首頁 > 安全研究 > 安全通報 > 安全簡訊

Emansrepo信息竊取程序:FortiGuard追蹤其復雜攻擊鏈

發布時間 2024-09-05
1. Emansrepo信息竊取程序:FortiGuard追蹤其復雜攻擊鏈


9月3日,FortiGuard實驗室的網絡安全專家正緊密追蹤一種名為“Emansrepo”的基于Python的信息竊取程序,該程序自2023年11月曝光以來,通過偽裝采購訂單和發票的網絡釣魚郵件傳播,構建出三條復雜多變的攻擊路徑。這些路徑分別采用AutoIt編譯的可執行文件、HTA文件及BatchShield混淆的批處理文件作為載體,每種手段均旨在繞過安全檢測,最終執行惡意Python腳本以竊取敏感信息。Emansrepo從最初的登錄憑據、信用卡信息收集,已發展到能竊取PDF文檔、瀏覽器擴展、加密貨幣錢包及游戲平臺數據等更廣泛范圍。此外,實驗室還注意到與Emansrepo活動相似的Remcos惡意軟件傳播,暗示背后可能有同一威脅組織。鑒于攻擊者技術的不斷升級與多樣化,各組織需保持高度警惕,采取積極主動的網絡安全防御策略,以有效應對日益復雜的網絡威脅環境。


https://securityonline.info/emansrepo-stealer-a-multi-faceted-threat-evolving-in-complexity/


2. 新勒索軟件變種Underground與RomCom組織關聯


9月3日,FortiGuard Labs揭露了一種新型勒索軟件變種Underground,它與臭名昭著的俄羅斯黑客組織RomCom(別名Storm-0978)緊密相關。這款惡意軟件自2023年7月起肆虐,重點攻擊建筑、制藥、銀行及制造業等多個關鍵行業,通過加密受害者Windows系統上的文件來勒索贖金。RomCom組織不僅利用Microsoft Office和Windows HTML的已知漏洞(如CVE-2023-36884)入侵,還可能采取釣魚郵件和購買初始訪問權限等常規手段。Underground入侵后,會迅速禁用安全機制,清除影子副本和日志記錄,悄無聲息地加密文件,并留下一張名為“!!readme!!!.txt”的勒索信,要求支付解密費用,其獨特之處在于不改變文件擴展名,增加了識別難度。更令人擔憂的是,該組織運營一個數據泄露網站,公開拒絕支付贖金的受害者信息,進一步施壓。目前,Underground的攻擊范圍已擴展至全球,數據泄露網站已列出16個國家的受害者名單,涵蓋美、法、德、西、韓、臺、新及加等地。此外,該組織還利用Telegram和Mega云存儲服務擴大其影響力,傳播竊取的數據。


https://securityonline.info/romcom-groups-underground-ransomware-exploits-microsoft-zero-day-flaw/


3. 超2.2萬軟件包面臨Revival Hijack的風險


9月4日,一種名為“Revival Hijack”的新型供應鏈攻擊技術正威脅著Python軟件包索引(PyPI)的安全,該技術已被發現并被用于嘗試滲透下游組織。JFrog安全公司指出,該技術能劫持超過2.2萬個現有PyPI軟件包,已導致數十萬次惡意下載,影響范圍廣泛。攻擊者利用PyPI的政策漏洞,在軟件包被原所有者刪除后重新注冊并上傳惡意版本,利用用戶可能存在的拼寫錯誤或信任慣性,誘導下載。與傳統域名搶注不同,Revival Hijack專注于已刪除的軟件包,每月約有309個軟件包因此變得脆弱。這些軟件包因缺乏維護、更名或功能整合而被移除,卻為攻擊者提供了可乘之機。JFrog數據顯示,攻擊者能悄無聲息地替換軟件包,甚至通過“pip install -upgrade”命令將合法軟件包替換為惡意版本,而開發者毫無察覺。尤為嚴重的是,一個名為Jinnis的威脅行為者已實際利用該技術。企業和開發者需加強警惕,檢查DevOps管道,確保不安裝已刪除的軟件包,并采取必要措施保護自身免受此類劫持技術的侵害。


https://www.trendmicro.com/en_us/research/24/i/earth-lusca-ktlvdoor.html


4. 蒙大拿州計劃生育協會遭RansomHub勒索軟件攻擊


9月4日,蒙大拿州計劃生育協會近期遭遇了網絡攻擊,勒索軟件組織RansomHub聲稱已侵入其系統并竊取93GB數據,威脅若不支付贖金將公開數據。該非營利組織迅速響應,將部分網絡離線并征召聯邦執法和信息安全專家協助調查與重建IT環境。美國計劃生育辦公室首席執行官瑪莎·富勒確認了這一“網絡安全事件”,并感謝團隊的不懈努力以恢復系統和調查事件。盡管富勒未透露具體數據泄露情況,但確認已向聯邦執法部門報告并尋求支持。值得注意的是,此次攻擊發生前,FBI等已發布關于RansomHub活躍性的安全警報,指出其自2月以來已導致至少210名受害者,涵蓋多個關鍵基礎設施領域。此次針對提供生殖保健服務的非營利組織的攻擊,被視為尤為惡劣的行為。


https://www.theregister.com/2024/09/04/planned_parenthood_cybersecurity_incident/


5. 黑客組織聯合對法發動DDoS攻擊,要求釋放Telegram創始人


9月4日,Telegram 首席執行官帕維爾·杜羅夫被捕后,一系列黑客組織迅速集結,發起名為 #FreeDurov 或 #OpDurov 的全球網絡行動,矛頭直指法國,通過實施大規模的分布式拒絕服務(DDoS)攻擊和黑客技術入侵,對超過50個法國政府機構、醫療機構、交通樞紐、教育機構及私營企業發起挑戰。這些黑客組織,包括俄羅斯網絡軍重生(CARR)、RipperSec、EvilWeb、CyberDragon 等,多數具有親俄或親伊斯蘭傾向,他們利用自身技術資源和 Telegram 平臺廣泛動員,要求法國釋放杜羅夫。CARR 作為此次行動的領頭羊,憑借其與俄羅斯軍事情報部門的聯系及龐大的社群基礎,針對多個法國重要機構發動攻擊。RipperSec 等組織也不甘落后,采用專業工具如 MegaMedusa 對法國司法和警方系統實施猛烈打擊。黑客們不僅通過 DDoS 攻擊癱瘓目標網站,還聲稱入侵并竊取了部分敏感數據,在 Telegram 上炫耀戰果。盡管動機各異,從支持杜羅夫個人到維護 Telegram 的運營安全,但共同的訴求是促使法國當局重新考慮其行動。


https://hackread.com/ddos-attacks-france-telegrams-pavel-durov-arrest/


6. MacroPack工具遭濫用,多國發現惡意文檔


9月4日,MacroPack是一款原為紅隊演練設計的工具,近期被不法分子濫用,用于傳播Havoc、Brute Ratel和PhatomCore等惡意負載,影響范圍波及多個國家和地區。該工具由法國開發者Emeric Nasi開發,具備反惡意軟件繞過、代碼混淆等高級功能,使得構建隱蔽的惡意文檔成為可能。Cisco Talos的研究揭示,這些惡意文檔通過VirusTotal平臺提交的樣本顯示出高度多樣性,包括不同誘餌、復雜程度和感染手段,表明MacroPack已成為黑客攻擊的新寵。被捕獲的惡意樣本中,均留有MacroPack創建的特征,如馬爾可夫鏈命名的函數和變量、刪除注釋及空格以減少靜態分析檢測等。受害者一旦打開這些偽裝成加密表格、軍事通知或就業確認書的Office文檔,便會觸發VBA代碼,加載惡意DLL并連接到攻擊者的C2服務器。不同地區的攻擊案例各具特色:美國案例中,惡意文檔偽裝成加密更新表格,利用mshta.exe下載未知載荷;俄羅斯案例中,Excel工作簿企圖下載PhantomCore后門;巴基斯坦案例中,則以軍事相關主題偽裝,利用HTTPS DNS和亞馬遜CloudFront通信,甚至嵌入Adobe Experience Cloud跟蹤代碼。


https://www.bleepingcomputer.com/news/security/red-team-tool-macropack-abused-in-attacks-to-deploy-brute-ratel/

上一篇 下一篇