首頁 > 安全研究 > 安全通報 > 安全簡訊

Fog勒索軟件利用DOGE主題勒索信攻擊受害者

發布時間 2025-04-22

1. Fog勒索軟件利用DOGE主題勒索信攻擊受害者


4月22日,Fog勒索軟件運營商近期使用DOGE主題勒索信嘲諷受害者,提供免費解密密鑰以換取惡意軟件傳播。與早期依靠被盜VPN憑證不同,最新攻擊始于包含“Pay Adjustment.zip”的網絡釣魚郵件,內含惡意LNK文件,點擊后觸發一系列操作將勒索軟件植入系統。趨勢科技研究人員稱,自今年1月以來,該軟件已感染100名受害者,2月份最多,為53人;自2024年6月以來,在客戶中檢測到173起相關勒索活動。多數受害者來自科技、制造、教育和交通運輸行業。新攻擊中,惡意LNK文件下載PowerShell腳本,檢索勒索軟件下載程序及多個其他腳本和可執行文件。這些腳本包括收集系統信息、橫向移動工具及打開二維碼的腳本,受害者可用該二維碼支付贖金。初始PowerShell腳本還打開政治主題YouTube視頻并包含書面政治評論。初始贖金通知提及DOGE,甚至DOGE工作人員,要求受害者列出五項任務,否則支付一萬億美元贖金。威脅者表示,若受害者將惡意軟件發送給他人,即可免費解密系統。Fog勒索軟件是相對較新的勒索軟件家族,企業必須將其添加到監控列表中。


https://www.darkreading.com/cyberattacks-data-breaches/fog-hackers-doge-ransom-notes


2. RustoBot僵尸網絡利用路由器漏洞發動攻擊


4月22日,FortiGuard Labs近期發現RustoBot,這一用Rust編寫的復雜僵尸網絡正利用TOTOLINK和DrayTek路由器漏洞,在日本、臺灣、越南和墨西哥的技術基礎設施中肆虐。2025年初,攻擊嘗試急劇增加,目標直指TOTOLINK cstecgi.cgi腳本中的長期漏洞,這些漏洞涉及配置更改和身份驗證,存在多個命令注入點,包括CVE-2022-26210、CVE-2022-26187以及影響DrayTek路由器的CVE-2024-12987。這些弱點使攻擊者獲得遠程代碼執行能力,為RustoBot感染鋪平道路。一旦獲得初始訪問權限,RustoBot便通過四個下載腳本之一進行部署,支持多種架構,確保與易受攻擊的路由器廣泛兼容。其獨特之處在于使用Rust語言,二進制結構通過XOR加密和GOT操作進行混淆,實現隱身性,并使逆向工程復雜化。解密后的配置揭示,RustoBot執行兩項核心惡意操作:解析多個C2域名,并根據命令發起DDoS攻擊。RustoBot活動已影響多款TOTOLINK和DrayTek路由器型號,受害者主要位于科技領域,表明攻擊可能具有針對性。


https://securityonline.info/rustobot-botnet-exploits-router-flaws-in-sophisticated-attacks/


3. WordPress廣告欺詐插件每天產生14億個廣告請求


4月21日,近日,一個名為“Scallywag”的大規模廣告欺詐組織浮出水面,該組織通過定制WordPress插件,將盜版和URL縮短網站貨幣化,每日產生數十億個欺詐請求。Scallywag由機器人和欺詐檢測公司HUMAN發現,其背后是一個由407個域名組成的龐大網絡,每日欺詐廣告請求峰值高達14億條。盡管HUMAN采取措施使Scallywag流量減少95%,但該組織通過輪換域名和調整貨幣化模式展現出強大韌性。Scallywag基于四個WordPress插件構建,包括Soralink、Yu Idea、WPSafeLink和Droplink,為網絡犯罪分子提供從高風險、低質量網站賺錢的途徑。這些插件降低了潛在威脅行為者的進入門檻,甚至有人在YouTube上發布操作教程。用戶訪問盜版目錄網站時,點擊嵌入的URL縮短鏈接,會被重定向至中間廣告密集頁面,為Scallywag運營商產生欺詐性印象,最終進入承諾內容的頁面。這些中間網站運行Scallywag插件,負責處理重定向邏輯、廣告加載等,以在廣告平臺檢查中偽裝成正常博客。HUMAN通過分析流量模式檢測Scallywag活動,并與廣告提供商合作停止對廣告請求的競標,切斷其收入來源。


https://www.bleepingcomputer.com/news/security/scallywag-ad-fraud-operation-generated-14-billion-ad-requests-per-day/


4. 新型惡意軟件ResolverRAT威脅醫療與制藥行業


4月21日,Morphisec威脅實驗室發現了一種新型復雜惡意軟件ResolverRAT,該惡意軟件正積極針對醫療保健和制藥行業展開攻擊,最近一波攻擊集中在2025年3月10日左右。ResolverRAT憑借其先進的技術手段,如內存執行、動態資源處理及多層規避技術,使得傳統檢測方法難以奏效。該惡意軟件通過精心設計的釣魚郵件傳播,利用緊迫感或恐懼感誘導收件人點擊惡意鏈接,進而觸發感染過程。攻擊高度本地化,郵件采用目標國家母語撰寫,主題涉及法律調查或版權侵權,旨在通過個性化定位提高感染成功率。感染始于DLL側載技術,將惡意DLL文件與合法程序(如 hpreader.exe)一同放置,當程序執行時,惡意DLL被悄悄加載,從而啟動惡意軟件。ResolverRAT 采用多層規避技術,包括代碼混淆和自定義協議來混淆網絡流量,直接在內存中執行惡意代碼,并在運行時動態識別和使用系統函數。為確保持久性,ResolverRAT 在 Windows 注冊表中創建多個條目,并在多個位置安裝自身副本。此外,它還使用獨特的證書驗證方法和“.NET 資源解析器劫持”技術來隱身,并嘗試對分析環境進行指紋識別,以在檢測到被檢查時改變行為。


https://hackread.com/native-language-phishing-resolverrat-healthcare/


5. 詐騙分子冒充FBI IC3員工竊取您的財務信息


4月19日,近日,FBI發布詐騙警報,揭示詐騙分子正冒充FBI互聯網犯罪投訴中心(IC3)人員,以追回損失資金為誘餌,竊取受害者財務信息。自2023年12月至2025年2月,FBI已收到100多起相關報告。詐騙者常瞄準網絡金融詐騙受害者的社交網絡或在線論壇,有時冒充真實身份或使用虛假憑證。所有騙局均涉及以某種形式幫助受害者追回損失,盡管最初聯系方式各異,包括電子郵件、電話、社交媒體或論壇。在某些案例中,詐騙者甚至聲稱丟失資金就在他們手中。他們通過創建虛假個人資料,加入在線金融詐騙團伙,并建議受害者聯系假冒的IC3“首席執行官”獲取幫助。一旦受害者上鉤,詐騙者便聲稱已恢復資金,并借此獲取其財務信息。FBI表示,這些計劃不僅欺騙和詐騙目標,還使他們再次成為受害者。為防范此類詐騙,FBI提醒公眾,IC3絕不會通過電話、電子郵件、社交媒體等直接與個人溝通,也不會要求付款來追回損失資金,更不會將受害者轉介給要求付款的公司。公眾應提高警惕,切勿與僅在網上或電話中認識的人分享敏感信息或發送錢財。如需舉報網絡欺詐,可訪問FBI互聯網犯罪投訴中心官網。


https://cybernews.com/security/fbi-alert-ic3-impersonation-scam-recover-lost-funds-steal-financial-info/


6. 黑客利用Google系統弱點實施DKIM重放網絡釣魚攻擊


4月20日,近日,黑客利用Google系統弱點,發起了一場巧妙的網絡釣魚攻擊。攻擊者通過發送一封看似來自“no-reply@google.com”的虛假電子郵件,成功繞過所有驗證,指向一個收集登錄信息的欺詐頁面。該郵件不僅通過了DKIM身份驗證,且內容幾乎與谷歌官方安全警報無異,極易欺騙技術水平較低的用戶。然而,ENS首席開發人員尼克·約翰遜敏銳地發現,虛假支持門戶托管在sites.google.com上,而非真正的accounts.google.com,從而識破了騙局。攻擊者巧妙地注冊了一個域名,并以“me@domain”創建Google帳戶,隨后創建了一個Google OAuth應用,將釣魚郵件命名為該應用。當攻擊者授予其OAuth應用訪問Google Workspace中電子郵件地址的權限時,Google自動發送了安全警報,該警報因使用有效的DKIM密鑰簽名而通過了所有檢查。攻擊者隨后將安全警報轉發給受害者,使其看起來像是來自谷歌的合法郵件。此外,攻擊者還利用了Google系統的弱點,即DKIM僅檢查郵件正文和郵件頭,而不檢查信封,使得偽造郵件能夠通過簽名驗證。目前,谷歌已認識到OAuth的弱點,并正在努力修復。


https://www.bleepingcomputer.com/news/security/phishers-abuse-google-oauth-to-spoof-google-in-dkim-replay-attack/

上一篇 下一篇