Emansrepo信息窃取程序：FortiGuard追踪其重大攻击链

首页 > 清静研究 > 清静转达 > 清静简讯

Emansrepo信息窃取程序：FortiGuard追踪其重大攻击链

宣布时间 2024-09-05

1. Emansrepo信息窃取程序：FortiGuard追踪其重大攻击链

9月3日，FortiGuard实验室的网络清静专家正细密追踪一种名为“Emansrepo”的基于Python的信息窃取程序，该程序自2023年11月曝光以来，通过伪装采购订单和发票的网络垂纶邮件撒播，构建出三条重大多变的攻击路径。这些路径划分接纳AutoIt编译的可执行文件、HTA文件及BatchShield混淆的批处置惩罚文件作为载体，每种手段均旨在绕过清静检测，最终执行恶意Python剧本以窃取敏感信息。Emansrepo从最初的登录凭证、信用卡信息网络，已生长到能窃取PDF文档、浏览器扩展、加密钱币钱包及游戏平台数据等更普遍规模。别的，实验室还注重到与Emansrepo运动相似的Remcos恶意软件撒播，体现背后可能有统一威胁组织。鉴于攻击者手艺的一直升级与多样化，各组织需坚持高度小心，接纳起劲自动的网络清静防御战略，以有用应对日益重大的网络威胁情形。

https://securityonline.info/emansrepo-stealer-a-multi-faceted-threat-evolving-in-complexity/

2. 新勒索软件变种Underground与RomCom组织关联

9月3日，FortiGuard Labs揭破了一种新型勒索软件变种Underground，它与污名昭著的俄罗斯黑客组织RomCom（又名Storm-0978）细密相关。这款恶意软件自2023年7月起肆虐，重点攻击修建、制药、银行及制造业等多个要害行业，通过加密受害者Windows系统上的文件来勒索赎金。RomCom组织不但使用Microsoft Office和Windows HTML的已知误差（如CVE-2023-36884）入侵，还可能接纳垂纶邮件和购置初始会见权限等通例手段。Underground入侵后，会迅速禁用清静机制，扫除影子副本和日志纪录，悄无声息地加密文件，并留下一张名为“!!readme!!!.txt”的勒索信，要求支付解密用度，其奇异之处在于不改变文件扩展名，增添了识别难度。更令人担心的是，该组织运营一个数据泄露网站，果真拒绝支付赎金的受害者信息，进一步施压。现在，Underground的攻击规模已扩展至全球，数据泄露网站已列出16个国家的受害者名单，涵盖美、法、德、西、韩、台、新及加等地。别的，该组织还使用Telegram和Mega云存储服务扩大其影响力，撒播窃取的数据。

https://securityonline.info/romcom-groups-underground-ransomware-exploits-microsoft-zero-day-flaw/

3. 超2.2万软件包面临Revival Hijack的危害

9月4日，一种名为“Revival Hijack”的新型供应链攻击手艺正威胁着Python软件包索引（PyPI）的清静，该手艺已被发明并被用于实验渗透下游组织。JFrog清静公司指出，该手艺能挟制凌驾2.2万个现有PyPI软件包，已导致数十万次恶意下载，影响规模普遍。攻击者使用PyPI的政策误差，在软件包被原所有者删除后重新注册并上传恶意版本，使用用户可能保存的拼写过失或信托惯性，诱导下载。与古板域名抢注差别，Revival Hijack专注于已删除的软件包，每月约有309个软件包因此变得懦弱。这些软件包因缺乏维护、更名或功效整合而被移除，却为攻击者提供了可乘之机。JFrog数据显示，攻击者能悄无声息地替换软件包，甚至通过“pip install -upgrade”下令将正当软件包替换为恶意版本，而开发者毫无察觉。尤为严重的是，一个名为Jinnis的威胁行为者已现实使用该手艺。企业和开发者需增强小心，检查DevOps管道，确保不装置已删除的软件包，并接纳须要步伐�；ぷ陨砻馐艽死嘈剖忠盏乃鸷�。

https://www.trendmicro.com/en_us/research/24/i/earth-lusca-ktlvdoor.html

4. 蒙大拿州妄想生育协会遭RansomHub勒索软件攻击

9月4日，蒙大拿州妄想生育协会近期遭遇了网络攻击，勒索软件组织RansomHub声称已侵入其系统并窃取93GB数据，威胁若不支付赎金将果真数据。该非营利组织迅速响应，将部分网络离线并征召联邦执法和信息清静专家协助视察与重修IT情形。美国妄想生育办公室首席执行官玛莎·富勒确认了这一“网络清静事务”，并谢谢团队的不懈起劲以恢复系统和视察事务。只管富勒未透露详细数据泄露情形，但确认已向联邦执法部分报告并追求支持。值得注重的是，此次攻击爆发前，FBI等已宣布关于RansomHub活跃性的清静警报，指出其自2月以来已导致至少210名受害者，涵盖多个要害基础设施领域。此次针对提供生殖保健服务的非营利组织的攻击，被视为尤为卑劣的行为。

https://www.theregister.com/2024/09/04/planned_parenthood_cybersecurity_incident/

5. 黑客组织团结对法发动DDoS攻击，要求释放Telegram首创人

9月4日，Telegram 首席执行官帕维尔·杜罗夫被捕后，一系列黑客组织迅速集结，提倡名为 #FreeDurov 或 #OpDurov 的全球网络行动，矛头直指法国，通过实验大规模的漫衍式拒绝服务（DDoS）攻击和黑客手艺入侵，对凌驾50个法国政府机构、医疗机构、交通枢纽、教育机构及私营企业提倡挑战。这些黑客组织，包括俄罗斯网络军重生（CARR）、RipperSec、EvilWeb、CyberDragon 等，大都具有亲俄或亲伊斯兰倾向，他们使用自身手艺资源和 Telegram 平台普遍发动，要求法国释放杜罗夫。CARR 作为此次行动的领头羊，依附其与俄罗斯军事情报部分的联系及重大的社群基础，针对多个法国主要机构发动攻击。RipperSec 等组织也不甘落伍，接纳专业工具如 MegaMedusa 对法国司法和警方系统实验强烈攻击。黑客们不但通过 DDoS 攻击瘫痪目的网站，还声称入侵并窃取了部分敏感数据，在 Telegram 上炫耀战果。只管念头各异，从支持杜罗夫小我私家到维护 Telegram 的运营清静，但配合的诉求是促使法国政府重新思量其行动。

https://hackread.com/ddos-attacks-france-telegrams-pavel-durov-arrest/

6. MacroPack工具遭滥用，多国发明恶意文档

9月4日，MacroPack是一款原为红队演练设计的工具，近期被不法分子滥用，用于撒播Havoc、Brute Ratel和PhatomCore等恶意负载，影响规模波及多个国家和地区。该工具由法国开发者Emeric Nasi开发，具备反恶意软件绕过、代码混淆等高级功效，使得构建隐藏的恶意文档成为可能。Cisco Talos的研究展现，这些恶意文档通过VirusTotal平台提交的样本显示出高度多样性，包括差别诱饵、庞洪水平和熏染手段，批注MacroPack已成为黑客攻击的新宠。被捕获的恶意样本中，均留有MacroPack建设的特征，如马尔可夫链命名的函数和变量、删除注释及空格以镌汰静态剖析检测等。受害者一旦翻开这些伪装成加密表格、军事通知或就业确认书的Office文档，便会触发VBA代码，加载恶意DLL并毗连到攻击者的C2服务器。差别地区的攻击案例各具特色：美国案例中，恶意文档伪装成加密更新表格，使用mshta.exe下载未知载荷；俄罗斯案例中，Excel事情簿妄想下载PhantomCore后门；巴基斯坦案例中，则以军事相关主题伪装，使用HTTPS DNS和亚马逊CloudFront通讯，甚至嵌入Adobe Experience Cloud跟踪代码。

https://www.bleepingcomputer.com/news/security/red-team-tool-macropack-abused-in-attacks-to-deploy-brute-ratel/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究