APT40利用ScanBox侦察框架攻击澳大利亚的政府机构
发布时间 2022-09-01
Proofpoint在8月30日披露了APT40近期的攻击活动。攻击主要针对澳大利亚地方和联邦政府机构及媒体机构,和为南海风力涡轮机提供维护服务的全球重工业制造商。2022年4月至6月期间,攻击者冒充澳大利亚晨报的员工,通过钓鱼活动分发ScanBox漏洞利用框架。根据最新证据,Proofpoint得出结论,2022年的活动是APT40自2021年3月以来进行的同一情报收集任务的第三阶段,当时攻击者冒充新闻媒体,通过RTF模板注入加载Meterpreter。
https://www.proofpoint.com/us/blog/threat-insight/chasing-currents-espionage-south-china-sea
2、意大利石油公司Eni称其内部网络遭到未经授权的访问
据8月31日报道,意大利石油公司Eni称其内部保护系统检测到针对公司网络的未经授权的访问。目前没有攻击的技术细节,无法确定攻击者身份、如何入侵的以及他们的动机。知情人士称,Eni好像遭到了勒索攻击。意大利能源部门近期似乎遭到了攻击,上周末,经营意大利电力市场的政府机构Gestore dei Servizi Energetici SpA遭到攻击。GSE的基础设施受到影响,网站仍处于中断状态。
https://securityaffairs.co/wordpress/135116/hacking/eni-suffered-cyberattack.html
3、Securonix披露新恶意软件活动GO#WEBBFUSCATOR的细节
据8月30日报道,Securonix发现一起基于Golang的持续攻击活动GO#WEBBFUSCATOR。感染始于一封带有恶意文档Geos-Rates.docx的钓鱼邮件,它会下载模板文件。该文件包含一个经过混淆的VBS宏,启用宏后,代码会从远程资源下载JPG图像,然后使用certutil.exe将其解码为可执行文件msdllupdate.exe并启动它。在图像查看器中,.JPG文件则显示了由NASA于2022年7月发布的星系团SMACS 0723。二进制msdllupdate.exe采用了多种混淆技术来绕过AV使分析变得困难。
https://www.securonix.com/blog/golang-attack-campaign-gowebbfuscator-leverages-office-macros-and-james-webb-images-to-infect-systems/
4、McAfee发现5个恶意Chrome扩展已被安装超过140万次
McAfee在8月29日报道,研究人员发现了5个可以窃取用户浏览活动的Google Chrome扩展程序,总下载量已超过140万次。这些恶意扩展的目的是监控用户访问电商网站,并修改访问者的cookie,使其看起来是通过推荐链接来的,这样,扩展程序的开发人员可以在这些购买活动中获得联营费。恶意扩展分别为Netflix Party、Netflix Party 2、Full Page Screenshot Capture、FlipShope和AutoBuy Flash Sales,虽然它们不会直接影响用户,但会带来严重的隐私风险。
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/malicious-cookie-stuffing-chrome-extensions-with-1-4-million-users/
5、乌克兰国家警察关闭某黑客团伙使用的呼叫中心网络
媒体8月30日称,乌克兰国家警察(NPU)关闭了一个黑客团伙使用的呼叫中心网络。据称,该团伙还涉嫌诈骗对加密货币、证券、黄金和石油投资感兴趣的乌克兰和欧盟国家的公民。在诈骗活动中,攻击者使用了软件和高科技设备,冒充国有银行机构的员工,敲诈目标的银行卡机密数据。然后,在诱骗目标将资金转移到攻击者的账户后中断所有通信。执法人员搜查了与此次活动相关的多个呼叫中心并没收了计算机、手机和数据记录,相关嫌疑人将面临最高12年的监禁。
https://www.bleepingcomputer.com/news/security/ukraine-takes-down-cybercrime-group-hitting-crypto-fraud-victims/
6、Cisco发布3个分发多种恶意软件的活动的分析报告
8月30日,Cisco Talos发布报告称观察到2022年3月至6月期间的3个独立但相关的攻击活动。这些活动分发了多个恶意软件,包括ModernLoader bot、信息窃取程序RedLine和挖矿恶意软件。攻击者使用PowerShell、.NET程序集以及HTA和VBS文件在目标中传播,最终安装其它恶意软件,如SystemBC木马和DCRAT。最终的payload似乎是ModernLoader,它可通过收集系统信息和安装各种模块来充当远程访问木马。
https://blog.talosintelligence.com/2022/08/modernloader-delivers-multiple-stealers.html
京公网安备11010802024551号