微软披露利用Remcos RAT针对美国税务行业的攻击活动
发布时间 2023-04-181、微软披露利用Remcos RAT针对美国税务行业的攻击活动
4月13日,微软披露了近期针对美国会计和报税公司的钓鱼攻击活动。钓鱼邮件中的链接可绕过检测,最终指向文件托管网站下载ZIP文档。ZIP文档包含许多伪装成各种税表PDF的文件,但实际上是Windows快捷方式。快捷方式执行PowerShell,从远程主机下载VBS文件。这些VBS文件将下载并执行GuLoader,进而安装Remcos RAT。Remcos通常用于获得公司的初始访问权限,攻击者可利用此权限进一步传播,窃取数据并安装其它恶意软件。
https://www.microsoft.com/en-us/security/blog/2023/04/13/threat-actors-strive-to-cause-tax-day-headaches/
2、新加坡加密货币交易平台Bitrue被黑损失2300万美元
媒体4月15日称,新加坡的加密货币交易平台Bitrue一个数字钱包被黑,损失约2300万美元。声明表示,攻击者窃取了多种数字货币,包括以太坊(ETH)、Polygon(MATIC)、Shiba Inu(SHIB)、Quant(QNT)、GALA和Holo(HOT)。Bitrue称,受影响的是可以通过互联网访问的热钱包,只包含Bitrue总资金的不到5%,其余钱包仍然安全。该平台已暂停所有提款,同时进行安全检查,计划于4月18日重新开放。
https://therecord.media/bitrue-23million-stolen-cryptocurrency
3、波兰情报机构透露APT29是攻击北约和欧盟的幕后黑手
波兰军事反情报局及计算机应急响应小组在4月13日称,APT29与针对北约和欧盟的攻击有关。该情报机构指出,近期活动的许多要素,包括基础设施、使用的技术和工具,都与过去的APT29活动重叠。攻击针对外交人员,使用冒充欧洲国家大使馆的鱼叉式钓鱼邮件,并附上恶意网站的链接或附件,旨在通过ISO、IMG和ZIP文件分发恶意软件。攻击者使用了多种工具,包括SNOWYAMBER、HALFRIG和QUARTERRIG等。目前,该活动仍在进行中。
https://securityaffairs.com/144763/apt/apt29-behind-nato-eu-attacks.html
4、AhnLab发现勒索软件Trigona攻击MS-SQL服务器的活动
AhnLab 4月17日称其近期发现了勒索软件Trigona攻击管理不善的MS-SQL服务器的活动。据推测,攻击者在安装Trigona之前首先安装了恶意软件CLR Shell。CLR Shell有一个利用提权漏洞的例程,可能是由于Trigona需要高权限。MS-SQL进程sqlservr.exe以svcservice.exe的名义安装Trigona。svcservice.exe是一个dropper,它在同一路径上创建并执行实际的Trigona勒索软件,即svchost.exe。
https://asec.ahnlab.com/en/51343/
5、IBM发布关于与FIN7相关的恶意软件Domino的分析报告
4月14日,IBM详述了前Conti成员和FIN7开发人员联手推出新的恶意软件Domino。Domino由两个组件组成,分别为Domino Backdoor和Domino Loader。通常,Dave Loader会分发Domino Backdoor。该后门可枚举系统信息,然后下载Domino Loader。Loader会安装名为Nemesis Project的嵌入式.NET信息窃取程序。Domino的代码与Lizar有大量重叠,Lizar是与FIN7相关的工具包,因此IBM将其归因于FIN7。该活动使用Dave Loader加载恶意软件,因此可将其与Trickbot/Conti及其前成员联系起来。
https://securityintelligence.com/posts/ex-conti-fin7-actors-collaborate-new-domino-backdoor/
6、Trellix发布新RaaS提供商RTM Locker的分析报告
4月13日,Trellix发布了关于勒索软件即服务(RaaS)提供商Read The Manual(RTM)Locker的分析报告。该团伙的策略只专注于一件事,即低调行事。他们的目标不是成为新闻头条,而是在不为人知的情况下赚钱。该组织还绕过、医院、COVID-19疫苗相关组织、关键基础设施和执法部门等,以尽可能减少关注。该团伙的业务设置,要求附属机构保持活跃,否则他们的帐户将被删除。这显示了该组织的成熟度,这一点在其它组织(如Conti)中也被观察到。
https://www.trellix.com/en-us/about/newsroom/stories/research/read-the-manual-locker-a-private-raas-provider.html
京公网安备11010802024551号