【恶意软件威胁情报】 PurpleFox武器库新增FoxSocket新后门 2021 年 9 月，研究人员调查了运营PurpleFox工具包的攻击者的可疑活动，发现攻击者在其更新的武器库中增加了一个附加漏洞 (CVE-2021-1732) 并且优化了 rootkit 功能。研究人员还在入侵过程中发现了一个用 .NET 编写的新后门，并将其称之为 FoxSocket，该后门利用 WebSockets 与其命令和控制服务器进行通信。研究人员认为，FoxSocket目前针对的是中东地区的用户。 参考链接：https://ti.dbappsecurity.com.cn/info/2650 BazarLoader恶意软件通过多种方式进行传播 BazarLoader是一种基于windows的恶意软件，可以通过包括电子邮件在内的各种方式传播。攻击者可以利用后门访问来确定主机是否属于Active Directory(AD)环境的一部分。如果属于AD环境，犯罪分子就会部署CobaltStrike，并进行侦察以绘制网络地图。如果侦查的结果显示，当前访问的环境是一个高价值的目标，攻击者就会尝试横向移动，部署勒索软件，包括Conti或Ryuk。 参考链接：https://ti.dbappsecurity.com.cn/info/2654 【热点事件威胁情报】 东京奥运会期间遭遇约4.5亿次网络攻击 10月21日，东京奥运会和残奥会的电信服务合作伙伴NTT Corporation表示，在奥运会举办期间，相关基础设施共遭遇约4.5亿次网络攻击，但所有攻击都被成功阻止，因此未对奥运会造成干扰。 奥运会一直是攻击者针对的目标，伦敦奥运会期间，仅官方网站就受到了约2亿次攻击，所有相关机构共受到23亿次攻击。平昌冬奥会期间，约有6亿起网络攻击，俄罗斯黑客在平昌奥运会开幕式期间部署了OlympicDestroyer恶意软件并损坏了网络服务器。尽管有多次攻击尝试，但NTT通过情报收集、模拟攻击演练等多种努力实现了奥运会的稳定运营。 参考链接：https://ti.dbappsecurity.com.cn/info/2658 REvil勒索团伙服务器遭入侵，再次关闭运营 REvil组织是一个勒索软件即服务（RaaS）组织，近年来发起一系列网络攻击，包括对Kaseya、宏碁、JBS、广达电脑等公司的攻击。7月13日，该组织在针对 Kaseya 服务器发起大规模勒索软件攻击后关闭了其网络基础设施。随后于9月7日卷土重来。而近日，由于Tor支付站点和用于泄露数据的网站遭到入侵，该组织似乎又一次关闭了运营。 目前尚不清楚此次REvil服务器入侵事件的幕后黑手。勒索软件团体以新的名称发展、分裂或重组的情况并不少见，REvil组织此次关闭运营也并不意味着永远消失，该组织很可能很快就以新的名称回归，继续发起勒索软件攻击。 参考链接：https://ti.dbappsecurity.com.cn/info/2632 美国Sinclair媒体公司遭到攻击，导致部分电视广播中断 10月17日，Sinclair广播集团旗下位于美国各地的频道出现了故障，公司称其为技术问题，但消息人士表示，故障是勒索软件攻击造成的。攻击发生在凌晨，导致其内部网络、电子邮件系统、电话系统和广播系统中断。来自观众和电视频道的大量推文表示，由于此次攻击，许多频道无法正常播放早间节目、新闻片段和NFL比赛。 参考链接：https://ti.dbappsecurity.com.cn/info/2635 漏洞军火商Zerodium正在寻求Windows VPN客户端零日漏洞 10月19日，漏洞军火商Zerodium表示正在寻求针对市场上三个流行的虚拟专用网络(VPN)服务提供商的零日漏洞。Zerodium寻求的目标的是影响Windows客户端NordVPN、ExpressVPN和SurfShark VPN服务的漏洞。这几家公司共同服务着数百万用户，管理着分布在数十个国家的 11,000 多台服务器。据报道，NordVPN和ExpressVPN曾声称在全球拥有至少1700万用户。 参考链接：https://ti.dbappsecurity.com.cn/info/2656 【金融行业威胁情报】 JSOUTPROX RAT以印度银行和金融公司为目标 JSOutProx 是一种基于 JScript 的模块化 RAT，于2019年首次被发现，以 .hta 文件的形式提供给用户，并首先由 mshta.exe 进程执行。研究人员发现了攻击者使用JSOutProx恶意软件，针对印度银行业和金融行业展开的攻击活动。攻击者使用 JavaScript、Jscript 或基于 Java 的恶意软件，不断发明新方法，使用不同的混淆技术绕过静态检测。研究人员预计，未来还会有更多此类攻击，因此建议金融行业从业人员对此类攻击活动保持警惕。 参考链接：https://ti.dbappsecurity.com.cn/info/2657 Operation EICAR（EICAR Group）：针对证券金融行业的定向攻击活动 研究人员发现一个专门针对金融、证券、软件、游戏等行业进行攻击的APT组织，该团伙的主要目的为敛财和发起供应链攻击，盗用了大量的证券服务和软件公司的白证书，样本较为轻量化，外加带有窃取而来的白签名，免杀效果极好，较难发现。该团伙最晚于2019年末开始活跃，具有很强的渗透能力，代码能力较弱，研究人员将该团伙命名为EICAR Group。 参考链接：https://ti.dbappsecurity.com.cn/info/2633 【通信行业威胁情报】 LightBasin黑客组织针对全球电信公司展开攻击活动 LightBasin又名UNC1945，自2016年以来开始活跃，一直在攻击世界各地的移动电信系统。自2019年以来，该组织入侵了十几家电信公司，在受害者系统部署SLAPSTICK、PingPong等恶意软件。鉴于电信公司内部可能包含重要的情报价值，保护电信基础设施至关重要。 参考链接：https://ti.dbappsecurity.com.cn/info/2648 【勒索专题】 美国发布防范BlackMatter勒索软件攻击的联合警报 10月18日，网络安全和基础设施安全局 (CISA)、联邦调查局 (FBI) 和国家安全局 (NSA)发布联合警报，提供了BlackMatter勒索软件的TTP信息，并分享了应对勒索软件威胁的缓解措施。 参考链接：https://ti.dbappsecurity.com.cn/info/2645 小型勒索团伙运营方式揭秘：重用泄露源码和构建器发起勒索软件攻击 大型勒索软件运营商每年都通过恶意活动赚取数百万美元的不义之财，而勒索到的大部分赎金随后将被用于构建和维护勒索团伙的网络工具库，这使得成功的网络犯罪团伙的武器越来越先进。对于小型勒索软件运营商而言，他们没有创建自己的破坏性恶意软件的技能，也没有购买所需产品的财务实力，无法建立同样有效的攻击链。与大型勒索团伙相比，他们获得非法利润的机会要少得多。研究人员分析了小型勒索软件的运营方式，发现有许多小型的威胁组织，通过寻找泄漏的恶意软件源代码和构建器并进行再利用，发起勒索软件攻击。 参考链接：https://ti.dbappsecurity.com.cn/info/2653 研究人员发布BlackByte勒索软件解密器 BlackByte是一种独特的勒索软件，使用原始密钥和高级加密标准 (AES) 来加密受害者的文件，这意味着拥有原始密钥的任何人都能够解密数据。10月15日，安全研究公司发布了BlackByte勒索软件的分析报告，并发布了针对该软件的免费解密器，受害者可以通过解密器免费恢复他们的文件。 参考链接：https://ti.dbappsecurity.com.cn/info/2655 使用双重勒索策略的AtomSilo勒索软件 AtomSilo是一种新发现的勒索软件，于 2021 年 9 月左右出现。AtomSilo勒索软件使用双重勒索策略，除了加密文件勒索赎金外，还会威胁称要公开发布从受害者系统窃取的数据。AtomSilo第一次在数据泄露网站上发布的受害者数据来自一家巴西制药公司。AtomSilo 发布了大约 900 GB 的数据。 参考链接：https://ti.dbappsecurity.com.cn/info/2637 快速迭代的Karma勒索软件 Karma是一种相对较新的勒索软件，于2021年6月首次被发现，与JSWorm恶意软件及其相关勒索软件家族（包括 NEMTY、Neflim 和 GangBang）存在相似之处。Karma组织开发迅速，经常在同一天构建多个版本的变体，针对不同行业的众多组织发起攻击。Karma 家族在最近几个月的快速迭代表明攻击者正在积极开发，并很可能在未来发起更广泛的攻击活动。 参考链接：https://ti.dbappsecurity.com.cn/info/2642 【攻击团伙威胁情报】 FIN7组织伪装成安全公司，意图招募员工发起勒索攻击 FIN7组织又名“Carbanak”，于2015年首次出现，是一个以经济收益为动机的威胁组织。研究人员发现，FIN7 黑客组织创建并运营了一家名为“Bastion Secure”的网络安全公司，招募不知情的 IT 专家，试图加入高利润的勒索软件领域。 参考链接：https://ti.dbappsecurity.com.cn/info/2659 TA505组织通过大规模电子邮件活动传播FlawedGrace新变体 TA505是一个出于经济动机的威胁组织，至少自 2014 年以来一直活跃，武器库包含Dridex 银行木马、FlawedAmmyy、FlawedGrace、Neutrino僵尸网络和 Locky 勒索软件。2021年9月初，TA505组织发起了大规模电子邮件攻击活动，传播 FlawedGrace新变种。最初活动的数量相对较小，每次发送数千封电子邮件，并传播恶意的 Excel 附件。9 月下旬和 2021 年 10 月上旬，TA505开始向更多行业发送数万封电子邮件，攻击范围从北美地区扩展到了德国和奥地利。 参考链接：https://ti.dbappsecurity.com.cn/info/2649 疑似亲巴基斯坦的攻击者，针对阿富汗和印度实体进行攻击活动 疑似亲巴基斯坦的攻击者，针对阿富汗和印度实体进行攻击活动研究人员观察到了针对阿富汗和印度的攻击活动。攻击者使用政治和政府为主题的恶意域，利用恶意 RTF 文件向受害者提供各种商品恶意软件。该活动分为侦察阶段和攻击阶段，攻击者在初始侦察阶段使用自定义文件枚举器和感染器，在攻击阶段部署dcRAT 和 QuasarRAT等恶意软件。攻击者注册了多个具有政治和政府主题的域，部分域还包含与阿富汗实体相关的主题。研究人员以高置信度评估，此次恶意活动由一个ID为“AR Bunse”的攻击者发起，这名攻击者伪装成一个巴基斯坦 IT 公司的所有者，进行恶意软件活动。 参考链接：https://ti.dbappsecurity.com.cn/info/2651 【恶意活动威胁情报】 基于AllBlock恶意扩展程序的广告注入活动 研究人员发现了一个新的广告注入活动，该活动基于一个名为AllBlock的恶意扩展程序。AllBlock扩展程序伪装成广告拦截器在网站上进行宣传，可以在Chrome和Opera网上商店下载，声称可以屏蔽YouTube和Facebook等网站上的广告。研究人员通过类似的 IP 和域将此活动与较早的PBot活动相关联。 广告注入会使网站性能和用户体验下降，还会导致客户信任度和忠诚度丧失、内容受阻和转化率下降。尽管为广告拦截器提供所需的权限是有意义的，但研究人员强调，用户应该只向真正信任的扩展程序授予权限。 参考链接：https://ti.dbappsecurity.com.cn/info/2636 攻击者使用Cookie Theft恶意软件，针对YouTube用户发起网络钓鱼活动 10 月 20 日，谷歌威胁分析小组发布报告，介绍了针对 YouTube用户的网络钓鱼活动。该活动出于经济动机，涉及约15000个虚假账号和超过100万条针对目标的信息。攻击者使用Cookie Theft恶意软件，通过虚假的合作机会引诱受害者，劫持他们的频道，然后将其在地下市场出售。自2019年底以来，谷歌威胁分析小组已经恢复了约4000个账号。 参考链接：https://ti.dbappsecurity.com.cn/info/2660 【高级威胁情报】 Lazarus组织“AppleJeus Operation”新样本分析 Lazarus APT组织是疑似由朝鲜政府资助的APT团伙，攻击活动最早可追溯到2007年，早期主要针对韩国、美国等政府机构，以窃取敏感情报为目的。研究人员分析了与Lazarus组织相关的新样本。虽然一些细节发生了变化，但当前样本中使用的方法看起来与该组织发起的“AppleJeus”攻击活动的攻击方式非常相似，都使用合法的加密交易应用程序，并且都有一个二级程序，即恶意软件组件。 参考链接：https://ti.dbappsecurity.com.cn/info/2634 Harvester组织使用自定义工具攻击南亚实体 一个新的疑似由国家支持的攻击组织，正在针对以阿富汗为主要目标的南亚组织，使用新工具集进行信息窃取活动，研究人员将该组织追踪为Harvester。Harvester组织的攻击活动始于2021年6月，最近一次活动发生在2021年10月，该组织在其攻击中同时使用了自定义恶意软件和公开可用的工具，目标行业包括电信、政府和IT行业。 参考链接：https://ti.dbappsecurity.com.cn/info/2641 Lyceum组织使用恶意软件新变体发起攻击 Lyceum组织又名Hexane，于2019 年首次被曝光，该组织曾使用各种PowerShell脚本和一种名为“DanBot”的远程管理工具，对中东地区的能源和电信部门发起有针对性的攻击活动。Lyceum组织疑似与APT34组织存在联系，多年来不断发展其武器库，使用的工具从.NET恶意软件改变为使用C++编写的新版本恶意软件。这些新的恶意软件分成两种不同的变体，分别被命名为“James”和“Kevin”。 参考链接：https://ti.dbappsecurity.com.cn/info/2643 Kimsuky组织近期攻击活动分析 Kimsuky APT组织据悉是具有国家背景的先进网络间谍组织，一直针对韩国、俄罗斯等政府机构开展网络威胁间谍活动，窃取高价值情报。近期，研究人员监测到KimsukyAPT组织使用KGH间谍组件、PDF漏洞以及针对韩国新闻工作者的攻击活动。 Kimsuky APT 组织近期一直保持活跃状态，积极进行相关情报搜集工作，其攻击活动呈现多阶段载荷、基础设施高复杂度等特点。Kimsuky 一直在持续开发新的工具以及旧工具的变种，且近期使用多种漏洞针对特定机构进行定向攻击，使用社会工程学方案是 Kimsuky 惯用的攻击手法之一，在整个攻击过程中攻击者使用了多种手段进行反虚拟机、反沙箱、反调试等进行分析对抗。 参考链接：https://ti.dbappsecurity.com.cn/info/2644 BITTER APT组织近期针对军工行业的攻击活动 BITTER组织是疑似具有南亚背景的APT组织，长期针对东亚，南亚等地区进行攻击活动，主要针对政府、军工业、电力、核能等单位进行定向攻击，窃取敏感资料。研究人员捕获了数百个蔓灵花（BITTER）组织在2021年2月到9月的攻击样本。在攻击活动中，攻击者主要以军事、能源、财务等为主题，通过向受害者发送钓鱼邮件，诱使受害者打开包含恶意CHM或RTF的RAR压缩包附件，执行内置的恶意脚本，释放其常用的.NET远控程序。 参考链接：https://ti.dbappsecurity.com.cn/info/2646

10月20日，AvosLocker 勒索软件团伙声称入侵了科技巨头技嘉公司，并泄露了一份样本，其中包含从技嘉的网络中窃取的文件。泄露文件疑似包含有关与第三方公司交易的机密细节，以及有关员工的可识别信息。此次事件为技嘉公司在2021年遭到的第二次勒索攻击。8月初，技嘉曾遭RansomEXX勒索软件攻击，导致112GB 的数据泄露。   简况 下面是 AvosLocker 公告的截图，其中涉及技嘉公司和梭子鱼网络公司之间签署的保密协议 (NDA)：   研究人员查看了泄露的文件“proof.zip”的内容，其中包含以下敏感信息： 信用卡详细信息。幸运的是，此文件夹是 2014 年的，信用卡可能已过期。 密码和用户名详细信息。 员工工资明细。 人力资源协议以及姓名、招聘和简历。 名为“Passports”的文件中包含 10 个 PDF 文档。 超过 1,500 名求职者的信息，包括全名和简历。Zoom 详细信息，其中包含每个候选人的个人信息。 名为“Mailchimp”的文件夹，其中包含GSM帐户数据库信息，可能包括电子邮件地址。 一个 zip 文件夹，其中包含与梭子鱼网络签署的保密协议和价值 100,000 美元以上的交易信息。 除了梭子鱼网络，此次泄露的数据还包括来自以下知名公司的各种数据：Amazon, BestBuy, Black Magic, Blizzard, Intel和Kingston。 一个名为“Tree”的 .txt 文件，其中包含 133,352 行文件夹和在违规中被盗的文件名。 来自“夏威夷 2019”等旅行的业务费用。 公司活动的图片，包括圣诞派对、万圣节派对和“托尼的生日”。   技嘉为 AMD 和 Intel 平台设计和制造主板，还与 AMD 和 Nvidia 合作生产显卡和笔记本电脑，包括 Nvidia 的 Turing 芯片组以及 AMD 的 Vega 和 Polaris 芯片组。研究人员称，如果泄漏的信息包括技嘉的主密钥，则攻击者就可以冒充技嘉公司，使用密钥来强制硬件下载虚假驱动程序、BIOS 更新等，这种情况可能导致类似于SolarWinds供应链攻击的事件。但幸运的是，技术专家只能找到两个 .key 文件和几个 .crt 文件，这可能表明此次事件泄露的数据不包含来自安全技术部门的数据，或涉及很少的安全部门的数据。   总结 目前，技嘉公司尚未对此次事件作出回应。在大多数双重勒索计划中，窃取数据的重点是数量而不是质量。而此次攻击中，攻击者窃取的文件似乎是对网络犯罪分子有价值的数据类型，这表明攻击者更关注质量。此外，合同细节的失窃无疑会损害与供应商的关系，给技嘉造成重大的声誉损失。

10 月 20 日，谷歌威胁分析小组发布报告，介绍了针对 YouTube用户的网络钓鱼活动。该活动出于经济动机，涉及约15000个虚假账号和超过100万条针对目标的信息。攻击者使用Cookie Theft恶意软件，通过虚假的合作机会引诱受害者，劫持他们的频道，然后将其在地下市场出售。自2019年底以来，谷歌威胁分析小组已经恢复了约4000个账号。   简况 Cookie Theft又名 “pass-the-cookie attack”，是一种会话劫持技术，可以使用存储在浏览器中的会话 cookie 访问用户帐户。黑客通过电子邮件与受害者联系，提供各种类型的虚假合作机会，YouTube 用户通常会被这种潜在的赞助交易诱惑。受害者被要求安装和测试各种应用程序，然后发表评论。网络钓鱼电子邮件示例如下图： 这些提议中使用的应用程序通常涉及防病毒软件、VPN 客户端、音乐播放器、照片编辑器、PC 优化器或在线游戏。但攻击者在用户不知情的情况下，将Cookie Theft恶意软件隐藏在应用程序中。一旦 YouTube 创建者安装并运行了伪造的应用程序，cookie 窃取恶意软件就会执行，从受害者的机器上获取浏览器 cookie 并将它们上传到攻击者的命令和控制服务器。   随后，攻击者会使用各种类型的恶意软件。一些商品恶意软件包括 RedLine、Vidar、Predator The Thief、Nexus 窃取程序、Azorult、Raccoon、Grand Stealer、Vikro Stealer、Masad和 Kantal。研究人员还观察到像Sorano和AdamantiumThief这样的开源恶意软件。   大多数观察到的恶意软件都能够窃取用户密码和 cookie。一些样本采用了多种反沙盒技术，包括扩大文件、加密存档和下载 IP 伪装。研究人员观察到一些虚假错误消息，需要用户点击才能继续执行，如下图： 这些活动是由在俄语论坛上通过以下职位描述招募的一些黑客发起的，论坛上提供以下两种类型的工作： 建议 此次活动的重点目标是YouTube账号，因此，用户需始终了解这些类型的威胁并采取适当的措施来进一步保护自己。谷歌威胁分析小组提出以下建议： 认真阅读安全浏览警告。 在运行软件之前，使用防病毒软件或VirusTotal等在线病毒扫描工具执行病毒扫描，以验证文件的合法性。 在 Chrome 浏览器中启用“增强型安全浏览保护”模式。 谨慎关注加密档案。 使用多因素身份验证保护帐户。

FIN7组织又名“Carbanak”，于2015年首次出现，是一个以经济收益为动机的威胁组织。研究人员发现，FIN7 黑客组织创建并运营了一家名为“Bastion Secure”的网络安全公司，招募不知情的 IT 专家，试图加入高利润的勒索软件领域。   简况 FIN7组织伪造的安全公司名为Bastion Secure，声称可以为世界各地的私营公司和公共部门组织提供渗透测试服务。Bastion Secure名称看起来类似于以下安全公司，这些公司在谷歌搜索结果中的排名比较靠前： Bastion Security Products Ltd : 最近被ECAMSECURE收购的美国物理安全公司 Bastion Security Group：一家美国物理安全咨询公司   Bastion Secure网站乍一看是合法的，该网站很可能是合法网络安全公司Convergent Network Solutions Ltd.网站的副本。Bastion Secure网站（左）与Convergent Network Solutions Ltd.网站（右）的对比如下： 对 Bastion Secure 网站的初步分析显示，该网站的大多数子菜单返回俄语 HTTP 404 错误，表明网站创建者是讲俄语的人。为了招聘 IT 专家，Bastion Secure 在他们的网站和讲俄语国家的著名求职网站上发布看起来合法的工作机会，包括系统管理员，PHP、Python 和 C++ 程序员以及逆向工程师的招聘信息。FIN7通过这种方式培养能够执行执行一系列网络犯罪活动的“员工”。研究人员认为，Bastion Secure专门招聘系统管理员的目的可能是为了发起勒索攻击活动，因为系统管理员能够绘制受感染的公司系统、执行网络侦察以及定位备份服务器和文件，这些技能都是勒索软件攻击的预加密阶段所必需的。   研究人员向Bastion Secure发送了一份求职申请并被聘用，最终获得了使用内部工具的权限。这些工具是著名的后开发工具 Carbanak 和 Lizar/Tirion，伪装成Command Manager 控制面板，如下图： 这些文件包含一个经过混淆的 PowerShell 脚本，该脚本最终会启动 Lizar/Tirion 注入器和负载。恶意软件攻击者使用客户端向位于受感染机器上的加载程序发出命令的过程如下图： 总结 FIN7组织决定雇佣不知情的安全专家作为同伙，而不是在暗网上寻找自愿加入的黑客，可能是为了出于对金钱的贪婪。如果有自愿加入的同伙，FIN7需要被迫分享总额数百万美元的赎金支付的一部分，而对于不知情的“雇员”，FIN7只需要支付低至数千美元的月薪。

10月21日，东京奥运会和残奥会的电信服务合作伙伴NTT Corporation表示，在奥运会举办期间，相关基础设施共遭遇约4.5亿次网络攻击，但所有攻击都被成功阻止，因此未对奥运会造成干扰。   简况 在 4.5 亿次攻击中，NTT Corporation发现了传播Emotet 恶意软件的攻击活动、电子邮件欺诈活动、网络钓鱼活动以及伪装成与奥运会有关的虚假网站。   NTT表示，公司在奥运会期间实施了各种网络安全措施，对攻击事件的成功阻止可以归功于以下四个原因： 1.威胁情报和监控 吸取迄今为止大型国际事件的教训，包括恶意软件攻击、窃取操作信息、APT攻击等，加强对东京2020年奥运会网络系统和外部综合信息威胁信息的收集和监控。 2.全面安全解决方案 为了应对 2020 年东京奥运会 ICT 环境的复杂性，NTT 采用白名单（仅列举可能的通信协议）格式，同时利用 NTT 公司的综合安全解决方案，维护了“网络卫生”环境。 3.员工培训 通过培训计划和对模拟攻击的反复验证，使团队成员了解东京 2020 奥运会 ICT 环境的复杂性，并提高了预防维护的意识。 4.合作共赢 通过与ICT服务提供商、关键基础设施、国际奥委会、东京2020奥组委等公共组织的合作，进行了及时、密切的信息协调。   在奥运会举办之前，NTT发布了赛前报告，预测奥运会将面临国家网络攻击、勒索软件攻击和虚假信息攻击，其中一些可能来自俄罗斯和朝鲜国家支持的攻击者。 网络犯罪分子可能会部署分布式拒绝服务 (DDoS) 攻击、勒索软件攻击或针对关键基础设施的攻击。   总结 奥运会一直是攻击者针对的目标，伦敦奥运会期间，仅官方网站就受到了约2亿次攻击，所有相关机构共受到23亿次攻击。平昌冬奥会期间，约有6亿起网络攻击，俄罗斯黑客在平昌奥运会开幕式期间部署了OlympicDestroyer恶意软件并损坏了网络服务器。尽管有多次攻击尝试，但NTT通过情报收集、模拟攻击演练等多种努力实现了奥运会的稳定运营。

JSOutProx 是一种基于 JScript 的模块化 RAT，于2019年首次被发现，以 .hta 文件的形式提供给用户，并首先由 mshta.exe 进程执行。研究人员发现了攻击者使用JSOutProx恶意软件，针对印度银行业和金融行业展开的攻击活动。   简况 JSOutProx RAT最初通过带有金融交易相关名称的“.hta”压缩附件的鱼叉式网络钓鱼电子邮件传播。钓鱼电子邮件会发送给印度小型金融银行员工。研究人员认为，攻击者通过窃取受害者的电子邮件联系方式，发现了更多可攻击的目标。在2021 年 1 月到 2021 年 6 月的多个活动中，攻击者在一天内向数百个目标发送电子邮件。有些时候，具有不同附件名称的各种电子邮件被发送给单个目标，以增加用户下载和打开附件文件的机会。   JSOutProx RAT分两个阶段交付，第一阶段 RAT 是一个 .hta 文件，由 mshta.exe 进程执行。它可以在注册表和启动中创建条目、创建或终止进程、执行文件操作、下载插件等，也可以通过“ScreenPShell”命令在目标机器中使用PowerShell脚本生成操作，如下图： 以下是支持的基本插件及其功能： InfoPlugin：收集受害者机器信息并将其发送到 C2。 文件插件：执行所有文件系统操作。 ProcessPlugin：收集进程信息，创建或终止进程。 ScreenPShellPlugin：使用PowerShell脚本执行鼠标和键盘操作。 ShellPlugin：“ShellExecute”选项使用Shell. Application中的ShellExecute方法。如果用户具有管理员权限，则调用 ShellExecute 方法。如果该命令失败，则会尝试从注册表中禁用 Windows Defender 的 AntiSPyware。如果用户不是管理员，它会使用“runas”标志尝试更高权限的 ShellExecute。   恶意软件被执行后会与 C2 通信，C2首先响应一个 PowerShell 脚本以捕获屏幕截图并将其保存在临时目录中。据悉，攻击者在针对英国银行的攻击中使用了相同的 PowerShell 脚本。PowerShell 脚本如下图： 第二阶段 RAT 在启动时作为“.js”文件或作为 %temp% 文件夹中的“.tmp”文件被释放，并使用 wscript.exe 执行。它还具有与第一阶段样本不同的 C2。在第二阶段，RAT 最终释放了一个基于 C++ 的 Netwire RAT。   第二阶段支持的附加插件如下： ActivityPlugin：使 RAT 处于在线或离线状态。 CensorMiniPlugin：通过修改注册表项“Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable”启用/禁用用户计算机上的代理设置 管理控制台插件 审查插件 ClipboardPlugin：复制剪贴板数据并发送给C2。 DnsPlugin：在 C:\Windows\System32\drivers\etc\hosts 中添加或修改新路径。 LibraryPlugin：将机器上安装的 dotnet 版本列表发送到 C2。 OutlookPlugin：访问 Outlook 帐户详细信息和联系人列表。 PriviledgePlugin：“UAC”选项允许通过将 EnableLUA 和 ConsentPromptBehaviorAdmin 键的值设置为 0 来写入注册表位置“SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\”。“elevateScript”选项使用 wscript.exe 和批处理模式选项执行脚本。 提示插件 ProxyPlugin：在 C:\Windows\System32\drivers\etc\hosts 中添加或修改新路径。 ShortcutPlugin：为给定的可执行文件创建一个快捷方式文件。 恢复插件 TokensPlugin：窃取从 SymantecVIP 应用程序收到的 OTP。   总结 研究人员通过分析证明，此次攻击是对印度 BFSI 公司的针对性攻击。攻击者使用 JavaScript、Jscript 或基于 Java 的恶意软件，不断发明新方法，使用不同的混淆技术绕过静态检测。研究人员预计，未来还会有更多此类攻击，因此建议金融行业从业人员对此类攻击活动保持警惕。