首頁 > 安全研究 > 安全通報 > 安全簡訊

新的RisePro通過PrivateLoader PPI服務進行分發

發布時間 2022-12-28
1、新的RisePro通過PrivateLoader PPI服務進行分發

      

據12月24日報道,研究團隊發現了一種新型竊取信息的惡意軟件RisePro。它于2022年12月13日首次被檢測到,正在通過PrivateLoader按安裝付費(PPI)惡意軟件下載服務進行分發。RisePro由C++開發,似乎具有與Vidar類似的功能,旨在幫助攻擊者從被感染的設備中竊取目標的信用卡、密碼和加密錢包。Flashpoint報告稱,攻擊者已經在俄羅斯暗網市場上出售數以千計的RisePro日志(從被感染設備中竊取的數據包)。 


https://www.bleepingcomputer.com/news/security/new-info-stealer-malware-infects-software-pirates-via-fake-cracks-sites/


2、RansomHouse聲稱對瓦努阿圖政府遭到的勒索攻擊負責

      

據媒體12月26日報道,RansomHouse聲稱對瓦努阿圖政府遭到的勒索攻擊負責。瓦努阿圖曾在11月初宣布他們遭到了勒索攻擊,在將近一個月后仍未完全恢復。12月24日,RansomHouse團伙將瓦努阿圖政府列入了他們的網站,稱已于10月6日加密他們的系統,并竊取了3.2 TB的文件。發布的樣本中文件看起來確實與政府的文件一致,其中不包括個人或敏感的文件。目前尚不清楚贖金金額是多少,或是否進行過談判。


https://www.databreaches.net/vanuatu-ransomware-attack-claimed-by-ransomhouse/


3、CrowdStrike披露GuLoader繞過安全檢測的多個方法

      

CrowdStrike在12月19日披露了GuLoader繞過安全檢測的多個方法。GuLoader(又名CloudEyE),是一種Visual Basic Script(VBS)下載程序,于2019年首次在野外被發現。它使用多態shellcode加載程序來繞過傳統安全解決方案,研究人員為惡意軟件使用的每個API映射所有嵌入式DJB2哈希值來分析其活動。新的shellcode反分析技術通過掃描整個進程內存來查找與虛擬機(VM)相關的字符串,新的冗余代碼注入機制意味著通過使用內聯匯編繞過安全解決方案的用戶模式hook來確保代碼的執行。


https://www.crowdstrike.com/blog/guloader-dissection-reveals-new-anti-analysis-techniques-and-code-injection-redundancy/


4、TrendMicro發現利用谷歌PPC廣告分發IcedID的活動

      

12月23日,Trend Micro透露其發現僵尸網絡IcedID的分發方式發生了重大變化。自2022年12月以來,研究人員觀察到利用谷歌每次點擊付費(PPC)廣告分發IcedID的活動。IcedID運營團伙劫持了Adobe、Fortinet和Discord等品牌和應用所使用的關鍵詞來顯示惡意廣告。當用戶搜索關鍵字時,指向惡意網站的廣告顯示在自然搜索結果上方。在此活動中,加載程序是通過MSI文件分發的,這對于IcedID來說是不常見的。此外,攻擊者利用了合法的Keitaro流量導向系統(TDS)來過濾來自研究人員和沙盒的流量。


https://www.trendmicro.com/en_us/research/22/l/icedid-botnet-distributors-abuse-google-ppc-to-distribute-malware.html   


5、芝加哥的能源公司Sargent & Lundy遭到勒索攻擊

      

媒體12月27日稱,美國CNN透露黑客在近期的勒索攻擊中竊取了多家電力公司的數據。此次勒索攻擊針對的是總部位于芝加哥的Sargent & Lundy工程公司,該公司設計了900多個發電站和數千英里的電力系統,并持有這些項目的敏感數據。據其網站稱,該公司還處理核安全問題。據悉,該事件已得到控制和補救,似乎并未對其它電力行業的公司造成影響,也沒有數據被發布到暗網上。


https://www.databreaches.net/hackers-stole-data-from-multiple-electric-utilities-in-recent-ransomware-attack/


6、Kaspersky發布針對阿爾巴尼亞的兩輪攻擊的分析報告

      

Kaspersky在12月22日發布了針對阿爾巴尼亞組織的兩輪攻擊活動的分析報告。該報告主要比較了這兩輪攻擊活動所使用的勒索軟件和擦除惡意軟件之間的區別。對于勒索軟件,兩輪攻擊活動的樣本具有相同的簽名證書參數,與科威特電信公司有關。攻擊者對第二輪使用的擦除惡意軟件進行了多次修改,可能是為了繞過檢測,主要變化是使用Nvidia證書對惡意軟件簽名、在惡意軟件中嵌入EldoS RawDisk驅動程序,以及在驅動程序安裝后立即啟動刪除例程。


https://securelist.com/ransomware-and-wiper-signed-with-stolen-certificates/108350/

上一篇 下一篇