Emansrepo信息窃取程序：FortiGuard追踪其重大攻击链

首页 > 清静研究 > 清静转达 > 清静简讯

Emansrepo信息窃取程序：FortiGuard追踪其重大攻击链

宣布时间 2024-09-05

1. Emansrepo信息窃取程序：FortiGuard追踪其重大攻击链

9月3日，，，FortiGuard实验室的网络清静专家正细密追踪一种名为“Emansrepo”的基于Python的信息窃取程序，，，该程序自2023年11月曝光以来，，，通过伪装采购订单和发票的网络垂纶邮件撒播，，，构建出三条重大多变的攻击路径。。。。。。这些路径划分接纳AutoIt编译的可执行文件、HTA文件及BatchShield混淆的批处置惩罚文件作为载体，，，每种手段均旨在绕过清静检测，，，最终执行恶意Python剧本以窃取敏感信息。。。。。。Emansrepo从最初的登录凭证、信用卡信息网络，，，已生长到能窃取PDF文档、浏览器扩展、加密钱币钱包及游戏平台数据等更普遍规模。。。。。。别的，，，实验室还注重到与Emansrepo活动相似的Remcos恶意软件撒播，，，体现背后可能有统一威胁组织。。。。。。鉴于攻击者手艺的一直升级与多样化，，，各组织需坚持高度小心，，，接纳起劲自动的网络清静防御战略，，，以有用应对日益重大的网络威胁情形。。。。。。

https://securityonline.info/emansrepo-stealer-a-multi-faceted-threat-evolving-in-complexity/

2. 新勒索软件变种Underground与RomCom组织关联

9月3日，，，FortiGuard Labs揭破了一种新型勒索软件变种Underground，，，它与污名昭著的俄罗斯黑客组织RomCom（又名Storm-0978）细密相关。。。。。。这款恶意软件自2023年7月起肆虐，，，重点攻击修建、制药、银行及制造业等多个要害行业，，，通过加密受害者Windows系统上的文件来勒索赎金。。。。。。RomCom组织不但使用Microsoft Office和Windows HTML的已知误差（如CVE-2023-36884）入侵，，，还可能接纳垂纶邮件和购置初始会见权限等通例手段。。。。。。Underground入侵后，，，会迅速禁用清静机制，，，扫除影子副本和日志纪录，，，悄无声息地加密文件，，，并留下一张名为“!!readme!!!.txt”的勒索信，，，要求支付解密用度，，，其奇异之处在于不改变文件扩展名，，，增添了识别难度。。。。。。更令人担心的是，，，该组织运营一个数据泄露网站，，，果真拒绝支付赎金的受害者信息，，，进一步施压。。。。。。现在，，，Underground的攻击规模已扩展至全球，，，数据泄露网站已列出16个国家的受害者名单，，，涵盖美、法、德、西、韩、台、新及加等地。。。。。。别的，，，该组织还使用Telegram和Mega云存储效劳扩大其影响力，，，撒播窃取的数据。。。。。。

https://securityonline.info/romcom-groups-underground-ransomware-exploits-microsoft-zero-day-flaw/

3. 超2.2万软件包面临Revival Hijack的危害

9月4日，，，一种名为“Revival Hijack”的新型供应链攻击手艺正威胁着Python软件包索引（PyPI）的清静，，，该手艺已被发明并被用于实验渗透下游组织。。。。。。JFrog清静公司指出，，，该手艺能挟制凌驾2.2万个现有PyPI软件包，，，已导致数十万次恶意下载，，，影响规模普遍。。。。。。攻击者使用PyPI的政策误差，，，在软件包被原所有者删除后重新注册并上传恶意版本，，，使用用户可能保存的拼写过失或信任惯性，，，诱导下载。。。。。。与古板域名抢注差别，，，Revival Hijack专注于已删除的软件包，，，每月约有309个软件包因此变得懦弱。。。。。。这些软件包因缺乏维护、更名或功效整合而被移除，，，却为攻击者提供了可乘之机。。。。。。JFrog数据显示，，，攻击者能悄无声息地替换软件包，，，甚至通过“pip install -upgrade”下令将正当软件包替换为恶意版本，，，而开发者毫无察觉。。。。。。尤为严重的是，，，一个名为Jinnis的威胁行为者已现实使用该手艺。。。。。。企业和开发者需增强小心，，，检查DevOps管道，，，确保不装置已删除的软件包，，，并接纳须要步伐�；；；；；ぷ陨砻馐艽死嘈剖忠盏乃鸷�。。。。。。

https://www.trendmicro.com/en_us/research/24/i/earth-lusca-ktlvdoor.html

4. 蒙大拿州妄想生育协会遭RansomHub勒索软件攻击

9月4日，，，蒙大拿州妄想生育协会近期遭遇了网络攻击，，，勒索软件组织RansomHub声称已侵入其系统并窃取93GB数据，，，威胁若不支付赎金将果真数据。。。。。。该非营利组织迅速响应，，，将部分网络离线并征召联邦执法和信息清静专家协助视察与重修IT情形。。。。。。美国妄想生育办公室首席执行官玛莎·富勒确认了这一“网络清静事务”，，，并谢谢团队的不懈起劲以恢复系统和视察事务。。。。。。只管富勒未透露详细数据泄露情形，，，但确认已向联邦执法部分报告并追求支持。。。。。。值得注重的是，，，此次攻击爆发前，，，FBI等已宣布关于RansomHub活跃性的清静警报，，，指出其自2月以来已导致至少210名受害者，，，涵盖多个要害基础设施领域。。。。。。此次针对提供生殖保健效劳的非营利组织的攻击，，，被视为尤为卑劣的行为。。。。。。

https://www.theregister.com/2024/09/04/planned_parenthood_cybersecurity_incident/

5. 黑客组织联合对法发动DDoS攻击，，，要求释放Telegram首创人

9月4日，，，Telegram 首席执行官帕维尔·杜罗夫被捕后，，，一系列黑客组织迅速集结，，，提倡名为 #FreeDurov 或 #OpDurov 的全球网络行动，，，矛头直指法国，，，通过实验大规模的漫衍式拒绝效劳（DDoS）攻击和黑客手艺入侵，，，对凌驾50个法国政府机构、医疗机构、交通枢纽、教育机构及私营企业提倡挑战。。。。。。这些黑客组织，，，包括俄罗斯网络军重生（CARR）、RipperSec、EvilWeb、CyberDragon 等，，，大都具有亲俄或亲伊斯兰倾向，，，他们使用自身手艺资源和 Telegram 平台普遍发动，，，要求法国释放杜罗夫。。。。。。CARR 作为此次行动的领头羊，，，依附其与俄罗斯军事情报部分的联系及重大的社群基础，，，针对多个法国主要机构发动攻击。。。。。。RipperSec 等组织也不甘落伍，，，接纳专业工具如 MegaMedusa 对法国司法和警方系统实验强烈攻击。。。。。。黑客们不但通过 DDoS 攻击瘫痪目的网站，，，还声称入侵并窃取了部分敏感数据，，，在 Telegram 上炫耀战果。。。。。。只管念头各异，，，从支持杜罗夫小我私家到维护 Telegram 的运营清静，，，但配合的诉求是促使法国政府重新思量其行动。。。。。。

https://hackread.com/ddos-attacks-france-telegrams-pavel-durov-arrest/

6. MacroPack工具遭滥用，，，多国发明恶意文档

9月4日，，，MacroPack是一款原为红队演练设计的工具，，，近期被不法分子滥用，，，用于撒播Havoc、Brute Ratel和PhatomCore等恶意负载，，，影响规模波及多个国家和地区。。。。。。该工具由法国开发者Emeric Nasi开发，，，具备反恶意软件绕过、代码混淆等高级功效，，，使得构建隐藏的恶意文档成为可能。。。。。。Cisco Talos的研究展现，，，这些恶意文档通过VirusTotal平台提交的样本显示出高度多样性，，，包括差别诱饵、庞洪水平和熏染手段，，，批注MacroPack已成为黑客攻击的新宠。。。。。。被捕获的恶意样本中，，，均留有MacroPack建设的特征，，，如马尔可夫链命名的函数和变量、删除注释及空格以镌汰静态剖析检测等。。。。。。受害者一旦翻开这些伪装成加密表格、军事通知或就业确认书的Office文档，，，便会触发VBA代码，，，加载恶意DLL并毗连到攻击者的C2效劳器。。。。。。差别地区的攻击案例各具特色：美国案例中，，，恶意文档伪装成加密更新表格，，，使用mshta.exe下载未知载荷；；；；；俄罗斯案例中，，，Excel事情簿妄想下载PhantomCore后门；；；；；巴基斯坦案例中，，，则以军事相关主题伪装，，，使用HTTPS DNS和亚马逊CloudFront通讯，，，甚至嵌入Adobe Experience Cloud跟踪代码。。。。。。

https://www.bleepingcomputer.com/news/security/red-team-tool-macropack-abused-in-attacks-to-deploy-brute-ratel/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

凯旋国际游戏

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系凯旋国际游戏

清静研究