Emansrepo信息窃取程序：FortiGuard追踪其重大攻击链

首页 > 清静研究 > 清静转达 > 清静简讯

Emansrepo信息窃取程序：FortiGuard追踪其重大攻击链

宣布时间 2024-09-05

1. Emansrepo信息窃取程序：FortiGuard追踪其重大攻击链

9月3日，，，，，，FortiGuard实验室的网络清静专家正细密追踪一种名为“Emansrepo”的基于Python的信息窃取程序，，，，，，该程序自2023年11月曝光以来，，，，，，通过伪装采购订单和发票的网络垂纶邮件撒播，，，，，，构建出三条重大多变的攻击路径。。。。。。这些路径划分接纳AutoIt编译的可执行文件、HTA文件及BatchShield混淆的批处置惩罚文件作为载体，，，，，，每种手段均旨在绕过清静检测，，，，，，最终执行恶意Python剧本以窃取敏感信息。。。。。。Emansrepo从最初的登录凭证、信用卡信息网络，，，，，，已生长到能窃取PDF文档、浏览器扩展、加密钱币钱包及游戏平台数据等更普遍规模。。。。。。别的，，，，，，实验室还注重到与Emansrepo活动相似的Remcos恶意软件撒播，，，，，，体现背后可能有统一威胁组织。。。。。。鉴于攻击者手艺的一直升级与多样化，，，，，，各组织需坚持高度小心，，，，，，接纳起劲自动的网络清静防御战略，，，，，，以有用应对日益重大的网络威胁情形。。。。。。

https://securityonline.info/emansrepo-stealer-a-multi-faceted-threat-evolving-in-complexity/

2. 新勒索软件变种Underground与RomCom组织关联

9月3日，，，，，，FortiGuard Labs揭破了一种新型勒索软件变种Underground，，，，，，它与污名昭著的俄罗斯黑客组织RomCom（又名Storm-0978）细密相关。。。。。。这款恶意软件自2023年7月起肆虐，，，，，，重点攻击修建、制药、银行及制造业等多个要害行业，，，，，，通过加密受害者Windows系统上的文件来勒索赎金。。。。。。RomCom组织不但使用Microsoft Office和Windows HTML的已知误差（如CVE-2023-36884）入侵，，，，，，还可能接纳垂纶邮件和购置初始会见权限等通例手段。。。。。。Underground入侵后，，，，，，会迅速禁用清静机制，，，，，，扫除影子副本和日志纪录，，，，，，悄无声息地加密文件，，，，，，并留下一张名为“!!readme!!!.txt”的勒索信，，，，，，要求支付解密用度，，，，，，其奇异之处在于不改变文件扩展名，，，，，，增添了识别难度。。。。。。更令人担心的是，，，，，，该组织运营一个数据泄露网站，，，，，，果真拒绝支付赎金的受害者信息，，，，，，进一步施压。。。。。。现在，，，，，，Underground的攻击规模已扩展至全球，，，，，，数据泄露网站已列出16个国家的受害者名单，，，，，，涵盖美、法、德、西、韩、台、新及加等地。。。。。。别的，，，，，，该组织还使用Telegram和Mega云存储效劳扩大其影响力，，，，，，撒播窃取的数据。。。。。。

https://securityonline.info/romcom-groups-underground-ransomware-exploits-microsoft-zero-day-flaw/

3. 超2.2万软件包面临Revival Hijack的危害

9月4日，，，，，，一种名为“Revival Hijack”的新型供应链攻击手艺正威胁着Python软件包索引（PyPI）的清静，，，，，，该手艺已被发明并被用于实验渗透下游组织。。。。。。JFrog清静公司指出，，，，，，该手艺能挟制凌驾2.2万个现有PyPI软件包，，，，，，已导致数十万次恶意下载，，，，，，影响规模普遍。。。。。。攻击者使用PyPI的政策误差，，，，，，在软件包被原所有者删除后重新注册并上传恶意版本，，，，，，使用用户可能保存的拼写过失或信任惯性，，，，，，诱导下载。。。。。。与古板域名抢注差别，，，，，，Revival Hijack专注于已删除的软件包，，，，，，每月约有309个软件包因此变得懦弱。。。。。。这些软件包因缺乏维护、更名或功效整合而被移除，，，，，，却为攻击者提供了可乘之机。。。。。。JFrog数据显示，，，，，，攻击者能悄无声息地替换软件包，，，，，，甚至通过“pip install -upgrade”下令将正当软件包替换为恶意版本，，，，，，而开发者毫无察觉。。。。。。尤为严重的是，，，，，，一个名为Jinnis的威胁行为者已现实使用该手艺。。。。。。企业和开发者需增强小心，，，，，，检查DevOps管道，，，，，，确保不装置已删除的软件包，，，，，，并接纳须要步伐保唬�；；；；ぷ陨砻馐艽死嘈剖忠盏乃鸷Α！�。。。。

https://www.trendmicro.com/en_us/research/24/i/earth-lusca-ktlvdoor.html

4. 蒙大拿州妄想生育协会遭RansomHub勒索软件攻击

9月4日，，，，，，蒙大拿州妄想生育协会近期遭遇了网络攻击，，，，，，勒索软件组织RansomHub声称已侵入其系统并窃取93GB数据，，，，，，威胁若不支付赎金将果真数据。。。。。。该非营利组织迅速响应，，，，，，将部分网络离线并征召联邦执法和信息清静专家协助视察与重修IT情形。。。。。。美国妄想生育办公室首席执行官玛莎·富勒确认了这一“网络清静事务”，，，，，，并谢谢团队的不懈起劲以恢复系统和视察事务。。。。。。只管富勒未透露详细数据泄露情形，，，，，，但确认已向联邦执法部分报告并追求支持。。。。。。值得注重的是，，，，，，此次攻击爆发前，，，，，，FBI等已宣布关于RansomHub活跃性的清静警报，，，，，，指出其自2月以来已导致至少210名受害者，，，，，，涵盖多个要害基础设施领域。。。。。。此次针对提供生殖保健效劳的非营利组织的攻击，，，，，，被视为尤为卑劣的行为。。。。。。

https://www.theregister.com/2024/09/04/planned_parenthood_cybersecurity_incident/

5. 黑客组织联合对法发动DDoS攻击，，，，，，要求释放Telegram首创人

9月4日，，，，，，Telegram 首席执行官帕维尔·杜罗夫被捕后，，，，，，一系列黑客组织迅速集结，，，，，，提倡名为 #FreeDurov 或 #OpDurov 的全球网络行动，，，，，，矛头直指法国，，，，，，通过实验大规模的漫衍式拒绝效劳（DDoS）攻击和黑客手艺入侵，，，，，，对凌驾50个法国政府机构、医疗机构、交通枢纽、教育机构及私营企业提倡挑战。。。。。。这些黑客组织，，，，，，包括俄罗斯网络军重生（CARR）、RipperSec、EvilWeb、CyberDragon 等，，，，，，大都具有亲俄或亲伊斯兰倾向，，，，，，他们使用自身手艺资源和 Telegram 平台普遍发动，，，，，，要求法国释放杜罗夫。。。。。。CARR 作为此次行动的领头羊，，，，，，依附其与俄罗斯军事情报部分的联系及重大的社群基础，，，，，，针对多个法国主要机构发动攻击。。。。。。RipperSec 等组织也不甘落伍，，，，，，接纳专业工具如 MegaMedusa 对法国司法和警方系统实验强烈攻击。。。。。。黑客们不但通过 DDoS 攻击瘫痪目的网站，，，，，，还声称入侵并窃取了部分敏感数据，，，，，，在 Telegram 上炫耀战果。。。。。。只管念头各异，，，，，，从支持杜罗夫小我私家到维护 Telegram 的运营清静，，，，，，但配合的诉求是促使法国政府重新思量其行动。。。。。。

https://hackread.com/ddos-attacks-france-telegrams-pavel-durov-arrest/

6. MacroPack工具遭滥用，，，，，，多国发明恶意文档

9月4日，，，，，，MacroPack是一款原为红队演练设计的工具，，，，，，近期被不法分子滥用，，，，，，用于撒播Havoc、Brute Ratel和PhatomCore等恶意负载，，，，，，影响规模波及多个国家和地区。。。。。。该工具由法国开发者Emeric Nasi开发，，，，，，具备反恶意软件绕过、代码混淆等高级功效，，，，，，使得构建隐藏的恶意文档成为可能。。。。。。Cisco Talos的研究展现，，，，，，这些恶意文档通过VirusTotal平台提交的样本显示出高度多样性，，，，，，包括差别诱饵、庞洪水平和熏染手段，，，，，，批注MacroPack已成为黑客攻击的新宠。。。。。。被捕获的恶意样本中，，，，，，均留有MacroPack建设的特征，，，，，，如马尔可夫链命名的函数和变量、删除注释及空格以镌汰静态剖析检测等。。。。。。受害者一旦翻开这些伪装成加密表格、军事通知或就业确认书的Office文档，，，，，，便会触发VBA代码，，，，，，加载恶意DLL并毗连到攻击者的C2效劳器。。。。。。差别地区的攻击案例各具特色：美国案例中，，，，，，恶意文档伪装成加密更新表格，，，，，，使用mshta.exe下载未知载荷；；；；；；俄罗斯案例中，，，，，，Excel事情簿妄想下载PhantomCore后门；；；；；；巴基斯坦案例中，，，，，，则以军事相关主题伪装，，，，，，使用HTTPS DNS和亚马逊CloudFront通讯，，，，，，甚至嵌入Adobe Experience Cloud跟踪代码。。。。。。

https://www.bleepingcomputer.com/news/security/red-team-tool-macropack-abused-in-attacks-to-deploy-brute-ratel/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究