安全威胁情报周报（7.3~7.9）

Neo_Net黑客瞄准全球银行展开大规模电子网络犯罪攻击活动

Tag：银行，金融机构

事件概述：

自2021年6月至2023年4月，Neo_Net针对全球知名银行客户展开了一场电子犯罪活动，主要集中在西班牙和智利的银行，包括 Santander、BBVA 和 CaixaBank 、德意志银行、法国农业信贷银行和荷兰国际集团等主要银行。尽管使用相对简单的工具，但通过调整基础设施以针对特定目标，Neo_Net 在受害者银行账户成功窃取了超过35万欧元的资金，并泄露了数千名受害者的个人身份信息。该活动采用多阶段的攻击策略，从在西班牙和其他国家传播针对性的短信钓鱼消息开始，伪造发件人ID (SID) ，冒充知名金融机构，欺骗受害者。Neo_Net建立并租借了包括钓鱼面板和Android木马在内的广泛基础设施，将受害者的数据出售给第三方，并推出了Smishing-as-a-Service服务，覆盖全球各个国家。

技术手法：

该活动采用了复杂的多阶段攻击策略。首先，Neo_Net利用其专有服务Ankarex，在西班牙使用针对性的短信钓鱼消息。这些消息伪造了发件人ID（SID），冒充知名金融机构，试图欺骗受害者。消息中使用各种恐吓手法，声称受害者的账户已被未授权设备访问或由于安全问题临时限制卡片使用，并包含指向威胁行为者钓鱼页面的超链接。一旦受害者提交凭证，其信息将通过Telegram Bot API暗中发送到指定的Telegram聊天中，使威胁行为者能够无限制地访问窃取的数据，包括受害者的IP地址和用户代理。随后，Neo_Net采用各种技术手段来规避银行应用程序常用的多因素身份验证（MFA）机制，以展开攻击。

来源：
https://www.sentinelone.com/blog/neo_net-the-kingpin-of-spanish-ecrime/

智利军队遭到Rhysida勒索软件攻击

Tag：智利军队，Rhysida，勒索软件

事件概述：

Rhysida勒索软件家族已从一个犹豫不决的新手逐渐发展为一个完全成熟的勒索软件运营团伙。在5月底，他们对智利军队发起了攻击，并持续以拉美政府机构为目标。随后，他们泄露了被窃取的军队文件，并在接下来的几周里泄露了更多受害者的数据，包括教育、政府、制造业、技术和托管服务提供商等多个行业。Rhysida勒索软件作为一款以RaaS形式存在的私有市场产品，冒充“网络安全团队”的身份，威胁受害者公开发布其窃取的数据。Rhysida使用4096位RSA密钥和ChaCha20算法对文件进行加密，并通过将其扩展名更改为.rhysida来标识被加密的文件。尽管在技术上还有改进的空间，但Rhysida展示了一些独特的特征，例如生成PDF勒索信息和尝试更改壁纸的功能。

技术手法：

Rhysida是一款使用MINGW/GCC编译的64位可执行文件，它以明文字符串显示注册表修改命令。该软件采用4096位RSA密钥和ChaCha20算法进行加密，通过对文件进行枚举和加密处理，并添加.rhysida扩展名来实现文件加密。此外，Rhysida还使用文件排除列表来避免加密特定类型的文件。该软件生成PDF格式的勒索信息，并尝试更改壁纸以阻止受害者对其进行更改。然而，目前这一功能尚未正常运行。

来源：
https://www.sentinelone.com/blog/rhysida-ransomware-raas-crawls-out-of-crimeware-undergrowth-to-attack-chilean-army/

新型勒索软件RedEnergy瞄准能源公用事业、石油、天然气行业展开攻击

Tag：RedEnergy，能源

事件概述：

近日，Zscaler ThreatLabz的研究人员发现了一种名为RedEnergy的新型Stealer-as-a-Ransomware。RedEnergy采用.NET文件编写，具备高级功能以规避检测和反分析特征，并通过在Windows启动目录中存储文件和创建开始菜单条目来实现持久性。该恶意软件主要针对能源、公用事业、石油、天然气、电信和机械等行业展开攻击。它不仅具备从各种浏览器窃取信息的能力，还支持勒索软件功能。威胁组织利用虚假的浏览器更新伪装来传播恶意软件，通过窃取敏感信息并加密受影响文件，对受害者进行勒索威胁，导致数据丢失的风险。RedEnergy的出现对能源行业和相关领域构成了严重的安全威胁。

技术手法：

RedEnergy采用多阶段的攻击链。攻击开始于用户通过LinkedIn个人资料点击访问目标公司的网站。用户被重定向到一个欺骗性网站，指导他们安装伪装成合法浏览器更新的可执行文件RedStealer。无论用户点击哪个浏览器图标，都会被重定向到相同的URL进行下载。RedEnergy利用欺骗性下载域名下载一个假的ChatGpt离线版本获取同样恶意的可执行文件，然后使用勒索软件模块对用户数据进行加密，并添加“.FACKOFF!”扩展名。同时，它会删除备份文件，以增加对用户数据的威胁和勒索力度。这种攻击方式使得RedEnergy能够在用户不知情的情况下入侵系统，并对其数据进行加密，造成严重的数据损失和勒索威胁。

来源：
https://www.zscaler.com/blogs/security-research/ransomware-redefined-redenergy-stealer-ransomware-attacks

台湾芯片巨头TSMC遭遇勒索软件供应链攻击，未受影响但承包商遭入侵

Tag：供应链，勒索攻击

事件概述：

近日，台湾芯片巨头TSMC发现其信息出现在臭名昭著的勒索软件组织LockBit的泄露暗网站上，这很可能是一次供应链攻击。该事件伴随着7,000万美元的勒索金额，成为勒索软件历史上第四高赎金。与此同时，与LockBit有关的威胁行为者Bassterlord在Twitter上直播展示对TSMC的勒索软件攻击，并分享了与该公司相关的截屏信息。

TSMC承认一家承包商遭到入侵，但表示该事件对其业务运营没有影响，也未泄露任何客户信息。据推测，受影响的承包商为Kinmax Technology，尽管TSMC并未直接点名。Kinmax在声明中表示，他们在6月29日注意到其内部特定测试环境遭到攻击，并泄露了一些信息。为此，他们向受影响的客户致以歉意，并采取了加强安全措施以防止类似事件再次发生。台积电将继续加强安全防护措施，确保供应链的安全性和稳定性。

来源：
https://www.infosecurity-magazine.com/news/tsmc-targeted-lockbit-via-supplier/

Meduza Stealer，一种旨在窃取Windows用户数据的新型恶意软件

Tag：Meduza Stealer，windows

事件概述：

近期，研究人员在监测暗网论坛和Telegram频道时发现了一种强大的威胁，名为Meduza Stealer。该恶意软件专门针对Windows用户和组织，通过窃取各种浏览器相关数据来进行全面的数据窃取。它会收集详细的系统信息，包括浏览器的历史记录、Cookie、登录数据、Web数据等，还会窃取客户端程序中的数据，如Steam、Discord、密码管理器、双因素身份验证、加密货币钱包等。

技术手法：

Meduza Stealer通过利用应用程序编程接口（APIs）和实施国家排除功能来运作。它首先使用GetUserGeoID和GetGeoInfoA APIs获取受害者的国家信息，并将其与预定义的排除国家列表进行比较。如果受害者的国家不在排除列表中，恶意软件会尝试与攻击者的服务器建立连接，否则会立即停止活动。一旦成功渗透进受害者的计算机，Meduza Stealer 则会收集系统信息、浏览器数据、密码管理器信息等大量信息，并将其打包上传到攻击者的服务器。

来源：
https://www.uptycs.com/blog/what-is-meduza-stealer-and-how-does-it-work

伊朗组织MuddyWater使用新型C2框架PhonyC2进行网络间谍活动

Tag：MuddyWater，伊朗

事件概述：

MuddyWater组织是伊朗国家情报和安全部的一个网络间谍组织，其下属部分称为Mango Sandstorm（Mercury）。近期，Deep Instinct的威胁研究团队发现了MuddyWater组织自定并持续开发的新C2框架PhonyC2。该框架自2021年以来一直在使用，并最近在对Technion研究所和PaperCut的攻击活动中被发现。PhonyC2框架与MuddyC3相似，但持续更新以避免被检测，并采用社交工程等手段作为初始访问点。对于已打补丁的系统进行加固和监控PowerShell活动是组织保护自身免受此类威胁的关键。

技术手法：

PhonyC2框架是一种后渗透工具，其用途是生成各种载荷以连接回C2，并等待操作者的指令来执行"入侵杀链"的最后一步。通过执行特定命令，PhonyC2能够创建HTTP请求与C2进行通信，接收编码文件并将其保存在受感染的主机上。随后，对文件内容进行解码并执行，以建立与C2的通信并定期发送信标。通过"payload"命令，文件会被保存为"db.sqlite"和"db.ps1"，并执行"db.ps1"以在受感染的主机上建立与C2的通信。此外，PhonyC2还提供其他命令，如"dropper"和"Ex3cut3"，用于生成不同变体的PowerShell命令。总的来说，PhonyC2框架通过动态生成和执行命令，为MuddyWater组织提供了一种灵活且隐蔽的攻击手段，实现了与C2的远程控制和数据交换。

来源：
https://www.deepinstinct.com/blog/phonyc2-revealing-a-new-malicious-command-control-framework-by-muddywater

Mozilla发布Firefox 115稳定版修复高危漏洞

Tag：Mozilla，漏洞

事件概述：

近日，Mozilla发布了稳定版的Firefox 115，修复了十多个安全漏洞。其中，CVE-2023-37201涉及WebRTC证书生成中的使用后释放漏洞，CVE-2023-37202涉及SpiderMonkey引擎中的潜在使用后释放问题。此外，最新版本的Firefox还修复了两个高危内存安全漏洞（CVE-2023-37211和CVE-2023-37212），这些漏洞可能导致任意代码执行。此外，Firefox 115还修复了8个中危漏洞，这些漏洞可能导致恶意站点未经授权放置跟踪器、执行恶意代码、进行欺骗攻击、URL欺骗、下载包含恶意代码的文件、使用后释放漏洞等，同时还可能诱骗用户向恶意站点提交敏感数据。

来源：
https://bbs.antiy.cn/thread-207706-1-1.html?_dsign=c29eff2c

2023年7月5日

日本名古屋港遭勒索软件攻击，集装箱码头运营受影响
外媒报道称日本最大最繁忙的港口——名古屋港遭受了一次严重的勒索软件攻击，导致集装箱码头的运营受到严重影响。港口管理机构确认该攻击发生在2023年7月4日早上6:30左右，并正在紧急修复受影响的系统。此次攻击迫使集装箱装卸操作被取消，给港口带来巨大的财务损失，并对日本的货物流通产生了严重中断。尽管名古屋港之前曾多次遭受网络攻击，但此次勒索软件攻击的影响尤为严重。目前，尚无威胁者公开宣称对港口进行了攻击。
来源：
https://www.bleepingcomputer.com/news/security/japans-largest-port-stops-operations-after-ransomware-attack/

2023年7月5日

卡巴斯基警示：加密货币钱包面临网络钓鱼攻击威胁
卡巴斯基在最新发文中指出，加密货币热钱包和冷钱包正遭受网络钓鱼攻击的威胁。热钱包作为经常连接互联网的加密货币钱包，容易受到网络钓鱼攻击。这些针对热钱包的攻击通常针对非技术用户，采用简单的欺骗手法。另一方面，冷钱包作为存储大额资金的钱包，虽然不经常连接互联网，但也面临社会工程学攻击的威胁。近期发现的攻击利用仿冒网站和类似域名注册等欺骗手段。保护加密货币钱包的安全对于用户和服务提供商都至关重要，应提高警惕并采取加强的安全措施，确保资金的安全性。
来源：
https://securelist.com/hot-and-cold-cryptowallet-phishing/110136/

---End---