新发现的Android远程访问木马DroidBot攻击77家金融机构

  Tag：DroidBot, MQTT

事件概述：

最近，研究人员发现了一种名为DroidBot的新型Android远程访问木马（RAT），已有77家银行、加密货币交易所和国家机构成为其目标。DroidBot结合了隐藏的VNC和覆盖攻击技术，并具有间谍软件的功能，例如键盘记录和用户界面监控。此外，它利用双通道通信，通过MQTT传输出站数据，并通过HTTPS接收入站命令，提供了增强的操作灵活性和恢复力。这种恶意软件主要在奥地利、比利时、法国、意大利、葡萄牙、西班牙、土耳其和英国观察到。

DroidBot是一种现代RAT，它结合了隐藏的VNC和覆盖攻击技术，并具有间谍软件的功能，例如键盘记录和用户界面监控。此外，它利用双通道通信，通过MQTT传输出站数据，并通过HTTPS接收入站命令，提供了增强的操作灵活性和恢复力。DroidBot利用HTTPS进行入站命令，而从感染设备发出的出站数据则使用名为MQTT的消息协议进行传输。这种分离增强了其操作灵活性和恢复力。DroidBot使用的MQTT代理被组织成特定的主题，这些主题分类了感染设备和C2基础设施之间交换的通信类型。尽管这种恶意软件的技术角度并不出众，但其运营模式非常引人注目，它与恶意软件即服务（MaaS）计划非常相似，这在这种类型的威胁中并不常见。

来源：

https://thehackernews.com/2024/12/this-3000-android-trojan-targeting.html

全球政府和私营组织遭TAG-100网络间谍活动攻击

  Tag：TAG-100, Pantegana

事件概述：

TAG-100已经入侵了至少十个国家的组织，包括非洲、亚洲、北美、南美和大洋洲。该组织使用开源Go后门Pantegana和SparkRAT进行后期利用。TAG-100针对各种互联网产品，包括Citrix NetScaler、F5 BIG-IP、Zimbra、Microsoft Exchange、SonicWall、Cisco ASA、Palo Alto Networks GlobalProtect和Fortinet FortiGate。在公布了针对Palo Alto Networks GlobalProtect防火墙漏洞CVE-2024-3400的PoC利用后，TAG-100对数十个美国组织进行了侦查和尝试利用。TAG-100利用互联网设备的漏洞尤其令人担忧，因为这些设备的可见性和日志记录能力有限，这降低了被检测到的风险，并使组织暴露于运营停机、声誉损失和监管罚款的风险。使用开源工具还允许国家支持的威胁行为者将网络操作外包给能力较弱的组织，增加了对企业网络攻击的强度和频率。

来源：

https://www.hendryadrian.com/tag-100-uses-open-source-tools-in-suspected-global-espionage-campaign-compromising-two-asia-pacific-intergovernmental-bodies/

韩华Cimarron遭受RansomHub勒索软件攻击

  Tag：RansomHub, CISA

事件概述：

此次攻击事件突显了网络安全的重要性，尤其是对于涉及关键基础设施的制造业。RansomHub等勒索软件团伙的活动越来越频繁，他们通过对数据进行加密，迫使受害者支付赎金。这种攻击方式对企业的运营造成了严重影响，甚至可能威胁到国家的安全。因此，加强网络安全，特别是对关键基础设施的保护，已经成为当前的重要任务。在此背景下，CISA的作用愈发重要，它不仅需要应对各种网络威胁，还需要为受影响的组织提供指导和帮助。此外，企业自身也需要提高警惕，加强内部的网络安全防护，包括定期更新系统，修复已知的安全漏洞，以及提高员工的网络安全意识等。

来源：

https://www.hendryadrian.com/ransom-hanwhacimarron-com/

LTI卡车服务公司遭受勒索软件攻击

  Tag：bianlian, CISA

事件概述：

美国的LTI卡车服务公司最近遭受了名为bianlian的黑客团队的攻击。该公司成立于1975年，2005年进行了重组，总部位于密苏里州的圣路易斯，主要提供温控货运服务。bianlian是一个以物流和运输等多个行业为目标的黑客团队，他们利用复杂的技术手段渗透网络并部署勒索软件。在美国，涉及勒索软件的网络安全事件非常普遍，许多组织都成为了目标。美国网络安全和基础设施安全局(CISA)在应对这类威胁方面起着关键的作用。

本次攻击再次提醒我们，无论是物流运输行业，还是其他任何行业，都可能成为黑客的攻击目标。黑客团队bianlian利用复杂的技术手段，如钓鱼邮件、恶意软件、零日漏洞等，渗透网络并部署勒索软件。这种攻击方式既难以防范，又具有极大的破坏性。因此，企业必须加大网络安全防护力度，如定期更新系统和软件，使用多因素认证，提高员工的网络安全意识等。同时，政府部门如CISA也应加大对网络安全威胁的应对力度，如分享威胁情报，提供技术支持等。 

来源：

https://www.hendryadrian.com/ransom-lti-trucking-services/

LummaC2信息窃取恶意软件威胁增大

  Tag：LummaC2, MITRE技术

事件概述：

LummaC2使用了多种MITRE技术，包括凭证转储(T1003)、数据加密影响(T1486)和命令控制(T1071)等。凭证转储技术从浏览器和应用程序中提取账户凭据；数据加密影响技术用于加密数据，阻止访问并敲诈受害者；命令控制技术利用多个命令和控制域来维持与受损系统的通信。此外，还有一些IoC(指标)值，如URL和文件哈希值，可用于识别和防止此恶意软件。对于此类高级恶意软件，用户应保持警惕，避免从不可信的来源下载文件，特别是那些带有无效签名的文件。同时，企业也应加强对员工的网络安全培训，提高对此类威胁的认识。

来源：

https://www.hendryadrian.com/efficient-distribution-of-lummac2-infostealer-via-legitimate-programs/

俄罗斯APT组织Turla利用巴基斯坦网络进行网络间谍活动

  Tag：Turla, 联邦安全局

事件概述：

俄罗斯与联邦安全局有关的网络间谍组织Turla，被发现利用与巴基斯坦APT组织关联的网络。这是自2019年以来，Turla第四次嵌入其他威胁行为者的操作中。据微软威胁情报中心和Lumen的Black Lotus Labs周三发布的报告，俄罗斯组织（研究人员称其为Secret Blizzard）于2022年12月首次接触到巴基斯坦组织的一个指挥和控制（C2）服务器，到2023年中，他们已经扩展控制到与巴基斯坦行为者相关的多个C2节点。

报告称，从2022年11月以来，Secret Blizzard进行的操作显示了一种协调的努力，以妨害Storm-0156的指挥和控制基础设施。尽管最初的访问机制未知，但微软发现，Secret Blizzard有效地使用Storm-0156的后门来部署他们自己的后门，名为“TwoDash”和“Statuezy”，在阿富汗政府网络中，包括其外交部和情报总局。在印度，微软表示，Secret Blizzard专注于在托管从印度军事网络中窃取的数据的服务器上部署工具。Black Lotus Labs发现，到2023年4月，俄罗斯组织已经使用其后门渗透到巴基斯坦操作员的工作站，可能获得了大量的操作数据，包括对巴基斯坦行为者的工具、网络凭证和窃取的数据的洞察。随着操作进入2024年中期，Turla扩大了其他恶意软件家族的使用，特别是Wasicot和CrimsonRAT，他们从巴基斯坦的入侵中获取了这些软件。

来源：

https://cyberscoop.com/turla-infiltrates-pakistani-apt-networks-microsoft-lumen/

Apache ZooKeeper发布关于重大漏洞的安全警告

  Tag：CVE-2024-51504, Apache ZooKeeper

事件概述：

Apache ZooKeeper最近发布了一份关于重大漏洞CVE-2024-51504的安全警告。这个漏洞可能使ZooKeeper管理员服务器通过IP欺骗进行潜在的身份验证绕过。由于IP地址检测的默认配置较弱，攻击者可以通过伪造客户端的IP地址来绕过身份验证。成功利用这个漏洞后，攻击者可以获得对关键管理员服务器命令的未经授权的访问，包括快照和恢复操作。这些命令允许直接与服务器的配置和备份过程进行交互，可能导致信息泄露和服务可用性问题。

ZooKeeper的这个漏洞在于其基于IP的身份验证机制，该机制在管理员服务器中使用IPAuthenticationProvider。Apache的警告称，“默认配置尊重X-Forwarded-For HTTP头来读取客户端的IP地址。”不幸的是，这个头可以被轻易地操控，因为“X-Forwarded-For请求头主要被代理服务器用来识别客户端，可以被攻击者轻易地伪造。”成功利用这个漏洞后，攻击者可以获得对关键管理员服务器命令的未经授权的访问，包括快照和恢复操作。这些命令允许直接与服务器的配置和备份过程进行交互，可能导致信息泄露和服务可用性问题。Apache ZooKeeper团队敦促用户更新到3.9.3版本，该版本提供了解决这个漏洞的必要修复。这个更新版本包括更强的身份验证检查，通过加强客户端身份验证来降低IP欺骗攻击的风险。

来源：

https://www.hendryadrian.com/authentication-bypass-flaw-impacts-apache-zookeeper-admin-server/

加拿大房地产开发公司Westbank Corp遭受勒索软件攻击

  Tag：勒索软件攻击, Black Basta

事件概述：

位于加拿大的综合性房地产开发公司Westbank Corp近日遭受了勒索软件攻击，约500GB的敏感数据被黑客窃取。该公司自1992年以来一直专注于可持续的城市开发。被窃取的数据包括财务记录、人力资源和工资信息、个人用户文件、客户数据、合同、保密协议以及与项目相关的信息。据悉，此次攻击的行为者是以其精密攻击而闻名的勒索软件团伙Black Basta，该团伙经常针对各种行业的组织进行敲诈。加拿大，作为Westbank Corp的所在地，对于勒索软件攻击的担忧日益增长，这促使了网络安全机构介入应对这些威胁。

西岸集团（Westbank Corp）是北美一家领先的综合性房地产开发公司，专注于城市建设和通过房地产开发创造美感。近日，该公司遭受了勒索软件团伙Black Basta的攻击，大约500GB的敏感数据被窃取，包括财务记录、人力资源和工资信息、个人用户文件、客户数据、合同、保密协议以及与项目相关的信息。这起事件再次提醒我们，无论企业的规模和行业，都需要采取有效的网络安全措施，以防止类似的勒索软件攻击。这些措施包括但不限于：实施多因素认证、分享威胁情报、自动化安全措施等。同时，加拿大网络事故应对中心（CCIRC）在处理勒索软件事件和提供支持给受影响的组织方面发挥了关键作用。 

来源：

https://www.hendryadrian.com/ransom-westbankcorp-com/

新型钓鱼攻击利用损坏的Word文件规避安全检查

  Tag：钓鱼攻击, Word文件恢复功能

事件概述：

一种新的钓鱼攻击正在利用微软的Word文件恢复功能，通过发送损坏的文档作为电子邮件附件，以规避安全软件的检查，同时仍能被用户恢复。这种策略旨在欺骗收件人通过与钓鱼网站链接的二维码提供他们的凭证。攻击者不断寻找新的方法来规避电子邮件安全软件，并将他们的钓鱼邮件发送到目标的收件箱。这些附件使用了大量的主题，都围绕员工福利和奖金，包括年度福利和奖金等。当打开附件时，Word会检测到文件已损坏，并提示用户恢复内容。恢复的文档指示用户扫描二维码，导向模仿微软登录的钓鱼网站。大多数防病毒解决方案无法检测到这些损坏的文件，从而使钓鱼攻击成功。

这种新型钓鱼攻击的主要技术特点是利用微软的Word文件恢复功能，通过发送损坏的Word文档作为电子邮件附件，使其由于损坏状态而能够规避安全软件的检查，但仍能被应用程序恢复。攻击者通过模仿工资和人力资源部门的电子邮件，发送包含吸引用户打开的员工福利和奖金主题的附件。当用户打开附件，Word会报告文件已损坏，并提示用户恢复内容。恢复的文档会指示用户扫描二维码，该二维码链接到模仿微软登录的钓鱼网站。由于大多数防病毒解决方案无法检测到这些损坏的文件，因此钓鱼攻击能够成功。建议用户删除可疑的电子邮件，并在打开附件之前与网络管理员确认。

来源：

https://www.hendryadrian.com/novel-phishing-campaign-uses-corrupted-word-documents-to-evade-security/

勒索软件, 法国国家网络安全局(ANSSI)

  Tag：网络钓鱼模拟, 数据泄露监控

事件概述：

法国公司Billaud Segeba最近遭到了勒索软件团伙Qilin的攻击，攻击者要求赎金以换取被泄露数据的安全归还。Qilin团伙给予公司48小时的时间与他们取得联系，否则所有被盗的数据将被公开发布。法国国家网络安全局(ANSSI)正在参与处理这一事件。这一事件凸显了法国勒索软件威胁的增加，强调了强大网络安全措施的必要性。

本次事件再次凸显了勒索软件对全球企业的严重威胁。攻击者利用勒索软件对企业数据进行加密，然后要求企业支付赎金以换取数据解密的密钥。如果企业拒绝支付赎金，攻击者通常会威胁公开或销售被盗数据。因此，企业必须采取强有力的网络安全措施，以防止此类攻击的发生。这些措施包括使用多因素认证、威胁情报共享和自动化安全措施等。同时，企业还需要定期备份重要数据，并确保备份数据的安全，以防止在勒索软件攻击中丢失数据。在此次攻击中，法国国家网络安全局(ANSSI)的参与也体现了政府在应对此类事件中的重要作用。政府可以通过提供技术支持、情报共享和法律援助等方式，帮助受攻击的企业应对和恢复此类事件。

来源：

https://www.hendryadrian.com/ransom-billaud-segeba/

- END -