Emansrepo信息窃取程序:FortiGuard追踪其复杂攻击链
发布时间 2024-09-059月3日,FortiGuard实验室的网络安全专家正紧密追踪一种名为“Emansrepo”的基于Python的信息窃取程序,该程序自2023年11月曝光以来,通过伪装采购订单和发票的网络钓鱼邮件传播,构建出三条复杂多变的攻击路径。这些路径分别采用AutoIt编译的可执行文件、HTA文件及BatchShield混淆的批处理文件作为载体,每种手段均旨在绕过安全检测,最终执行恶意Python脚本以窃取敏感信息。Emansrepo从最初的登录凭据、信用卡信息收集,已发展到能窃取PDF文档、浏览器扩展、加密货币钱包及游戏平台数据等更广泛范围。此外,实验室还注意到与Emansrepo活动相似的Remcos恶意软件传播,暗示背后可能有同一威胁组织。鉴于攻击者技术的不断升级与多样化,各组织需保持高度警惕,采取积极主动的网络安全防御策略,以有效应对日益复杂的网络威胁环境。
https://securityonline.info/emansrepo-stealer-a-multi-faceted-threat-evolving-in-complexity/
2. 新勒索软件变种Underground与RomCom组织关联
9月3日,FortiGuard Labs揭露了一种新型勒索软件变种Underground,它与臭名昭著的俄罗斯黑客组织RomCom(别名Storm-0978)紧密相关。这款恶意软件自2023年7月起肆虐,重点攻击建筑、制药、银行及制造业等多个关键行业,通过加密受害者Windows系统上的文件来勒索赎金。RomCom组织不仅利用Microsoft Office和Windows HTML的已知漏洞(如CVE-2023-36884)入侵,还可能采取钓鱼邮件和购买初始访问权限等常规手段。Underground入侵后,会迅速禁用安全机制,清除影子副本和日志记录,悄无声息地加密文件,并留下一张名为“!!readme!!!.txt”的勒索信,要求支付解密费用,其独特之处在于不改变文件扩展名,增加了识别难度。更令人担忧的是,该组织运营一个数据泄露网站,公开拒绝支付赎金的受害者信息,进一步施压。目前,Underground的攻击范围已扩展至全球,数据泄露网站已列出16个国家的受害者名单,涵盖美、法、德、西、韩、台、新及加等地。此外,该组织还利用Telegram和Mega云存储服务扩大其影响力,传播窃取的数据。
https://securityonline.info/romcom-groups-underground-ransomware-exploits-microsoft-zero-day-flaw/
3. 超2.2万软件包面临Revival Hijack的风险
9月4日,一种名为“Revival Hijack”的新型供应链攻击技术正威胁着Python软件包索引(PyPI)的安全,该技术已被发现并被用于尝试渗透下游组织。JFrog安全公司指出,该技术能劫持超过2.2万个现有PyPI软件包,已导致数十万次恶意下载,影响范围广泛。攻击者利用PyPI的政策漏洞,在软件包被原所有者删除后重新注册并上传恶意版本,利用用户可能存在的拼写错误或信任惯性,诱导下载。与传统域名抢注不同,Revival Hijack专注于已删除的软件包,每月约有309个软件包因此变得脆弱。这些软件包因缺乏维护、更名或功能整合而被移除,却为攻击者提供了可乘之机。JFrog数据显示,攻击者能悄无声息地替换软件包,甚至通过“pip install -upgrade”命令将合法软件包替换为恶意版本,而开发者毫无察觉。尤为严重的是,一个名为Jinnis的威胁行为者已实际利用该技术。企业和开发者需加强警惕,检查DevOps管道,确保不安装已删除的软件包,并采取必要措施保护自身免受此类劫持技术的侵害。
https://www.trendmicro.com/en_us/research/24/i/earth-lusca-ktlvdoor.html
4. 蒙大拿州计划生育协会遭RansomHub勒索软件攻击
9月4日,蒙大拿州计划生育协会近期遭遇了网络攻击,勒索软件组织RansomHub声称已侵入其系统并窃取93GB数据,威胁若不支付赎金将公开数据。该非营利组织迅速响应,将部分网络离线并征召联邦执法和信息安全专家协助调查与重建IT环境。美国计划生育办公室首席执行官玛莎·富勒确认了这一“网络安全事件”,并感谢团队的不懈努力以恢复系统和调查事件。尽管富勒未透露具体数据泄露情况,但确认已向联邦执法部门报告并寻求支持。值得注意的是,此次攻击发生前,FBI等已发布关于RansomHub活跃性的安全警报,指出其自2月以来已导致至少210名受害者,涵盖多个关键基础设施领域。此次针对提供生殖保健服务的非营利组织的攻击,被视为尤为恶劣的行为。
https://www.theregister.com/2024/09/04/planned_parenthood_cybersecurity_incident/
5. 黑客组织联合对法发动DDoS攻击,要求释放Telegram创始人
9月4日,Telegram 首席执行官帕维尔·杜罗夫被捕后,一系列黑客组织迅速集结,发起名为 #FreeDurov 或 #OpDurov 的全球网络行动,矛头直指法国,通过实施大规模的分布式拒绝服务(DDoS)攻击和黑客技术入侵,对超过50个法国政府机构、医疗机构、交通枢纽、教育机构及私营企业发起挑战。这些黑客组织,包括俄罗斯网络军重生(CARR)、RipperSec、EvilWeb、CyberDragon 等,多数具有亲俄或亲伊斯兰倾向,他们利用自身技术资源和 Telegram 平台广泛动员,要求法国释放杜罗夫。CARR 作为此次行动的领头羊,凭借其与俄罗斯军事情报部门的联系及庞大的社群基础,针对多个法国重要机构发动攻击。RipperSec 等组织也不甘落后,采用专业工具如 MegaMedusa 对法国司法和警方系统实施猛烈打击。黑客们不仅通过 DDoS 攻击瘫痪目标网站,还声称入侵并窃取了部分敏感数据,在 Telegram 上炫耀战果。尽管动机各异,从支持杜罗夫个人到维护 Telegram 的运营安全,但共同的诉求是促使法国当局重新考虑其行动。
https://hackread.com/ddos-attacks-france-telegrams-pavel-durov-arrest/
6. MacroPack工具遭滥用,多国发现恶意文档
9月4日,MacroPack是一款原为红队演练设计的工具,近期被不法分子滥用,用于传播Havoc、Brute Ratel和PhatomCore等恶意负载,影响范围波及多个国家和地区。该工具由法国开发者Emeric Nasi开发,具备反恶意软件绕过、代码混淆等高级功能,使得构建隐蔽的恶意文档成为可能。Cisco Talos的研究揭示,这些恶意文档通过VirusTotal平台提交的样本显示出高度多样性,包括不同诱饵、复杂程度和感染手段,表明MacroPack已成为黑客攻击的新宠。被捕获的恶意样本中,均留有MacroPack创建的特征,如马尔可夫链命名的函数和变量、删除注释及空格以减少静态分析检测等。受害者一旦打开这些伪装成加密表格、军事通知或就业确认书的Office文档,便会触发VBA代码,加载恶意DLL并连接到攻击者的C2服务器。不同地区的攻击案例各具特色:美国案例中,恶意文档伪装成加密更新表格,利用mshta.exe下载未知载荷;俄罗斯案例中,Excel工作簿企图下载PhantomCore后门;巴基斯坦案例中,则以军事相关主题伪装,利用HTTPS DNS和亚马逊CloudFront通信,甚至嵌入Adobe Experience Cloud跟踪代码。
https://www.bleepingcomputer.com/news/security/red-team-tool-macropack-abused-in-attacks-to-deploy-brute-ratel/
京公网安备11010802024551号