Remcos RAT 针对美国税务公司展开大规模网络钓鱼攻击
Tag:Remcos RAT,网络钓鱼
近日,外媒报道称 Remcos RAT 专门针对处理税务工作、金融服务、注册会计师和会计师事务所以及税务专业服务公司/组织 展开大规模网络钓鱼攻击。此次网络钓鱼攻击始于 2023 年 2 月,攻击者通过发送伪装成国税局的电子邮件,诱骗受害者点击恶意链接下载 Remcos 远程访问木马的有效负载。Remcos 是一种闭源工具,允许攻击者远程获得 Windows 系统的管理员权限,一旦被感染,Remcos RAT 允许攻击者远程控制受害者的计算机,窃取敏感信息并执行其他恶意活动。
技术手法:
攻击者发送伪装成国税局的电子邮件,该消息包含一个指向部署 Windows 快捷方式 (.LNK) 文件的合法文件托管站点的链接,初始链接重定向到合法文件共享服务上托管的 ZIP 文件,压缩文件包含充当其他文件的 Windows 快捷方式的 LNK 文件,LNK 文件向攻击者控制的域发出 Web 请求,下载包含 DLL 或可执行文件的 MSI 文件、包含 PowerShell 命令的 VBScript 文件或欺骗性 PDF。攻击者然后通过利用税务信息为诱饵,诱导目标下载 Remcos 有效载荷。一旦 Remcos RAT 在受害者计算机上被安装,攻击者可以远程控制设备并窃取敏感信息,甚至横向移动执行其他恶意活动。
来源:
https://www.microsoft.com/en-us/security/blog/2023/04/13/threat-actors-strive-to-cause-tax-day-headaches/
APT 组织 Gamaredon 针对乌克兰政府组织发起网络钓鱼活动
Tag:Gamaredon,乌克兰,网络钓鱼
事件概述:
Gamaredon 组织是一支以网络间谍活动为主的黑客组织,主要针对乌克兰政府实体。该组织使用鱼叉式网络钓鱼电子邮件和社会工程学诱饵作为主要攻击策略,并疑似与联邦安全局 (FSB) 存在关联。最近,该组织利用鱼叉式网络钓鱼攻击手段袭击了乌克兰外国情报局 (SZRU) 和乌克兰安全局 (SSU) 等政府实体。攻击者使用一个包含网页面板的简单邮件传输协议 (SMTP) 服务器创建和分发鱼叉式网络钓鱼电子邮件,并利用电子邮件欺骗技术使其看起来来自合法来源,增加欺骗性。
技术手法:
Gamaredon 组织的自动化鱼叉式攻击活动主要基于其攻击运营控制面板。攻击者可以使用该面板来轻松地管理和跟踪大量受害者,选择攻击哪个受害者,以及将受害者分类为"待处理"、"成功"或"失败"。攻击者构建并发送高度针对性的电子邮件,其中包含恶意附件或链接,用来传递包括 PoisonIvy RAT、Crimson RAT 和 Pterodo RAT 在内的恶意软件。此外,攻击者还使用基于 Word 文档的宏和 JS 脚本来传播恶意软件。通过这些技术手段,Gamaredon 组织能够轻松地实施高度定制化的鱼叉式攻击,并且有很高的成功率。
来源:
https://blog.eclecticiq.com/exposed-web-panel-reveals-gamaredon-groups-automated-spear-phishing-campaigns
伊朗黑客针对美国能源公司展开报复性的网络攻击
Tag:伊朗,美国,基础设施
事件概述:
据微软披露,伊朗黑客组织 “Mint Sandstorm” 正对美国的关键基础设施发动攻击。这些攻击的目标包括海港、能源公司、运输系统以及美国一家主要的公用事业和天然气公司。该组织被认为是伊朗政府支持的 Phosphorous 黑客组织的新名称,并与伊斯兰革命卫队有联系。据分析,此次攻击可能是对美国和以色列之前针对伊朗基础设施的攻击进行的报复行动。除了利用漏洞破坏网络外,该组织还通过对少数目标受害者的低容量网络钓鱼攻击来实现攻击目的。
技术手法:
伊朗黑客组织使用 N-day 漏洞和较旧的漏洞来破坏未打补丁的设备。一旦获得网络访问权限,攻击者使用自定义PowerShell 脚本搜集环境信息,以确定目标是否具有高价值。然后,使用 Impacket 框架在网络上横向传播,同时执行两个攻击链之一:第一个攻击链主要执行 PowerShell 脚本,使用 SSH 通道与 C2 通信,窃取目标的 Windows Active Directory 数据库,该数据库可用于获取用户凭据,从而帮助攻击者进一步入侵或逃避网络检测;第二个攻击链是部署名为 Drokbk 和 Soldier 的自定义后门恶意软件,两者都用于在受损网络上保持持久性并部署额外有效载荷,以及从 GitHub 存储库中检索命令和控制服务器列表。
来源:
https://www.bleepingcomputer.com/news/security/microsoft-iranian-hackers-behind-retaliatory-cyberattacks-on-us-orgs/
西门子 Metaverse 暴露企业敏感数据
Tag:西门子,数据泄露
事件概述:
继德国工业巨头西门子加入了元宇宙的行列,与英伟达共建工业元宇宙后,Cybernews 研究团队于近日发现西门子的 Metaverse 正在泄露敏感信息,这可能导致攻击者获得访问权限并对该公司及其客户造成毁灭性的后果。研究团队发现了一个托管在 metaverse.siemens.com 域中的环境文件,其中包含 ComfyApp 凭据和端点,以及四组 WordPress 用户和三组后端和身份验证端点URL。此外,研究人员还发现了暴露的办公管理平台 ComfyApp 用户凭据,攻击者可以访问平面图、物联网设备信息、员工日历和室内图片等敏感数据。另外,攻击者还可以通过插入受感染的 USB 驱动器来发动勒索软件攻击。西门子的客户群包括许多处理极其敏感数据的公司,一旦攻击者获得访问权限,他们将能够窃取大量敏感数据。西门子及其客户必须采取措施尽快保护其信息安全,以避免可能的灾难性后果。
来源:
https://securityaffairs.com/144832/security/siemens-metaverse-data-leak.html
透明部落利用 Crimson RAT 瞄准印度教育部门展开攻击
Tag:透明部落,Crimson RAT
事件概述:
SentinelLabs 研究人员最近披露了一个具有巴基斯坦背景的 APT 组织透明部落的攻击活动,该组织至少从2013年开始活跃,是一个高度持久的威胁行为者,会不断调整其操作策略。过去,透明部落主要针对印度军方和政府人员,但最近已将印度次大陆的教育机构和学生纳入其攻击范围。此外,研究人员还发现该组织利用第三方服务支持其运营,例如巴基斯坦网络托管服务提供商Zain Hosting。
技术手法:
攻击者通过利用教育主题的网络钓鱼电子邮件分发武器化的 Microsoft Office 文档,并通过恶意宏或 OLE 嵌入技术最终部署 Crimson RAT。宏会在 %ALLUSERSPROFILE% 目录 (C:\ProgramData) 中创建并解压缩嵌入式存档文件,并在其中执行 Crimson RAT 有效负载。另一种技术是通过引诱用户双击图形来激活一个被锁定文档的 OLE 包,该包伪装成更新过程 ( MicrosoftUpdate.exe) 存储并执行 Crimson RAT 。Crimson RAT 变体会实施不同强度的混淆技术,包括使用 Crypto Obfuscator 进行混淆,将 Eazfuscator 添加到 Transparent Tribe 使用的混淆技术中。此外,Crimson RAT 的功能包括泄露系统信息、捕获屏幕截图、启动和停止进程以及枚举文件和驱动器。
来源:
https://www.sentinelone.com/labs/transparent-tribe-apt36-pakistan-aligned-threat-actor-expands-interest-in-indian-education-sector/
谷歌通报并更新 Chrome 浏览器 0day 漏洞 CVE-2023-2136
Tag:谷歌,0day
事件概述:
来源:
https://www.bleepingcomputer.com/news/security/google-patches-another-actively-exploited-chrome-zero-day/
2023年4月15日
美国软件技术咨询公司 NCR 遭到 BlackCat 团伙勒索攻击
据外媒报道称,美国软件和技术咨询公司 NCR 遭到勒索组织 BlackCat 的攻击,导致其所属的 Aloha PoS 平台出现故障,影响了业务的正常运营,导致客户无法使用该系统。攻击发生后,BlackCat 宣称对此次攻击负责,并公开了与一名 NCR 代表的谈判记录。谈话记录表明,攻击期间未窃取服务器上存储的任何数据。但是,黑客声称已经窃取了NCR客户的凭证,并威胁要公开。目前,NCR尚未公开是否存在数据泄露,也没有透露泄露规模的信息。
来源:
https://www.bleepingcomputer.com/news/security/ncr-suffers-aloha-pos-outage-after-blackcat-ransomware-attack/
美国软件技术咨询公司 NCR 遭到 BlackCat 团伙勒索攻击
据外媒报道称,美国软件和技术咨询公司 NCR 遭到勒索组织 BlackCat 的攻击,导致其所属的 Aloha PoS 平台出现故障,影响了业务的正常运营,导致客户无法使用该系统。攻击发生后,BlackCat 宣称对此次攻击负责,并公开了与一名 NCR 代表的谈判记录。谈话记录表明,攻击期间未窃取服务器上存储的任何数据。但是,黑客声称已经窃取了NCR客户的凭证,并威胁要公开。目前,NCR尚未公开是否存在数据泄露,也没有透露泄露规模的信息。
来源:
https://www.bleepingcomputer.com/news/security/ncr-suffers-aloha-pos-outage-after-blackcat-ransomware-attack/
美国软件技术咨询公司 NCR 遭到 BlackCat 团伙勒索攻击
据外媒报道称,美国软件和技术咨询公司 NCR 遭到勒索组织 BlackCat 的攻击,导致其所属的 Aloha PoS 平台出现故障,影响了业务的正常运营,导致客户无法使用该系统。攻击发生后,BlackCat 宣称对此次攻击负责,并公开了与一名 NCR 代表的谈判记录。谈话记录表明,攻击期间未窃取服务器上存储的任何数据。但是,黑客声称已经窃取了NCR客户的凭证,并威胁要公开。目前,NCR尚未公开是否存在数据泄露,也没有透露泄露规模的信息。
来源:
https://www.bleepingcomputer.com/news/security/ncr-suffers-aloha-pos-outage-after-blackcat-ransomware-attack/
2023年4月20日
警惕!以 ChatGPT 为主题的网络钓鱼诈骗
研究人员指出,ChatGPT 的热门话题吸引了诈骗者的关注,这些诈骗者试图通过使用与该网站相关的措辞和域名来获利。在2022年11月到2023年4月上旬的时间段内,与ChatGPT相关的域名每月注册量增加了910%,相关抢注域名增长了17818%。此外,每天检测到多达118个与ChatGPT相关的恶意URL,其中包含多个试图冒充OpenAI官方网站的网络钓鱼URL。由此可见,以 ChatGPT 为主题的网络钓鱼诈骗急剧增加,用户需要提高警惕。
来源:
https://unit42.paloaltonetworks.com/chatgpt-scam-attacks-increasing/
警惕!以 ChatGPT 为主题的网络钓鱼诈骗
研究人员指出,ChatGPT 的热门话题吸引了诈骗者的关注,这些诈骗者试图通过使用与该网站相关的措辞和域名来获利。在2022年11月到2023年4月上旬的时间段内,与ChatGPT相关的域名每月注册量增加了910%,相关抢注域名增长了17818%。此外,每天检测到多达118个与ChatGPT相关的恶意URL,其中包含多个试图冒充OpenAI官方网站的网络钓鱼URL。由此可见,以 ChatGPT 为主题的网络钓鱼诈骗急剧增加,用户需要提高警惕。
来源:
https://unit42.paloaltonetworks.com/chatgpt-scam-attacks-increasing/
警惕!以 ChatGPT 为主题的网络钓鱼诈骗
研究人员指出,ChatGPT 的热门话题吸引了诈骗者的关注,这些诈骗者试图通过使用与该网站相关的措辞和域名来获利。在2022年11月到2023年4月上旬的时间段内,与ChatGPT相关的域名每月注册量增加了910%,相关抢注域名增长了17818%。此外,每天检测到多达118个与ChatGPT相关的恶意URL,其中包含多个试图冒充OpenAI官方网站的网络钓鱼URL。由此可见,以 ChatGPT 为主题的网络钓鱼诈骗急剧增加,用户需要提高警惕。
来源:
https://unit42.paloaltonetworks.com/chatgpt-scam-attacks-increasing/
警惕!以 ChatGPT 为主题的网络钓鱼诈骗
研究人员指出,ChatGPT 的热门话题吸引了诈骗者的关注,这些诈骗者试图通过使用与该网站相关的措辞和域名来获利。在2022年11月到2023年4月上旬的时间段内,与ChatGPT相关的域名每月注册量增加了910%,相关抢注域名增长了17818%。此外,每天检测到多达118个与ChatGPT相关的恶意URL,其中包含多个试图冒充OpenAI官方网站的网络钓鱼URL。由此可见,以 ChatGPT 为主题的网络钓鱼诈骗急剧增加,用户需要提高警惕。
来源:
https://unit42.paloaltonetworks.com/chatgpt-scam-attacks-increasing/