微软披露使用Remcos RAT针对美国税务行业的攻击活动

首页 > 清静研究 > 清静转达 > 清静简讯

微软披露使用Remcos RAT针对美国税务行业的攻击活动

宣布时间 2023-04-18

1、微软披露使用Remcos RAT针对美国税务行业的攻击活动

4月13日，，，微软披露了近期针对美国会计和报税公司的垂纶攻击活动。。。。垂纶邮件中的链接可绕过检测，，，最终指向文件托管网站下载ZIP文档。。。。ZIP文档包括许多伪装成种种税表PDF的文件，，，但现实上是Windows快捷方法。。。。浚�？？？旖莘椒ㄖ葱蠵owerShell，，，从远程主机下载VBS文件。。。。这些VBS文件将下载并执行GuLoader，，，进而装置Remcos RAT。。。。Remcos通常用于获得公司的初始会见权限，，，攻击者可使用此权限进一步撒播，，，窃取数据并装置其它恶意软件。。。。

https://www.microsoft.com/en-us/security/blog/2023/04/13/threat-actors-strive-to-cause-tax-day-headaches/

2、新加迫蚊钱币生意平台Bitrue被黑损失2300万美元

媒体4月15日称，，，新加坡的加密钱币生意平台Bitrue一个数字钱包被黑，，，损失约2300万美元。。。。声明体现，，，攻击者窃取了多种数字钱币，，，包括以太坊(ETH)、Polygon(MATIC)、Shiba Inu(SHIB)、Quant(QNT)、GALA和Holo(HOT)。。。。Bitrue称，，，受影响的是可以通过互联网会见的热钱包，，，只包括Bitrue总资金的不到5%，，，其余钱包仍然清静。。。。该平台已暂停所有提款，，，同时举行清静检查，，，妄想于4月18日重新开放。。。。

https://therecord.media/bitrue-23million-stolen-cryptocurrency

3、波兰情报机构透露APT29是攻击北约和欧盟的幕后黑手

波兰军事反情报局及盘算机应急响应小组在4月13日称，，，APT29与针对北约和欧盟的攻击有关。。。。该情报机构指出，，，近期活动的许多要素，，，包括基础设施、使用的手艺和工具，，，都与已往的APT29活动重叠。。。。攻击针对外交职员，，，使用冒充欧洲国家大使馆的鱼叉式垂纶邮件，，，并附上恶意网站的链接或附件，，，旨在通过ISO、IMG和ZIP文件分发恶意软件。。。。攻击者使用了多种工具，，，包括SNOWYAMBER、HALFRIG和QUARTERRIG等。。。。现在，，，该活动仍在举行中。。。。

https://securityaffairs.com/144763/apt/apt29-behind-nato-eu-attacks.html

4、AhnLab发明勒索软件Trigona攻击MS-SQL效劳器的活动

AhnLab 4月17日称其近期发明了勒索软件Trigona攻击治理不善的MS-SQL效劳器的活动。。。。据推测，，，攻击者在装置Trigona之前首先装置了恶意软件CLR Shell。。。。CLR Shell有一个使用提权误差的例程，，，可能是由于Trigona需要高权限。。。。MS-SQL历程sqlservr.exe以svcservice.exe的名义装置Trigona。。。。svcservice.exe是一个dropper，，，它在统一起径上建设并执行现实的Trigona勒索软件，，，即svchost.exe。。。。

https://asec.ahnlab.com/en/51343/

5、IBM宣布关于与FIN7相关的恶意软件Domino的剖析报告

4月14日，，，IBM详述了前Conti成员和FIN7开发职员联手推出新的恶意软件Domino。。。。Domino由两个组件组成，，，划分为Domino Backdoor和Domino Loader。。。。通常，，，Dave Loader会分发Domino Backdoor。。。。该后门可枚举系统信息，，，然后下载Domino Loader。。。。Loader会装置名为Nemesis Project的嵌入式.NET信息窃取程序。。。。Domino的代码与Lizar有大宗重叠，，，Lizar是与FIN7相关的工具包，，，因此IBM将其归因于FIN7。。。。该活动使用Dave Loader加载恶意软件，，，因此可将其与Trickbot/Conti及其前成员联系起来。。。。

https://securityintelligence.com/posts/ex-conti-fin7-actors-collaborate-new-domino-backdoor/

6、Trellix宣布新RaaS提供商RTM Locker的剖析报告

4月13日，，，Trellix宣布了关于勒索软件即效劳(RaaS)提供商Read The Manual(RTM)Locker的剖析报告。。。。该团伙的战略只专注于一件事，，，即低调行事。。。。他们的目的不是成为新闻头条，，，而是在不为人知的情形下赚钱。。。。该组织还绕过、医院、COVID-19疫苗相关组织、要害基础设施和执法部分等，，，以尽可能镌汰关注。。。。该团伙的营业设置，，，要求隶属机构坚持活跃，，，不然他们的帐户将被删除。。。。这显示了该组织的成熟度，，，这一点在其它组织（如Conti）中也被视察到。。。。

https://www.trellix.com/en-us/about/newsroom/stories/research/read-the-manual-locker-a-private-raas-provider.html

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究