【勒索专题】

LockBit团伙攻击阿根廷医疗服务网站并勒索30万美元

8月9日，媒体披露称LockBit勒索软件团伙攻击了阿根廷的OSDE。OSDE是阿根廷的医疗服务和供应商网络，目前拥有超过200万会员、8000多家药店和近400个中心。据悉，这次攻击导致OSDE在几个小时内无法使用。OSDE于6月27日承认了此次攻击。8月8日，LockBit团伙称其窃取了将近 140 GB 的文件。

参考链接：https://ti.dbappsecurity.com.cn/info/3741

SolidBit勒索软件新变种瞄准游戏玩家和社交媒体用户

近日，研究人员分析了一种新的 SolidBit 勒索软件变种，该变种的攻击目标为流行游戏和社交媒体平台的用户。该恶意软件被上传到 GitHub，并伪装成不同的应用程序，包括英雄联盟帐户检查工具和 Instagram follower bot，以引诱受害者。GitHub 上的英雄联盟帐户检查器与一个文件捆绑在一起，文件中包含一个名为 Rust LoL Accounts Checker.exe 的可执行文件，如果用户点击这个可执行文件，则将释放并执行 SolidBit 勒索软件。SolidBit勒索软件是使用 .NET 编译的，看似是LockBit 勒索软件的模仿者，但实际上是 Yashma 勒索软件的变种，也称为 Chaos。

参考链接：https://ti.dbappsecurity.com.cn/info/3732

Cisco网络安全公司遭Yanluowang勒索团伙攻击

8月10日，网络安全公司Cisco证实，Yanluowang勒索软件团伙在 5 月下旬入侵了其公司网络并窃取了内部数据。攻击者从与受感染员工帐户相关联的 Box 文件夹中窃取了非敏感数据，此事件并未对其业务造成任何影响。Yanluowang勒索团伙声称窃取了2.75 GB数据，其中有大约3100个文件，包括保密协议、数据转储和工程图纸。

参考链接：https://ti.dbappsecurity.com.cn/info/3740

Onyx Ransomware 将其泄漏站点重命名为“VSOP”

Onyx 是一种基于 .NET 的勒索软件，最早于2022年4月中旬被发现。据悉，Onyx 勒索软件基于 Chaos 勒索软件，加密小于 2MB 的文件并覆盖大于 2MB 的文件，使其无法恢复。迄今为止，该团伙共有来自 6 个不同国家的 13 名受害者。近日，ONYX 勒索软件已将其泄露站点从“ ONYX NEWS”重命名为“ VSOP NEWS”。

参考链接：https://ti.dbappsecurity.com.cn/info/3739

Hive、LockBit 和 BlackCat 勒索团伙连续攻击同一网络 

研究人员在报告中披露，三个著名的勒索软件团伙Hive、LockBit和BlackCat曾连续攻击同一网络。前两次攻击发生在两个小时内，第三次攻击发生在两周后。每个勒索软件团伙都留下了自己的赎金要求，受害者的部分文件被三重加密。

参考链接：https://ti.dbappsecurity.com.cn/info/3736

Cuba勒索软件攻击者使用ROMCOM RAT

Cuba勒索软件于 2019 年 12 月首次被发现，通过Hancitor分发，通常通过恶意附件传递。从 2022 年 5 月上旬开始，攻击者使用新工具和技术部署Cuba勒索软件，研究人员将此攻击者追踪为“Tropical Scorpius”。截至 2022 年 7 月，Tropical Scorpius 已使用 Cuba 勒索软件攻击了多个领域的 27 个其他组织，包括专业和法律服务、州和地方政府、制造、运输和物流、批发和零售、房地产、金融服务、医疗保健、高科技、公用事业和能源、建筑和教育。Tropical Scorpius在攻击中使用了一个自定义远程访问木马/后门，其中包含独特的命令和控制 (C2) 协议，研究人员将其命名为 ROMCOM RAT。

参考链接：https://ti.dbappsecurity.com.cn/info/3745

丹麦711连锁店遭到勒索软件攻击

丹麦 711 连锁店于本周一遭到了网络攻击，导致其商店无法使用收银机。一位员工称，攻击导致结账系统停止工作， 由于711 全国连锁店都使用相同的系统，因此丹麦175家711连锁店都暂时被关闭。调查后，7-11在 Facebook 发布了声明，称此次攻击为勒索软件攻击，勒索攻击者强行访问网络并锁定了系统。

参考链接：https://ti.dbappsecurity.com.cn/info/3743

FBI：Zeppelin 勒索软件可能会在攻击中多次加密设备

8月11日，联邦调查局 (FBI) 和网络安全和基础设施安全局 (CISA) 发布联合CSA，警告美国组织，部署 Zeppelin 勒索软件的攻击者可能会多次加密他们的文件。 Zeppelin 是一项勒索软件即服务 (RaaS) 操作，其恶意软件经历了多次名称更改，从 VegaLocker 到 Buran、Jamper、Zeppelin。Zeppelin 附属公司至少自 2019 年以来一直活跃，目标是国防承包商和技术公司等企业和关键基础设施组织，重点关注来自医疗行业的实体。

参考链接：https://ti.dbappsecurity.com.cn/info/3746

【金融行业】

DeathStalker使用VileRAT恶意软件攻击加密货币交易公司 

VileRAT 是一种 Python 植入程序，能够执行任意远程命令、键盘记录，可以从命令和控制 (C2) 服务器进行自我更新。自2020 年 6 月以来，DeathStalker攻击者一直在不断利用和更新VileRAT恶意软件，以攻击外汇和加密货币交易公司。

参考链接：https://ti.dbappsecurity.com.cn/info/3744

【通信行业】

云通讯公司Twilio遭短信网络钓鱼攻击

2022年8月4日，云通信公司Twilio发现了针对该公司的复杂社会工程攻击，攻击者通过短信网络钓鱼攻击窃取了员工凭证，而后破坏了内部系统，未经授权访问了部分客户帐户相关的信息。

参考链接：https://ti.dbappsecurity.com.cn/info/3731

【政府部门】

疑似伊朗黑客攻击阿尔巴尼亚政府

7月17日，北约成员国阿尔巴尼亚政府系统遭到网络攻击，迫使政府暂时关闭对在线公共服务和其他政府网站的访问。攻击者部署了Roadsweep勒索软件，可能还利用了一个以前未知的后门“Chimneysweep”，以及Zeroclear擦除工具的一个新变种。根据过去使用类似的恶意软件、攻击的时间、Roadsweep勒索软件说明中的其他线索，研究人员将此次攻击与伊朗黑客联系起来。

参考链接：https://ti.dbappsecurity.com.cn/info/3729

【攻击团伙】

TAC-040组织利用Atlassian Confluence漏洞部署Ljl后门

8月2日，研究人员发布报告披露，TAC-040组织很可能利用 Atlassian Confluence 服务器中的CVE-2022-26134漏洞，部署了一个名为Ljl Backdoor的新后门。此次攻击发生在 5 月底，持续了 7 天，攻击者使用 Atlassian Confluence 目录中的 tomcat9.exe 父进程执行了恶意命令。据估计，大约 700MB 的存档数据已被泄露。

参考链接：https://ti.dbappsecurity.com.cn/info/3730

【恶意活动】

信息窃取恶意软件通过 YouTube 活动传播

PennyWise 和 RedLine 等信息窃取器正在通过 YouTube 活动传播。仅在过去 3 个月中，研究人员就发现了 5000 多个 PennyWise Stealer 可执行样本。在这些活动中，攻击者发布有关下载和安装软件的视频教程，主题为“免费获得付费订阅”，从而诱骗用户安装恶意软件。在大多数情况下，下载链接会重定向到免费的云存储和文件托管服务，例如 Mega、Mediafire、OneDrive、Discord 和 Github，攻击者使用受密码保护的存档文件托管恶意 Windows 可执行文件。

参考链接：https://ti.dbappsecurity.com.cn/info/3727

“Classiscam”诈骗行动扩大到新加坡

Classiscam是一种复杂的诈骗即服务业务，于 2019 年夏季首次被记录，旨在窃取流行分类和市场用户的付款和个人数据。该活动已于 2022 年 3 月扩展到新加坡。Classiscam最初的目标包括流行的俄罗斯分类广告和市场的用户，随后将目标扩大到欧洲和美国。有超过 90 个活跃的群体使用 Classiscam 的服务来瞄准保加利亚、捷克共和国、法国、哈萨克斯坦、吉尔吉斯斯坦、波兰、罗马尼亚、乌克兰、美国和乌兹别克斯坦。欺诈行动跨越欧洲、独联体 (CIS) 和中东的 64 个国家。据悉，从 2020 年 4 月到 2022 年 2 月，利用Classiscam的犯罪分子至少赚取了 2950 万美元的非法收益。

参考链接：https://ti.dbappsecurity.com.cn/info/3737

攻击者在恶意软件活动中利用Dark Utilities平台

Dark Utilities于 2022 年初发布，是一个 “C2aaS”(C2 即服务)平台，提供远程系统访问、DDoS能力和加密货币挖掘等多种服务。该平台支持基于 Windows、Linux 和 Python 的有效负载，目前已注册大约 3,000 名用户，收入约为 30,000 欧元。

参考链接：https://ti.dbappsecurity.com.cn/info/3728

【APT组织事件】

Lazarus组织以虚假工作机会为诱饵攻击金融科技行业员工

朝鲜Lazarus组织发起了一项新的社会工程活动，黑客冒充 Coinbase 以针对金融科技行业的员工，目标为适合“产品安全工程经理”职位的候选人。当受害者下载伪装成工作职位相关的 PDF 文件时，实际上会获取恶意可执行文件。文件被命名为“Coinbase_online_careers_2022_07.exe”，在执行时会显示诱饵 PDF 文档，同时还会加载恶意 DLL。

参考链接：https://ti.dbappsecurity.com.cn/info/3733

Maui勒索软件疑似与朝鲜Andariel黑客有关

Andariel又名Stonefly，至少从 2015 年开始运营，是朝鲜支持的黑客组织之一，执行间谍活动、数据窃取、数据擦除以及为朝鲜政府增加收入的行动。Maui 勒索软件于 2021 年 4 月开始发起攻击，重点目标为美国的医疗保健组织。研究人员以低到中等置信度评估，Maui勒索软件操作与Andariel组织有关。此外，在部署Maui之前，攻击者就已将DTrack恶意软件的变体部署到目标系统。

参考链接：https://ti.dbappsecurity.com.cn/info/3738

Bitter APT利用木马化Signal程序分发Dracarys

Bitter APT组织正通过网络钓鱼网站，提供木马化 Signal 应用程序，以分发Dracarys间谍软件。由于Signal的源代码是开源的，Bitter APT 黑客组织能够编译出具有所有常用特性和预期功能的版本，在编译消息应用程序时将 Dracarys 恶意软件添加到源代码中。启动时，Dracarys 将连接到 Firebase 服务器，收集并传输联系人列表、短信数据、通话记录、已安装的应用程序列表、文件、GPS定位等数据。

参考链接：https://ti.dbappsecurity.com.cn/info/3742

Facebook披露南亚APT组织使用的新 Android 恶意软件

Meta（Facebook）发布了2022年第二季度的对抗性威胁报告，报告披露了南亚的两起间谍活动，这些活动利用其社交媒体平台向潜在目标分发恶意软件。第一组活动由Bitter APT组织发起，针对新西兰、印度、巴基斯坦和英国的个人，该组织用恶意软件感染其目标，使用了 URL 缩短服务、受感染网站和第三方文件托管服务提供商的组合。Bitter的武器库中增加了两个移动应用程序，分别针对 iOS 和 Android 用户。Android 应用程序是一种被 Meta 命名为“Dracarys”的新恶意软件，它在未经用户同意的情况下滥用无障碍服务来增加权限，充当间谍软件、窃取短信、安装应用程序和录制音频。

第二组活动由APT36组织（又名“透明部落”）发起，针对阿富汗、印度、巴基斯坦、阿拉伯和沙特阿拉伯的人们，特别针对军事官员和人权活动家。APT36 的成员在 Facebook 上创建帐户，冒充招聘人员，使用 WeTransfer 文件共享服务向目标发送虚假工作机会。下载的文件包含 XploitSPY 的修改版本，Meta 将其命名为“LazaSpy”。

参考链接：https://ti.dbappsecurity.com.cn/info/3734

OceanLotus组织针对我国关基单位攻击活动分析 

2022年5月，研究人员于国家某关基单位发现异常外联IP，通过攻击活动中捕获的攻击流量分析，确认此次攻击活动是由境外APT组织APT32(OceanLotus)所发起。在此次事件中，APT32组织选择了RemyRAT远程控制木马作为后门程序植入了国家关基单位。

在监控过程中，研究人员观察到攻击者活动持续至7月中下旬，时间长达2个月。攻击者针对关基单位负责重点课题的研究员发起APT定向攻击，瞄准文档类资料进行窃取，以窃取机密资料和重要文件为目标。如攻击者窃取成功，将造成严重损失。通过流量分析，发现国内某核心制造业厂商也同样遭受该组织攻击，并持续处于活跃状态。

参考链接：https://ti.dbappsecurity.com.cn/info/3809