金融威胁情报

新型钓鱼攻击技术利用PayPal的资金请求功能钓鱼攻击, 数据丢失预防

事件概述：

网络安全公司Fortinet最近发现了一种新型钓鱼攻击技术，这种技术利用PayPal的资金请求功能，通过合法的PayPal资金请求对收件人进行欺诈。攻击者注册了一个免费的Microsoft 365测试域，并创建了一个包含目标电子邮件地址的分发列表。然后通过PayPal发起付款请求，使用分发列表作为收件人地址。当请求发送时，Microsoft的发件人重写方案（SRS）修改了发件人地址，以绕过电子邮件身份验证检查，使其看起来有效。此外，电子邮件、URL和发件人地址通过了PayPal的安全检查，使用户误以为它是合法的。如果收件人恐慌并通过提供的链接登录他们的PayPal账户，攻击者就能获得他们的账户访问权限。

对于这种威胁，Fortinet强调了建立一个受过良好训练的"人类防火墙"的重要性。员工应该被教育去仔细审查所有意外的付款请求，即使它们看起来合法。此外，该公司还建议使用数据丢失预防（DLP）规则来检测这样的攻击。可以配置一个DLP规则来标记涉及来自分发列表的多个收件人的电子邮件，帮助识别和阻止这些钓鱼尝试。SlashNext的现场首席技术官Stephen Kowski补充说，"使用神经网络来分析社交图形模式和其他先进的AI技术在更现代的安全工具中有助于发现这些隐藏的交互，通过比静态过滤器更深入地分析用户行为。这种主动检测引擎识别出不寻常的群组消息模式或通过基本检查的请求。对用户交互元数据的彻底检查将捕获甚至这种偷偷摸摸的方法。"

参考链接：https://www.infosecurity-magazine.com/news/scammers-exploit-microsoft365/

政府威胁情报

卡巴斯基揭露EAGERBEE后门对中东ISP和政府机构的网络间谍活动EAGERBEE后门, 卡巴斯基实验室

事件概述：

卡巴斯基实验室发现了一场复杂的网络间谍活动，利用EAGERBEE后门渗透中东的互联网服务提供商(ISP)和政府机构。EAGERBEE后门引入了一系列恶意活动插件，包括文件系统操纵、远程访问管理和进程探索。攻击者利用DLL劫持技术部署恶意软件，利用合法的Windows服务，如SessionEnv来执行后门注入器tsvipsrv.dll和负载文件ntusers0.dat。一旦部署，后门会收集大量的系统信息，如本地计算机的NetBIOS名称、操作系统详情和网络地址，并与命令和控制(C2)服务器建立通信。

EAGERBEE后门的插件通过一个名为ssss.dll的专门模块进行协调，该模块在内存中运行以规避检测。这些插件使攻击者能够操纵文件、管理进程并保持持久的远程访问。卡巴斯基的研究揭示了EAGERBEE和CoughingDown恶意软件框架之间的重大重叠。尽管有这些发现，但归因仍然不确定。卡巴斯基总结说："恶意软件框架继续发展，威胁行为者开发越来越复杂的恶意活动工具。"这种复杂的网络间谍活动再次提醒我们，多因素认证、威胁情报共享和自动化安全措施的重要性。

参考链接：https://www.hendryadrian.com/eagerbee-advanced-backdoor-targets-middle-eastern-isps-and-government-entities/

能源威胁情报

阿联酋核能公司涉嫌数据泄露引发担忧勒索软件攻击, ransomhub

事件概述：

阿联酋核能公司（ENEC）被指控数据泄露，引发广泛关注。一名BreachForums成员声称拥有超过5,000份与ENEC相关的敏感文件，这些文件据称于2019年泄露，内容涉及检查报告、安全程序和技术文档等。尽管卖家未公开全部数据，但此类指控已引起核能和网络安全行业的担忧。ENEC尚未对此发布官方声明。泄露事件的时间跨度引发对ENEC信息安全框架的质疑，专家建议重新审视防御措施以防止类似事件。此事件可能对国家安全和全球能源部门产生重大影响，强调了加强关键基础设施网络安全的重要性。

此次数据泄露事件凸显了多因素认证、威胁情报共享和自动化安全措施的重要性。首先，多因素认证可以有效防止未经授权的访问，保护敏感信息。其次，威胁情报共享有助于各组织及时了解潜在威胁，采取预防措施。最后，自动化安全措施能够快速响应安全事件，减少人为错误的可能性。ENEC事件表明，尽管事件发生在数年前，旧有漏洞仍可能带来灾难性后果。因此，管理关键基础设施的实体必须采取主动的网络安全策略，以应对日益复杂的威胁环境。

参考链接：https://cyberpress.org/emirates-nuclear-energy-corporation-breach/

工业威胁情报

泰国Rotary Engineering公司遭受勒索软件攻击勒索软件攻击, ransomhub

事件概述：

据报道，位于泰国曼谷的Rotary Engineering Thailand Co. Ltd公司近日遭受了一场勒索软件攻击。该公司主要提供一系列的工业系统服务和解决方案，包括系统集成服务、控制系统的设计和制造以及仪器安装。此次的攻击者为已知的网络犯罪团伙ransomhub，他们专门从事针对各种行业的勒索软件攻击。

Rotary Engineering Thailand Co. Ltd公司是一家位于泰国曼谷的公司，专门提供一系列的工业系统服务和解决方案。他们的服务包括系统集成服务、控制系统的设计和制造以及仪器安装。他们还提供电气安装、机械安装和面板建设服务。然而，他们最近遭受了一场勒索软件攻击，攻击者是一个名为ransomhub的网络犯罪团伙。ransomhub是一个已知的网络犯罪团伙，他们专门从事针对各种行业的勒索软件攻击。他们的目标不仅包括泰国，还包括其他国家和地区。这次攻击再次提醒我们，无论是大公司还是小公司，都需要对网络安全问题保持高度的警惕。只有这样，才能有效地防止类似的网络攻击，保护公司的资产和信息安全。

参考链接：https://www.hendryadrian.com/ransom-www-rotaryeng-co-th/

流行威胁情报

PLAYFULGHOST后门支持多种信息窃取功能PLAYFULGHOST, Gh0st RAT

事件概述：

Google研究人员分析了一种名为PLAYFULGHOST的新型恶意软件家族，该软件支持多种功能，包括键盘记录、屏幕和音频捕获、远程shell和文件传输/执行。PLAYFULGHOST后门与2008年公开发布源代码的Gh0st RAT共享功能。这个后门通过诱骗用户下载恶意软件的"行为准则"主题的钓鱼邮件和通过SEO投毒将恶意代码与LetsVPN等热门应用程序捆绑在一起进行分发。PLAYFULGHOST使用DLL搜索顺序劫持和侧加载来执行恶意DLL。PLAYFULGHOST可以通过运行注册表键、计划任务、启动文件夹和Windows服务等方法保持持久性。后门可以投放额外的有效载荷，阻止输入，清除事件日志，擦除剪贴板，删除浏览器数据，以及删除Skype和Telegram等应用的配置文件。

PLAYFULGHOST是一种新型恶意软件家族，具有键盘记录、屏幕和音频捕获、远程shell和文件传输/执行等功能。这种恶意软件通过钓鱼邮件和SEO投毒等方式分发，具有高度的隐蔽性和攻击性。PLAYFULGHOST使用DLL搜索顺序劫持和侧加载技术，通过复杂的执行场景，如Windows快捷方式和重命名的"curl.exe"来侧加载恶意软件。此外，PLAYFULGHOST还使用了运行注册表键、计划任务、启动文件夹和Windows服务等多种方法来保持其在系统中的持久性。这种恶意软件还可以投放额外的有效载荷，阻止用户输入，清除事件日志，擦除剪贴板，删除浏览器数据，以及删除Skype和Telegram等应用的配置文件，具有极高的破坏性。因此，对于PLAYFULGHOST的防御和应对，需要采取多因素身份验证、威胁情报共享和自动化安全措施等手段，以提高系统的安全性。

参考链接：https://securityaffairs.com/172707/malware/playfulghost-backdoor-capabilities.html

高级威胁情报

朝鲜网络攻击活动针对加密货币公司，利用macOS系统中的隐藏风险恶意软件隐藏风险, macOS

事件概述：

朝鲜支持的黑客团队现在将目标对准加密货币公司，使用名为"隐藏风险"的恶意软件。这种恶意软件攻击Apple macOS设备，并使用钓鱼邮件，通过关于加密趋势的假新闻欺骗人们，传递一个伪装成PDF的恶意应用。自2024年7月以来，他们一直在对DeFi和加密空间的人们进行狡猾的社会工程攻击，通常假装提供工作机会或投资机会，以建立信任，然后用恶意软件攻击他们。这种恶意软件使用了一种新的持久性方法，目标是zshenv配置文件，帮助其躲避macOS安全警报的检测。这实际上是这种技术首次在野外被发现。攻击者还一直在使用像Namecheap这样的域名注册商来建立看似合法的与加密货币和投资相关的基础设施，并利用像Quickpacket和Hostwinds这样的托管服务。

隐藏风险恶意软件对加密货币行业，特别是参与去中心化金融(DeFi)和区块链技术的公司，有严重的影响。通过获得这些公司系统的访问权限，恶意软件使攻击者能够窃取敏感信息，操纵交易，并可能破坏运营。此类违规行为可能导致的财务损失和声誉损害可能是灾难性的，破坏了对数字货币及其相关技术的信任。此外，这个活动强调了macOS系统的漏洞，这些系统传统上被认为比其他操作系统更安全。攻击者绕过Apple的安全措施，如公证和Gatekeeper的能力，突显了在加密空间的macOS用户需要增强安全协议和意识的必要性。鉴于这些发展，组织------特别是在加密货币领域的组织------需要采取主动步骤来提升他们的网络安全措施。这些关键建议包括：加强电子邮件安全：实施先进的电子邮件过滤解决方案，以检测和阻止钓鱼尝试。培训员工识别和报告可疑的电子邮件。定期更新和修补系统：确保所有系统，包括macOS设备，定期更新最新的安全补丁，以防止已知的漏洞。增强用户意识：对所有员工进行定期的网络安全意识培训，强调防范社会工程策略的重要性。部署端点保护：使用强大的端点检测和响应(EDR)解决方案，监控和减轻设备级别的威胁。进行定期的安全审计：进行全面的安全评估，以识别和解决网络和系统中的潜在弱点。实施多因素认证(MFA)：要求使用MFA访问敏感系统和数据，以增加防止未经授权访问的额外安全层。

参考链接：https://www.securemac.com/news/north-korean-cyber-campaign-targets-cryptocurrency-firms

漏洞情报

全球范围内SonicWall NSA设备的关键漏洞被黑客利用SonicWall NSA设备, CVE-2024-40766

事件概述：

2024年9月，SonicWall NSA设备中的一个关键漏洞（CVE-2024-40766）被公开。自那时以来，威胁行动者Akira和Fog据报道利用这个漏洞渗透全球范围内的组织。据Macnica的威胁研究员Yutaka Sejiyama称，通过这个漏洞，有100多家公司可能已经成为这些勒索软件组织的受害者，截至2024年12月底，至少还有48,933台设备仍然处于暴露状态。尽管CVE-2024-40766的补丁已经可用，但是修复工作进展缓慢，至少有48,933台SonicWall设备仍然存在漏洞。

Sejiyama的调查将SonicWall设备与Akira和Fog泄露站点上列出的受害者组织的46%联系起来，这个比例远高于其他勒索软件组织的5%。这个趋势从9月份持续到12月份。由于没有公开的概念验证（PoC）和SonicWall对漏洞利用机制的有限披露，直接归因仍然具有挑战性。通过仔细的侦查和利用未修补的SonicWall NSA设备，攻击者可以获得未授权的访问，窃取凭证，并发起勒索软件攻击。Akira和Fog可能已经多样化了他们的方法以避免被检测，利用漏洞渗透网络并扩大他们的立足点。由于没有果断的行动，这个漏洞的生命周期可能作为Akira，Fog和可能的其他组织的攻击向量延长。

参考链接：https://securityonline.info/thousands-of-sonicwall-devices-remain-vulnerable-to-cve-2024-40766/

勒索专题

SafePay勒索病毒的攻击策略与防范SafePay勒索病毒, 远程桌面协议(RDP)

事件概述：

近期，SafePay勒索病毒引起了安全界的关注，该病毒与LockBit勒索病毒密切相关，并深度借鉴INC和ALPHV/BlackCat等勒索病毒的攻击策略。SafePay在数据窃取阶段，利用已知漏洞或弱口令实施攻击入侵，成功感染目标终端后，通过WinRAR、FileZilla等工具归档、盗取目标文件。在加密部署阶段，SafePay通过远程桌面协议(RDP)访问目标终端，利用PowerShell脚本实施文件加密、禁用恢复和删除卷影副本，对加密文件添加".safepay"扩展名，并留下名为"readme_safepay.txt"的勒索文件。

SafePay勒索病毒在攻击过程中，会通过COM对象技术绕过用户账户控制(UAC)和提升权限，采用禁用Windows Defender、字符串混淆、线程创建、重复安装卸载工具等机制规避检测。这种复杂的攻击策略使得SafePay在一定程度上能够规避传统的安全防护措施。因此，对于此类病毒的防范，除了加强系统的漏洞修复和口令管理，还需要提高对恶意脚本的检测和防护能力，加强对远程桌面协议(RDP)的管理和监控，以及提高对加密文件的恢复能力。同时，应用多因素认证、威胁情报共享和自动化安全措施等技术，也能有效提升对SafePay等勒索病毒的防护能力。

参考链接：https://unsafe.sh/go-286612.html

钓鱼专题

黑客伪装美国社保管理局发起网络钓鱼攻击网络钓鱼活动, ConnectWise远程访问工具

事件概述：

自2024年9月以来，一场网络钓鱼活动正在进行，黑客冒充美国社会保障管理局(SSA)分发ConnectWise远程访问工具(RAT)，以此侵入受害者设备并窃取敏感信息。这场活动利用了复杂的品牌冒充和规避技术，欺骗用户下载恶意软件。黑客伪装SSA的通信，分发RAT，针对毫无戒心的用户。电子邮件包含看似合法的链接，但实际上会导致恶意下载。一次性使用的有效载荷将首次访问者重定向到恶意软件，同时通过合法页面掩盖后续访问。钓鱼页面请求敏感的个人信息，从而促成身份欺诈。活动策略已经演变为包括动态DNS服务和攻击者托管的域用于命令和控制操作。

这场网络钓鱼活动的手法复杂，具有高度的欺骗性。黑客通过伪装SSA的官方通信，诱导用户点击链接下载ConnectWise RAT安装程序，从而控制受害者的系统。攻击者使用SSA的品牌标志和图像来增加电子邮件的可信度。通过将这些与链接不匹配的文本（看似指向官方网站，但实际上重定向到恶意域）配对，他们创建了令人信服的钓鱼尝试。一个特别令人担忧的策略是一次性使用有效载荷。首次访问恶意链接的访问者会被重定向到RAT安装程序，而后续访问则会导向合法的SSA页面。这种策略使用浏览器cookies来识别重复访问，有效地绕过安全研究人员和自动防御。一旦恶意软件被传送，受害者通常会被重定向到请求个人和财务信息的钓鱼页面，包括社会保障号码、母亲的婚前姓、电话运营商PIN和信用卡详情。此外，嵌入在钓鱼电子邮件中的后续任务，例如"I Have Opened the File"按钮，会提示受害者采取进一步的步骤，增加他们受到攻击的风险。点击此按钮会将用户重定向到凭证钓鱼页面，加剧了损害。

参考链接：https://www.hendryadrian.com/hackers-exploit-social-security-administration-branding-to-deliver-connectwise-rat/

数据泄露专题

【数据泄露专题】

德国食品生产公司Vossko GmbH遭Blackbasta勒索软件攻击Blackbasta勒索软件, 网络安全

事件概述：

2024年12月4日，德国冷冻和冷藏便利食品生产公司Vossko GmbH & Co. KG遭到了Blackbasta勒索软件的攻击。该公司主要专注于生产家禽、牛肉、猪肉以及素食和纯素食品选项。Vossko GmbH & Co. KG在1982年由Bernhard和Maria Vosskötter创立，总部位于德国北莱茵-威斯特法伦州的Ostbevern，并在巴西Santa Catarina州的Lages设有第二个设施。据报道，此次攻击导致约800GB的数据被泄露，包括财务数据、员工个人数据、项目信息以及个人文件等等。

此次事件再次凸显出网络安全在现代企业运营中的重要性。尽管Vossko GmbH & Co. KG是一家专注于食品生产的公司，但它也无法避免成为网络攻击的目标。这次攻击导致大量敏感数据泄露，可能会对公司的运营和声誉造成严重影响。这也再次提醒我们，任何企业都应该重视网络安全，投入必要的资源来保护自己的数据和信息系统。此外，这次事件也显示出多因素认证、威胁情报共享和自动化安全措施的重要性。只有通过这些技术手段，企业才能有效地防止类似的网络攻击，保护自己的数据和信息系统免受损害。

参考链接：https://www.ransomware.live/id/dm9zc2tvLmRlQGJsYWNrYmFzdGE=