【恶意软件威胁情报】

攻击者瞄准Telegram用户的加密钱包，传播Echelon窃密程序

研究人员发现，攻击者正在瞄准 Telegram 用户的加密钱包，以传播 Echelon 信息窃取程序，旨在欺骗Telegram 平台上的加密货币讨论频道用户。

目前，Windows Defender 已检测到并删除了 Present.exe 恶意可执行样本，并将其标位为“#LowFI:HookwowLow”，从而减轻了 Echelon 对安装了防病毒软件的用户造成任何潜在的损害。

参考链接：https://ti.dbappsecurity.com.cn/info/2975

Android银行木马通过虚假的Google Play页面传播

伊塔乌联合银行（Itaú Unibanco）是巴西一家在全球拥有5500万客户的大型金融服务提供商，近日，出现一个针对该银行的Android银行木马。此应用程序具有与合法程序相似的图标和名称， 该恶意软件试图在受害者不知情的情况下对合法的Itaú Unibanco应用程序执行欺诈性金融交易。

参考链接：https://ti.dbappsecurity.com.cn/info/2977

StealthLoader利用Log4Shell漏洞部署挖矿程序

近日，研究人员发现一种名为StealthLoader的恶意软件，StealthLoader是基于.NET木马，其使用了Log4j漏洞利用代码以及各种规避检测技术，旨在部署XMRig程序进行挖矿。

Log4j漏洞编号为 CVE-2021-44228，也称为“Log4Shell”，该漏洞允许攻击者远程控制易受攻击的目标。攻击者只需要发送一个简单的恶意请求，就可以进行远程代码执行，其中包含一个格式化字符串，然后通过 log4j 库获取。

参考链接：https://ti.dbappsecurity.com.cn/info/2978

超过50万名Android用户感染新的Joker恶意软件

研究人员发现，超过50万名Android用户从Google Play下载新的Joker恶意软件，并导致感染。最新的 Joker 恶意软件是在名为Color Message（“com.guo.smscolor.amessage”）的消息传递应用程序中发现，该应用会悄悄地将用户的联系人列表信息法松到攻击者控制的服务器，并在用户不知情的情况下为用户注册不需要的付费高级订阅。

参考链接：https://ti.dbappsecurity.com.cn/info/2981

深入分析方程式组织的DoubleFeature后开发框架

安全研究人员对方程式组织的一个名为 DoubleFeature 的开发框架进行了详细分析，该系统致力于记录部署 DanderSpritz 后的不同阶段的后利用，这是方程式组织使用的全功能恶意软件框架。

参考链接：https://ti.dbappsecurity.com.cn/info/2988

惠普iLO固件中包含恶意rootkit

惠普服务器包含一个名为 iLO（又名 Integrated Lights-Out）的管理模块，该模块一旦连接电源线，就会打开加载一个专有操作系统。iLO模块可以完全访问服务器上安装的所有固件、硬件、软件和操作系统。12月28日，研究人员分析了一个在野发现的恶意软件iLOBleed，据悉，这是全球首次在 iLO 固件中发现的恶意软件。该恶意软件隐藏在 iLO 中，无法通过固件升级删除，并且可以长时间隐藏。

参考链接：https://ti.dbappsecurity.com.cn/info/2997

RedLine恶意软件窃取存储在浏览器中的密码

RedLine是一种信息窃取恶意软件，以Chrome、Edge和Opera等流行的网络浏览器为目标。研究人员披露称，攻击者通过RedLine Stealer窃取了一名远程工作的员工的VPN账户凭证，并在三个月后利用账户凭证入侵了该员工公司的网络。

参考链接：https://ti.dbappsecurity.com.cn/info/2996

【热点事件威胁情报】

三星Galaxy商店存在恶意的Android应用

近日，三星的应用商店Galaxy store受到风险软件应用的渗透，在用户设备上触发多次Play Protect警告。

这些风险应用模仿了盗版的ShowBox应用，ShowBox于2018年破产。ShowBox使用户能够浏览受版权保护的电影和电视节目，而无需支付会员费。移动安全分析师表示，这些带有风险的应用程序会触发谷歌Play Protect警告，因为这些应用请求获取危险的访问权限，这可能会允许在Android设备上安装恶意软件。如果用户同意这些请求，应用程序就可以访问联系人列表、通话记录、执行代码、获取恶意软件负载点击广告等等。

参考链接：https://ti.dbappsecurity.com.cn/info/2991

【金融行业威胁情报】

越南加密交易平台ONUS遭网络攻击

越南最大的加密交易平台之一 ONUS 最近遭到了网络攻击，该平台允许的是是一个易受攻击的Log4j版本的支付系统，攻击者向 ONUS 勒索500万美元，如果拒绝支付，将公开泄露200万客户数据。

在ONUS 拒绝支付赎金后，攻击者将200万ONUS客户的数据放在地下论坛上出售。在12月11日至13日期间，攻击者成功利用ONUS的Cyclos服务器上的Log4Shell漏洞，并植入后门以实现持续访问。

参考链接：https://ti.dbappsecurity.com.cn/info/2990

【媒体行业威胁情报】

挪威新闻出版社遭网络攻击导致关闭运营

挪威最大的当地新闻出版商 Amedia 在12月28日宣布遭到网络攻击，其中央计算机系统已关闭。Amedia公司是挪威最大的媒体公司之一，其出版了 90 多种报纸和其他出版物，覆盖了超过 250 万挪威人。

该公司表示，目前尚不清楚个人信息是否已被泄露。其受攻击影响的订阅系统包含客户的姓名、地址、电话号码和订阅历史。该公司表示，密码、阅读历史和财务信息等数据不受影响。

参考链接：https://ti.dbappsecurity.com.cn/info/2989

【电信行业威胁情报】

T-Mobile电信公司用户遭受SIM交换攻击

近日，T-Mobile的部分客户成为了 SIM 交换攻击的受害者。SIM 交换也称为 SIM 劫持，攻击者可以通过欺骗或贿赂运营商的员工，将号码重新分配给攻击者控制的 SIM 卡，从而控制目标的手机号码。

参考链接：https://ti.dbappsecurity.com.cn/info/2999

【勒索专题】

AvosLocker勒索软件在入侵美国警局后道歉并解密数据

上个月，AvosLocker勒索软件入侵了美国警察局，并在攻击期间加密设备并窃取数据。但在AvosLocker得知受害者是政府机构后，他们免费提供了解密器。

参考链接：https://ti.dbappsecurity.com.cn/info/2993

图片服务巨头Shutterfly遭受Conti勒索软件攻击

近期，图片服务公司巨头Shutterfly遭到了Conti勒索软件攻击，Conti团伙声称已对该公司的4000多台设备和120台VMware ESXi服务器进行了加密，还窃取了企业数据，并要求数百万美元的赎金。Conti放出的屏幕截图文件包括法律协议、银行和商家帐户信息、公司服务的登录凭据、电子表格以及似乎是客户信息的内容，包括信用卡的最后四位数字。

参考链接：https://ti.dbappsecurity.com.cn/info/2979

QNAP NAS设备遭到ech0raix勒索软件的攻击激增

QNAP 网络附加存储 (NAS) 设备的用户报告了 eCh0raix 勒索软件（也称为 QNAPCrypt）对其系统的攻击，攻击者在圣诞节的一周前加大了攻击力度，目的是以管理员权限控制用户设备。eCh0raix 要求的勒索金额相对较低。黑客之所以选择低赎金的小企业（工作室和个人）作为攻击目标，可能一方面是因为小企业的安全意识薄弱，另一方面攻击难度低。

参考链接：https://ti.dbappsecurity.com.cn/info/2982

法国IT服务公司Inetum遭遇BlackCat勒索软件攻击

12月19日，法国 IT 服务公司 Inetum Group 遭到BlackCat勒索软件攻击，攻击对该公司及其客户的影响有限，并未造成太大损失。

Inetum公司活跃在超过 26 个国家/地区，为各个行业的公司提供数字服务，航空航天和国防、银行、汽车、能源和公用事业、医疗保健、保险、零售、公共部门、运输、电信和媒体。Inetum作为众多公司的服务提供商，收入接近 20 亿美元，Inetum对勒索软件团伙而言是一个极其有吸引力的目标。

参考链接：https://ti.dbappsecurity.com.cn/info/2983

【恶意活动威胁情报】

攻击者继续利用新冠疫情援助计划盗取个人信息

由于新冠疫情的影响正在扰乱人们的生活，研究人员最近观察到利用新冠主题作为诱饵的网络钓鱼邮件活动。攻击者试图利用那些焦急等待政府援助的人的焦虑心情，冒充美国企业管理局（SBA）的代表，通过Google Docs提供虚假的资助申请表格，以此盗取受害者的个人信息。

参考链接：https://ti.dbappsecurity.com.cn/info/2992

利用COVID-19主题的网络钓鱼

研究人员近日发现利用当前COVID-19情况为主题的钓鱼活动，这些恶意电子邮件是使用邮件程序脚本从受感染的邮箱发送的。邮件中包含一个指向 Word 文档的链接，引诱毫无戒心的用户单击链接并下载文档，通过一系列的调用，最终目的是通过剪切板替换窃取用户加密货币，以及部署挖矿程序。

参考链接：https://ti.dbappsecurity.com.cn/info/2976

Dridex在圣诞期间通过垃圾邮件进行分发

研究人员发现带有Dridex银行木马的Excel 文件通过邮件在圣诞节期间分发，攻击者随机分发用户，由于文件受密码保护，因此可绕过反恶意软件检测。

Dridex 是一种银行木马，它收集用户的银行凭据并通过接收攻击者的命令来执行恶意行为。Dridex 通常通过垃圾邮件分发，并在通过加载程序下载主模块后执行恶意行为。

参考链接：https://ti.dbappsecurity.com.cn/info/2986

与朝鲜相关的恶意HWP文件正在积极分发

研究人员最近发现内容与朝鲜相关的 HWP 文件正在进行分发。由于该文件并未被标注为可疑文件，因此用户应该格外小心，因为与朝鲜相关的恶意软件正在增加，并且已经发现这些恶意软件正在进行逃避检测的尝试。

参考链接：https://ti.dbappsecurity.com.cn/info/2987