据观察,隶属于联邦安全局 (FSB) 的俄罗斯网络间谍活动者在针对乌克兰实体的攻击中使用了名为LitterDrifter的 USB 蠕虫。
以色列安全公司Check Point详细介绍了Gamaredon(又名 Aqua Blizzard、Iron Tilden、Primitive Bear、Shuckworm 和 Winterflounder)的最新战术,称该组织从事大规模活动,随后“针对特定目标进行数据收集工作,其选择很可能是出于间谍目的。”
技术报告URL:/2023/malware-spotlight-into-the-trash-analyzing-litterdrifter/
LitterDrifter 蠕虫病毒包具有两个主要功能:通过连接的 USB 驱动器自动传播恶意软件以及与攻击者的命令和控制 (C&C) 服务器进行通信。它还被怀疑是赛门铁克于 2023 年 6 月披露的基于 PowerShell 的 USB 蠕虫的演变。
传播器模块用 VBS 编写,负责将蠕虫作为 USB 驱动器中的隐藏文件以及分配了随机名称的诱饵 LNK 进行分发。该恶意软件因其初始编排组件名为“trash.dll”而得名 LitterDrifter。
Check Point 解释说:“Gamaredon 的 C&C 方法相当独特,因为它利用域名作为实际用作 C2 服务器的循环 IP 地址的占位符。”
LitterDrifter 还能够连接到从 Telegram 频道提取的 C&C 服务器,这是至少从今年年初以来它反复使用的策略。
该网络安全公司表示,根据来自美国、越南、智利、波兰、德国和香港的 VirusTotal 提交的信息,它还发现了乌克兰境外可能受到感染的迹象。
Gamaredon 今年表现活跃,同时不断改进其攻击方法。2023 年 7 月,对手的快速数据泄露能力曝光,威胁行为者在最初入侵后一小时内传输敏感信息。
“很明显,LitterDrifter 的设计目的是支持大规模情报收集业务。”该公司总结道。“它利用简单而有效的技术来确保它能够实现该地区最广泛的目标。”
这一事态发展正值乌克兰国家网络安全协调中心(NCSCC)透露俄罗斯国家支持的黑客针对欧洲各地大使馆(包括意大利、希腊、罗马尼亚和阿塞拜疆)策划的攻击。
这些入侵归因于APT29(又名 BlueBravo、Cloaked Ursa、Cozy Bear、Iron Hemlock、Midnight Blizzard 和 The Dukes),涉及通过看似良性的诱饵来利用最近披露的 WinRAR 漏洞 ( CVE-2023-38831 )出售宝马汽车,这是它过去采用的主题。
攻击链首先向受害者发送网络钓鱼电子邮件,其中包含指向特制 ZIP 文件的链接,该文件启动后会利用该缺陷从 Ngrok 上托管的远程服务器检索 PowerShell 脚本。
NCSCC 表示:“俄罗斯黑客组织利用 CVE-2023-38831 漏洞的趋势令人担忧,这表明该漏洞日益流行且复杂。”
本周早些时候,乌克兰计算机紧急响应小组 (CERT-UA)发现了一场网络钓鱼活动,该活动传播恶意 RAR 档案,这些档案伪装成来自乌克兰安全局 (SBU) 的 PDF 文档,但实际上是一个可执行文件,可导致部署 Remcos RAT。
CERT-UA 正在追踪名为 UAC-0050 的活动,该活动也与 2023 年 2 月针对该国国家当局交付 Remcos RAT 的另一轮网络攻击有关。
参考链接:/2023/11/russian-cyber-espionage-group-deploys.html
Advanced Persistent Threat
黑客利用 Zimbra 0day漏洞攻击针对希腊、突尼斯、摩尔多瓦、越南和巴基斯坦
https://therecord.media/hackers-target-govts-with-zimbra-zero
TA402 组织使用武器化 XLL 和 RAR 文件传播恶意软件
/ta402-group-using-weaponized-xll-and-rar-files/
雅马哈和 WellLife Network 确认发生勒索软件攻击事件
https://therecord.media/yamaha-welllife-network-confirm-cyberattacks
8Base Group 通过 SmokeLoader 部署新的 Phobos 勒索软件变体
/2023/11/8base-group-deploying-new-phobos.html
当心:恶意 Google 广告诱骗 WinSCP 用户安装恶意软件
/2023/11/beware-malicious-google-ads-trick.html
美国监狱据称遭受勒索软件攻击
/news/us-prison-play-ransomware-attack-wyatt-detention/
发现 27 个针对 IT 专家的恶意 PyPI 软件包
/2023/11/27-malicious-pypi-packages-with.html
美国网络安全机构对 “Scattered Spider (分散蜘蛛)的网络犯罪生态系统发出警告
/2023/11/us-cybersecurity-agencies-warn-of.html
恶意 Google 广告诱骗 WinSCP 用户安装恶意软件
/2023/11/beware-malicious-google-ads-trick.html
CISA、FBI联合预警:警告新兴勒索软件变种 Rhysida 威胁
/malware/articles/cyber-security-advisory-warns-of-emerging-ransomware-variant-rhysida
加利福尼亚州长滩在网络攻击后关闭 IT 系统
/news/security/long-beach-california-turns-off-it-systems-after-cyberattack/
Medusa 勒索软件声称对丰田金融服务公司发起攻击
/news/toyota-financial-services-attack-ransomware/
雅马哈汽车证实菲律宾子公司遭受勒索软件攻击
/news/security/yamaha-motor-confirms-ransomware-attack-on-philippines-subsidiary/
危险的 Apache ActiveMQ 漏洞允许秘密绕过 EDR
/application-security/dangerous-apache-activemq-exploit-edr-bypass
丰田勒索软件攻击中疑似利用 CitrixBleed 漏洞
/citrixbleed-vulnerability-exploitation-suspected-in-toyota-ransomware-attack/
越南邮政泄露 1.2TB 数据,包括安全日志和电子邮件地址
/security/vietnam-post-exposes-data-including-email-addresses/
大英图书馆:勒索软件恢复可能需要数月时间
/news/british-library-ransomware/
新的 Trellix 报告强调了恶意软件和恶意 GenAI 的新发展
/home-slide/new-trellix-report-highlights-new-developments-in-malware-malicious-genai/
CISA 警告利用 Sophos Web Appliance 漏洞的攻击
/cisa-warns-of-attacks-exploiting-sophos-web-appliance-vulnerability/