件則顯示了由NASA于2022年7月發布的星系團SMACS 0723。二進制msdllupdate.exe采用了多種混淆技術來繞過AV使分析變得困難。
https://www.securonix.com/blog/golang-attack-campaign-gowebbfuscator-leverages-office-macros-and-james-webb-images-to-infect-systems/
4、McAfee發現5個惡意Chrome擴展已被安裝超過140萬次
McAfee在8月29日報道,研究人員發現了5個可以竊取用戶瀏覽活動的Google Chrome擴展程序,總下載量已超過140萬次。這些惡意擴展的目的是監控用戶訪問電商網站,并修改訪問者的cookie,使其看起來是通過推薦鏈接來的,這樣,擴展程序的開發人員可以在這些購買活動中獲得聯營費。惡意擴展分別為Netflix Party、Netflix Party 2、Full Page Screenshot Capture、FlipShope和AutoBuy Flash Sales,雖然它們不會直接影響用戶,但會帶來嚴重的隱私風險。
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/malicious-cookie-stuffing-chrome-extensions-with-1-4-million-users/
5、烏克蘭國家警察關閉某黑客團伙使用的呼叫中心網絡
媒體8月30日稱,烏克蘭國家警察(NPU)關閉了一個黑客團伙使用的呼叫中心網絡。據稱,該團伙還涉嫌詐騙對加密貨幣、證券、黃金和石油投資感興趣的烏克蘭和歐盟國家的公民。在詐騙活動中,攻擊者使用了軟件和高科技設備,冒充國有銀行機構的員工,敲詐目標的銀行卡機密數據。然后,在誘騙目標將資金轉移到攻擊者的賬戶后中斷所有通信。執法人員搜查了與此次活動相關的多個呼叫中心并沒收了計算機、手機和數據記錄,相關嫌疑人將面臨最高12年的監禁。
https://www.bleepingcomputer.com/news/security/ukraine-takes-down-cybercrime-group-hitting-crypto-fraud-victims/
6、Cisco發布3個分發多種惡意軟件的活動的分析報告
8月30日,Cisco Talos發布報告稱觀察到2022年3月至6月期間的3個獨立但相關的攻擊活動。這些活動分發了多個惡意軟件,包括ModernLoader bot、信息竊取程序RedLine和挖礦惡意軟件。攻擊者使用PowerShell、.NET程序集以及HTA和VBS文件在目標中傳播,最終安裝其它惡意軟件,如SystemBC木馬和DCRAT。最終的payload似乎是ModernLoader,它可通過收集系統信息和安裝各種模塊來充當遠程訪問木馬。
https://blog.talosintelligence.com/2022/08/modernloader-delivers-multiple-stealers.html