BlackCat攻击中欧的能源公司Creos Luxembourg SA

发布时间 2022-08-02
1、BlackCat称已攻击中欧的能源公司Creos Luxembourg SA

      

据媒体8月1日报道,勒索团伙BlackCat声称对上周中欧国家天然气管道和电力网络运营商Creos Luxembourg SA的攻击负责。Creos是5个欧盟国家的能源供应商,其母公司Encevo于7月25日透露,他们在7月22日至23日遭到攻击。攻击导致Encevo和Creos的客户门户无法访问,但服务并未中断。BlackCat于上周六将Creos添加到其数据泄露网站,并威胁要公开180000个盗取的文件,总大小为150GB,涉及合同、协议、护照、账单和电子邮件等内容。


https://www.bleepingcomputer.com/news/security/blackcat-ransomware-claims-attack-on-european-gas-pipeline/


2、Group-IB发现由上万个域组成针对欧洲的虚假投资骗局

      

Group-IB在7月29日称其发现了一个由11000多个域组成的巨大网络,用于向欧洲的用户进行虚假投资诈骗活动。这些平台利用伪造的致富证据和名人代言,营造出合法的形象并引诱更多目标。该攻击活动以获得高回报投资的机会为诱饵,说服目标存入至少250欧元来注册服务。目前,超过5000个恶意域仍然处于活动状态,主要针对英国、比利时、德国、荷兰、葡萄牙、波兰、挪威、瑞典和捷克共和国。


https://blog.group-ib.com/investment-scams-europe


3、LockBit可利用Windows Defender来加载Cobalt Strike

      

Sentinel Labs在7月28日透露,LockBit利用Microsoft Defender的MpCmdRun.exe来解密并安装Cobalt Strike。MpCmdRun.exe是Windows Defender的命令行工具,执行时,它将加载名为mpclient.dll的合法DLL。攻击者开发了武器化的mpclient.dll,并将其放在优先加载恶意DLL文件的位置,执行的代码从c0000015.log文件解密并加载Cobalt Strike payload。目前,尚不清楚LockBit为何从使用VMware切换到使用Windows Defender命令行工具来加载Cobalt Strike。


https://www.sentinelone.com/blog/living-off-windows-defender-lockbit-ransomware-sideloads-cobalt-strike-through-microsoft-security-tool/


4、研究团队发现统称为DawDropper的多个恶意软件分发木马

      

Trend Micro在7月29日发布报告,称其发现了一起恶意活动,利用Google Play商店中的17个看似无害的Android dropper(统称为DawDropper)来分发银行木马。这些应用伪装成例如文档扫描工具、VPN服务、二维码扫描工具和通话记录工具等。DawDropper使用第三方云服务Firebase实时数据库来绕过检测并动态获得payload的下载地址,它还在GitHub上托管恶意payload。根据观察,DawDropper的变体可以分发4种类型的银行木马,包括Octo、Hydra、Ermac和TeaBot。


https://www.trendmicro.com/en_us/research/22/g/examining-new-dawdropper-banking-dropper-and-daas-on-the-dark-we.html


5、美国FCC提醒旨在窃取信息或金融诈骗的网络攻击增加

      

据8月1日报道,美国联邦通信委员会(FCC)提醒,越来越多的SMS钓鱼活动试图窃取目标的个人信息和金钱。此类攻击也称为smishing或robotsexts,攻击者利用各种方式诱使目标交出机密信息。FCC称近年来对垃圾短信的投诉数量稳步上升,从2019年的约5700起、2020年的14000起、2021年的15300起到2022年6月30日的8500起。此外,据一些独立报告估计,每月有数十亿条robotext,如RoboKiller估计用户在6月份收到了超过120亿条robotext。


https://securityaffairs.co/wordpress/133865/cyber-crime/fcc-warns-smishing-attacks.html


6、Kaspersky发布2022年第二季度APT攻击态势的分析报告 

      

7月28日,Kaspersky发布了关于2022年第二季度APT攻击态势的分析报告。报告指出,地缘政治仍然是APT发展的驱动力之一,而经济利益是APT攻击背后的持续动机之一。2021年发现了两个UEFI植入程序,本季度发现了另一个恶意UEFI组件CosmicStrand。报告还介绍了这一季度的APT攻击活动,包括俄罗斯UNC1151针对欧洲政府机构分发木马Sunseed;Storm Cloud团伙利用Gimmick攻击macOS用户;TransparentTribe对印度政府工作人员进行新一轮的间谍攻击等。


https://securelist.com/apt-trends-report-q2-2022/106995/