PixPirate恶意软件针对巴西银行进行攻击

  Tag：PixPirate恶意软件, Trusteer

事件概述：

根据Trusteer研究实验室的报告，PixPirate恶意软件的新攻击活动正在巴西进行，直接针对巴西的银行。PixPirate恶意软件主要攻击与大多数巴西银行应用程序集成的Pix支付服务。在当前的PixPirate活动中，Trusteer注意到巴西的感染数量最多（几乎占所有感染的70%），但其影响范围已扩大到包括印度、意大利和墨西哥在内的其他市场。印度是继巴西之后，PixPirate感染最严重的国家，占全球总感染数的近20%。

PixPirate恶意软件由两个部分组成：一个下载器应用程序和一个droppee应用程序，两者都由同一骗子团体定制和操作。PixPirate下载器假装是一个合法的认证应用程序，帮助用户保护他们的银行账户。下载器通过Smishing活动或来自被感染用户的WhatsApp垃圾信息传播。新的PixPirate活动还包括一个新版本的下载器，它包含一个YouTube视频的链接，该视频向目标受害者解释和演示如何在不知情的情况下安装droppee Android软件包（APK），并授予所有必要的权限和能力，以便在受害者的设备上完全执行。PixPirate下载器还会检查设备上是否安装了WhatsApp即时消息应用程序。如果受害者的设备上没有安装WhatsApp应用程序，恶意软件会推动受害者安装它。PixPirate Droppee使用WhatsApp应用程序通过受害者的WhatsApp账户发送恶意网络钓鱼信息，以传播自身并感染其他设备。

来源：

https://securityintelligence.com/posts/pixpirate-back-spreading-via-whatsapp/

俄罗斯黑客利用巴基斯坦服务器攻击南亚组织

  Tag：Turla, 间谍组织

事件概述：

一份新报告揭示，俄罗斯政府支持的黑客组织Secret Blizzard利用巴基斯坦威胁行为者Storm-0156的服务器，攻击南亚的政府和国防机构。目标包括阿富汗政府和印度军事相关机构。Secret Blizzard通过渗透其他黑客组织的基础设施，远程访问敏感文件，并部署恶意软件TwoDash和Statuezy。此策略使归因复杂化，并可能将责任推给其他威胁行为者。研究表明，Secret Blizzard与俄罗斯联邦安全局有关联，曾多次攻击国际外交和国防机构，窃取敏感政治信息。

Secret Blizzard的策略包括利用其他威胁行为者的基础设施进行攻击，避免直接使用自己的工具，从而隐藏其身份并增加攻击复杂性。他们在阿富汗部署了TwoDash和Statuezy恶意软件，在印度则使用从巴基斯坦黑客窃取的Waiscot和CrimsonRAT。此策略不仅降低了攻击成本，还使他们能够访问Storm-0156的工具和数据。研究人员认为，随着西方国家继续揭露俄罗斯的网络活动，Secret Blizzard可能会继续使用这种方法。多因素认证和威胁情报共享在防御此类攻击中显得尤为重要。

来源：

https://therecord.media/russian-turla-secret-blizzard-hackers-hijack-rival-servers-targeting-south-asia

能源行业承包商ENGlobal遭勒索软件攻击

  Tag：ENGlobal, 勒索软件

事件概述：

能源行业承包商ENGlobal Corporation于11月25日发现其部分业务受到勒索软件攻击。为遏制事件，ENGlobal关闭了某些系统。初步调查表明，威胁行为者非法访问了公司的IT系统并加密了部分数据文件。公司采取了遏制、评估和补救措施，包括内部调查、聘请外部专家以及限制系统访问。尽管恢复工作仍在继续，但全面恢复IT系统的时间尚无法估计。目前尚不清楚此次事件是否会对公司的财务状况或经营业绩造成重大影响，亦未透露是否有数据被盗或攻击者身份。    

ENGlobal Corporation遭遇勒索软件攻击，强调了多因素身份验证和威胁情报共享的重要性。公司在检测到未经授权的访问后，立即采取措施遏制事件，包括关闭系统、进行内部调查和聘请外部专家。此类事件显示出自动化安全措施在及时响应和遏制攻击中的关键作用。尽管公司尚未确定事件对财务的影响，但其迅速的反应措施表明了事件响应计划的重要性。此次事件提醒企业加强网络安全防护，确保关键系统的安全性和数据的完整性。

来源：

https://www.securityweek.com/energy-sector-contractor-englobal-targeted-in-ransomware-attack/

网络犯罪分子利用Godot引擎传播恶意软件

  Tag：Godot引擎, Stargazers Ghost Network

事件概述：

Check Point Research发现，网络犯罪分子正在利用流行的Godot引擎传播恶意软件，绕过几乎所有的防病毒解决方案的检测。这种新技术利用Godot的脚本语言GDScript，通过一个名为“GodLoader”的加载器传递恶意载荷，自2024年6月以来已经感染了超过17,000台设备。该恶意软件的分发与基于GitHub的“恶意软件即服务”（MaaS）操作的Stargazers Ghost Network有关。GodLoader利用Godot加载外部内容的能力，通过.pck文件运行恶意的GDScript代码，下载并部署额外的恶意软件。   

GodLoader利用了Godot引擎的一个关键特性，即通过.pck文件执行GDScript。这些文件可以嵌入或外部加载，加载器解密并运行这些脚本，这些脚本通常包含沙箱逃逸技术和禁用Microsoft Defender的命令。然后，脚本下载托管在像Bitbucket这样的合法平台上的额外载荷。一种值得一提的逃逸技术涉及检查系统硬件和可用磁盘空间，以便检测虚拟环境。如果恶意软件检测到沙箱，它会中止执行，使分析人员难以研究其行为。自从被发现以来，GodLoader已经进行了几次修改，以增强其隐蔽性和功能。早期版本将.pck文件嵌入到可执行文件中，而后来的版本使用了外部文件并添加了加密。恶意软件还随着时间的推移，整合了多线程和改进的逃逸技术。

来源：

https://informationsecuritybuzz.com/godot-gaming-engine-exploited-malware/

黑客利用最近邻攻击突破多因素认证

  Tag：最近邻攻击, APT28

事件概述：

黑客组织APT28（又名Fancy Bear）近日利用最近邻攻击突破了一家位于华盛顿特区的组织的多因素认证（MFA）。这起事件发生在近三年前，影响了一家在乌克兰相关工作的组织。黑客通过劫持街对面的一个接入点设备，登录受害者的WiFi网络，从而窃取尽可能多的数据。尽管最近邻攻击需要高级技能，通常只有政府关联的黑客组织和间谍机构才具备，但这种攻击方式可能被其他网络犯罪分子采用。

最近邻攻击是一种新型的网络攻击方式，黑客首先侵入邻近的网络，然后使用远程桌面协议（RDP）从最初被侵入的地点渗透到主要的目标。在此次APT28的案例中，黑客通过劫持街对面的接入点设备，登录受害者的WiFi网络，成功突破了多因素认证（MFA），并窃取了大量数据。此次攻击的调查结果显示，黑客并未接近受害者的网络，而是在世界的另一端通过互联网进行攻击。尽管最近邻攻击需要高级技能，但这种攻击方式可能被其他网络犯罪分子采用。因此，保护好个人和企业的网络安全至关重要。

来源：

https://www.pandasecurity.com/en/mediacenter/what-is-a-nearest-neighbor-attack/

Active Directory证书服务中的零日漏洞CVE-2024-49019

  Tag：Active Directory证书服务（AD CS）, CVE-2024-49019

事件概述：

TrustedSec的安全研究人员发现了一个影响Active Directory证书服务（AD CS）的严重零日漏洞CVE-2024-49019。这个漏洞利用了版本1证书模板的一个特性，允许具有注册权的攻击者大幅提升权限。这个漏洞的CVSS评分为7.8，已在微软的11月Patch Tuesday中得到修复，但其影响仍值得深入研究。漏洞源于能够操纵默认版本1证书模板以注入恶意应用策略的能力。攻击者可以制作一个CSR，包含优先于模板中指定的扩展密钥使用属性的应用策略。这种绕过允许攻击者请求客户端认证、证书请求代理或代码签名证书，不适当地利用WebServer模板。

TrustedSec团队在一次现场渗透测试中发现了这个漏洞。他们发现了证书管理接口（MMC）中的一个异常行为，这个行为使得可以操纵密钥使用字段。研究人员成功地将服务器认证目的替换为客户端认证策略，这种偏离使得可以作为管理员进行未授权的LDAP认证。这不是一个配置错误，而是一个允许我们添加应用策略的错误，团队强调说。他们将这种提升方法标记为ESC15，将其与先前识别的AD CS技术如ESC1和ESC2进行比较。TrustedSec团队在多个客户端上测试了CVE-2024-49019漏洞，发现15个环境中有10个处于风险之中。利用这个漏洞可能会授予域管理员权限，并启用如使用未授权证书进行代码签名等危险操作。团队还开发了信标对象文件（BOFs），以在可扩展的命令和控制框架中武器化攻击。

来源：

https://securityonline.info/zero-day-in-active-directory-certificate-services-researcher-exposes-cve-2024-49019-with-poc/

Elpaco勒索软件的深度分析

  Tag：Elpaco, CVE-2020-1472漏洞

事件概述：

最近，一种名为Elpaco的Mimic勒索软件变种引起了研究人员的注意，该软件具有一些独特的定制功能。攻击者通过暴力破解成功后，通过RDP连接到受害者的服务器，然后启动勒索软件。随后，攻击者通过利用CVE-2020-1472漏洞（Zerologon）提升了他们的权限。Elpaco利用Everything库，并为攻击者提供了一个易于使用的GUI，以定制恶意软件执行的操作。它还具有禁用安全机制和运行系统命令的功能。Elpaco的主要控制台svhostss.exe，没有显著的分析保护，因此我们能够轻松地看到恶意软件执行的某些命令。

Elpaco勒索软件变种具有一些独特的定制功能，它利用Everything库，并为攻击者提供了一个易于使用的GUI，以定制恶意软件执行的操作。它还具有禁用安全机制和运行系统命令的功能。攻击者通过暴力破解成功后，通过RDP连接到受害者的服务器，然后启动勒索软件。随后，攻击者通过利用CVE-2020-1472漏洞（Zerologon）提升了他们的权限。这种勒索软件变种名为“Elpaco”，包含有相同名称的扩展名的文件。在GUI中，操作员可以选择整个驱动器进行加密，执行进程注入以隐藏恶意进程，定制赎金票据，更改加密扩展名，根据原始文件格式设置加密顺序，并从加密中排除特定的目录、文件或格式。它还可以杀死由操作员指定的某些进程并执行系统命令，所有这些都使这种威胁具有高度的可定制性。

来源：

https://securelist.com/elpaco-ransomware-a-mimic-variant/114635/

日本出现针对企业网络银行用户的精密网络钓鱼骗局

  Tag：网络钓鱼, HackManac

事件概述：

日本出现一种复杂的网络钓鱼骗局，目标是企业网络银行用户，这使得全国的企业不得不提高警惕。这种新型的欺诈方案结合了社会工程学策略和先进的数字欺骗手段，以侵入企业账户并进行未经授权的资金转账。骗子首先通过电话冒充银行代表，告诉目标用户他们的网络银行证书已经过期，从而制造出一种虚假的紧急情况。在这个借口下，他们向毫无戒心的企业用户索取个人信息，为他们的计划下一步铺平道路。在初次接触后，受害者会收到精心设计的含有恶意链接的网络钓鱼邮件。这些链接会引导用户进入精心设计的假冒网站，这些网站与合法的银行门户网站极其相似。

HackManac研究人员观察到，一旦在这些欺诈网站上，受害者会被提示输入他们的凭证，包括密码和一次性密码，无意中将敏感信息交给了骗子。有了这些收集到的凭证，骗子就能未经授权地访问企业账户。然后，他们会将资金转移到与企业无关的账户，使交易难以追踪和撤销。这种通过多个企业实体转移资金的方式增加了欺诈的复杂性，使得恢复工作变得困难。日本在2023年上半年就记录了2322起网络银行诈骗事件，导致的损失总计约为30亿日元（约2100万美元）。如果这种针对企业的网络钓鱼攻击不受到控制，这些数字可能会大幅上升。金融机构和网络安全专家敦促企业用户要极度小心。他们建议通过官方渠道验证任何声称来自银行的未经请求的通信。此外，企业应该记住，不要点击可疑的链接，也不要在没有适当验证的情况下提供敏感信息。

来源：

https://cybersecuritynews.com/beware-of-new-phishing-scam/

Ransomhub对isd109.org发起的网络攻击

  Tag：Ransomhub, 网络钓鱼模拟

事件概述：

近期，声名狼藉的Ransomhub对isd109.org发起了一次网络攻击，引发了对网络安全漏洞的担忧。isd109.org是印度斯普林斯学区109，为K-12公共教育提供服务。此次泄露的数据量达到了45GB。为了防止未来的攻击，可以探索如网络钓鱼模拟、安全意识培训、数据泄露监控以及网络钓鱼检测等解决方案。同时，我们的数据泄露检查器也可以帮助你检查你的数据是否已经被暴露。

本次攻击再次凸显了网络安全的重要性。Ransomhub的攻击手法通常涉及到网络钓鱼和勒索软件，这两种手法都可以通过有效的安全意识培训和网络钓鱼模拟进行防范。数据泄露监控可以实时监测可能的数据泄露情况，及时发现并阻止数据泄露。网络钓鱼检测可以帮助识别和阻止网络钓鱼攻击，保护用户的个人信息和财产安全。此外，数据泄露检查器可以帮助用户检查他们的数据是否已经被暴露，以便他们可以采取必要的保护措施。在面对网络安全威胁时，我们需要采取多种措施来保护我们的数据和信息，包括多因素认证、威胁情报共享以及自动化安全措施等。

来源：

https://www.hookphish.com/blog/ransomware-group-ransomhub-hits-isd109-org/

- END -