LAZARUS 黑客组织向企业发布 DTRACK 后门； 勒索软件使用 Lapsus 泄露

昨晚我打了一场精彩的球赛，醒来后发现周六我试图看到接种了 Omicron 毒株的阿凡达失败了，而且我没有发现任何主观不适。 星期六打车和司机聊天，得知我住的城市大约是太阳的三分之一收到比特币威胁邮件,真的有记录吗，学医的同学告诉我，他们医院有一半以上的医生。 以此估算，出去看电影打天然疫苗的概率不低。 估计时间还没到，还得等。

按照惯例，一周中周末的网络安全信息最少。 注意到卡巴斯基披露了LAZARUS黑客组织向企业发布DTRACK后门的报告。 卡巴叔叔求生欲真的很强。 今年不知道有多少关于周边国家APT活动的报告发布了。 即使他努力提交提名证书，也无法获得西方国家的认可。 谁让他姓俄罗斯，他再努力也是白费功夫。

微软安全报告称，一个勒索软件团伙使用知名厂商的数字证书签署恶意软件。 今年 10 月，多家安全公司向微软报告称，攻击者已经入侵了微软合作伙伴开发者帐户。 黑客使用这些帐户向恶意软件添加合法签名。 这样做的结果是，全球范围内大量的安全软件都会为带有“合法签名”的恶意软件开绿灯。 目前，微软已经注销了受感染的账户和他们使用的签名。

微软威胁情报团队还披露了一种名为“MCCrash”的新型跨平台恶意软件僵尸网络，据报道，该网络正在感染 Windows、Linux 和物联网设备，对 Minecraft 服务器进行 DDoS 攻击。 微软表示，用户安装伪造的Windows产品激活工具和木马化的Microsoft Office许可证激活器（KMS工具）后，设备将感染MCCrash并成为僵尸网络的一部分。

在勒索软件攻击方面，哥伦比亚最大的公共能源、水和天然气供应商EPM遭遇BlackCat勒索软件攻击，直接导致公司运营中断。 事件调查还发现，黑客窃取了该公司的大量数据。

其他威胁事件可参考如下列表：

高级威胁 (APT) 事件

一般威胁事件

欲了解更多信息，请阅读时事通讯：

高级威胁 (APT) 事件

LAZARUS 黑客组织向企业发布 DTRACK 后门

APT 攻击者 Lazarus 正在扩大其影响范围，现在瞄准欧洲的公司，包括德国和瑞士。 卡巴斯基专家能够识别出针对两家德国化学加工和制造公司以及一家瑞士化学加工公司的后门 DTrack 攻击。

这些攻击目前还针对欧洲的公司。 卡巴斯基专家能够识别出在德国发生的两次使用 DTrack 作为后门的攻击：一次是针对一家化学加工公司，另一次是针对一家制造公司。 此外，可以确定对一家从事化学加工的瑞士公司的攻击。

DTrack后门于2019年首次被发现，DTrack隐藏在一个看似合法程序的可执行文件中。 在恶意软件负载开始之前，有几个解密阶段。 新的是在一些新的恶意软件样本中增加了额外的第三层加密。

卡巴斯基分析表明，Lazarus 使用后门进行各种旨在获取经济利益的攻击。 它允许网络罪犯上传、下载、启动或删除受害者主机上的文件。 其中一个下载和执行的文件被发现是 DTrack 通用工具集的一部分，它是一个键盘记录器、一个屏幕截图制作器，以及一个用于收集有关受害者系统信息的模块。 总的来说，这样的工具集可以帮助网络犯罪分子在受害者的基础设施内进行横向移动，例如检索信息。

参考：

一般威胁事件

网络攻击后澳大利亚 85 个消防站关闭

澳大利亚维多利亚州消防救援局在遭到“外部第三方”攻击后，已关闭网络并开始人工操作。

网络攻击造成“广泛的 IT 中断”，影响了维多利亚消防救援队 (FRV) 的电子邮件、电话和紧急调度系统。

维多利亚消防队继续照常工作，但必须使用无线电、寻呼机和手机来响应呼叫。 该部门的代理专员加文·弗里曼 (Gavin Freeman) 表示，在调查事件期间，关闭可能会持续长达四天。

网络攻击已经成为澳大利亚政府和企业面临的巨大问题。 澳大利亚网络安全中心上一财年收到超过7.6万份网络犯罪报告，较上年增长13%，并警告称澳大利亚的网络空间已成为“战场”。

参考：

勒索软件团伙使用泄露的 Lapsus 证书签署恶意软件

当攻击者从技嘉或 Nvidia 等大公司泄露大量数据时，其影响可能会在很长一段时间内以意想不到的方式显现。 最近发现的一个勒索软件团伙的行为表明，一个团体的网络攻击可以为其他团体打开大门。

微软和美国当局最近发布了关于勒索软件团伙使用合法的微软证书签署其恶意软件的通知。 此技巧授予恶意软件对 Windows 的特权访问权限，使其更难受到攻击。

加密签名告诉 Windows，Microsoft 信任某个软件，允许它相对不受阻碍地与系统交互。 建立欺诈性签名或以欺诈方式获得真实签名，长期以来一直是一种常见的黑客策略。

一个名为 Cuba 的勒索软件团伙使用了一种植入程序，该程序编写了一个内核驱动程序，可以禁用防病毒程序等安全软件。 内核驱动程序是用今年早些时候 Lapsus$ 组织对 Nvidia 的攻击派生的证书签名的。

Lapsus$ 在 2 月份使用勒索软件攻击 Nvidia。 虽然勒索软件并未对 Nvidia 的运营产生重大影响，但黑客泄露了该公司的部分数据，包括源代码和微软签名的证书。 英国警方后来逮捕了两名与 Lapsus$ 有关的伦敦青少年。

10 月，三家安全公司通知微软，一名攻击者入侵了多个微软合作伙伴中心开发者账户收到比特币威胁邮件,真的有记录吗，利用这些账户为微软凭证提交恶意驱动程序。 该公司的分析表明，这些驱动程序被用来传播恶意软件。

参考：

微软警告 Minecraft DDoS 僵尸网络感染 Windows、Linux 系统

一种名为“MCCrash”的新型跨平台恶意软件僵尸网络正在感染 Windows、Linux 和物联网设备，对 Minecraft 服务器进行 DDoS 攻击。

该僵尸网络是由微软的威胁情报团队发现的，他们报告说，一旦它感染了一台设备，它就可以通过 SSH 凭证自动传播到网络上的其他系统。

大多数感染 MCCrash 的设备位于俄罗斯，受害者还分布在墨西哥、意大利、印度、哈萨克斯坦和新加坡。

Minecraft 服务器通常是 DDoS 攻击的目标，要么伤害服务器上的玩家，要么作为赎金要求的一部分。

微软表示，在用户安装伪造的 Windows 产品激活工具和木马化的 Microsoft Office 许可证激活器（KMS 工具）后，设备最初会感染 MCCrash。

该破解工具包含恶意 PowerShell 代码，该代码会下载一个名为“svchosts.exe”的文件，该文件会启动“malicious.py”，这是主要的僵尸网络负载。

MCCrash 然后尝试通过对 IoT 和 Linux 设备执行暴力 SSH 攻击来传播到网络上的其他设备。

恶意 Python 文件可以在 Windows 和 Linux 环境中运行。

僵尸网络感染和攻击链（微软）

僵尸网络根据初始通信中识别的操作系统类型从 C2 服务器接收加密命令。

据微软称，攻击者创建僵尸网络的目标是 Minecraft 服务器版本 1.12.2，但从 1.7.2 到 1.18.2 的所有服务器版本也容易受到攻击。 相当多的 Minecraft 服务器运行在旧版本上，其中大部分在美国、德国和法国。

“这种威胁利用了物联网设备的独特功能，这些设备通常不会作为僵尸网络的一部分进行监控，从而大大增加了其影响并降低了被发现的机会，”微软评论道。

为了保护 IoT 设备免受僵尸网络的侵害，Microsoft 建议将其固件保持最新状态，使用强（长）密码更改默认凭据，并在不需要时禁用 SSH 连接。

参考：

DarkTortilla 恶意软件在伪装成合法域的网络钓鱼站点上传播

研究人员观察到攻击者将 DarkTortilla 恶意软件投放到伪装成合法 Grammarly 和 Cisco 网站的钓鱼网站上。

Cyble Research and Intelligence Labs (CRIL) 将 DarkTortilla 描述为一种复杂的、基于 .Net 的恶意软件，自 2015 年以来一直活跃。该攻击背后的组织一直在重新利用现有的恶意软件，并将其与称为水坑攻击的攻击相结合。

Barratt 说，“水坑”都被设计成看起来像使用拼写错误的普通网站——常见域名的拼写错误。 这可能使它们对防御能力有限的受害者具有吸引力，这反过来意味着重新利用和相当陈旧的恶意软件可能仍然对他们有效。

参考：

Glupteba 恶意软件复活

Glupteba 恶意软件僵尸网络在一年前被谷歌破坏后重新活跃起来，感染了全球的设备。

2021 年 12 月，谷歌设法大规模破坏了启用区块链的僵尸网络，获得法院命令控制僵尸网络的基础设施，并对两家俄罗斯运营商提起诉讼。

Nozomi 现在报告说，区块链交易、TLS 证书注册和逆向工程 Glupteba 样本揭示了一场新的大规模 Glupteba 活动，该活动始于 2022 年 6 月，目前仍在进行中。

Glupteba 是一种支持区块链的模块化恶意软件，它会感染 Windows 设备进行挖矿，窃取用户凭证和 cookie，并在 Windows 系统和物联网设备上部署代理。

恶意软件主要通过恶意广告传播，其中恶意软件安装程序伪装成免费软件、视频和电影。

Glupteba 利用比特币区块链通过接收更新的 C2 服务器列表来避免中断，它应该联系以执行命令。

Nozomi 的调查确定了四次 Glupteba 活动中使用的 15 个比特币地址，最近一次活动开始于 2022 年 6 月，即谷歌中断六个月后。 这项活动仍在进行中。

该活动使用了比过去更多的比特币地址，使僵尸网络更具弹性，安全专家表示 Glupteba 僵尸网络卷土重来，有迹象表明它比以前更大，并且可能更有弹性，已设置大量备份地址抵御来自研究人员和执法部门的攻击。

参考：

哥伦比亚能源供应商 EPM 遭受 BlackCat 勒索软件攻击

哥伦比亚能源公司 Empresas Públicas de Medellín (EPM) 周一遭受了 BlackCat/ALPHV 勒索软件攻击，中断了公司的运营。

EPM 是哥伦比亚最大的公共能源、水和天然气供应商之一，服务于 123 个城市。

周二，由于 IT 基础设施出现故障，公司网站无法访问，该公司要求约 4,000 名员工在家办公。 EPM 向当地媒体透露，他们正在应对网络安全事件，并为客户提供替代服务支付方式。

BleepingComputer 了解到，BlackCat 勒索软件操作（又名 ALPHV）是这次攻击的幕后黑手，该组织称该攻击窃取了公司数据。 来自 EPM 攻击的加密器样本和赎金票据，确认它们来自 BlackCat 勒索软件攻击。

来自 BlackCat 勒索软件的 EPM 赎金记录，来源：BleepingComputer

进一步的调查结果表明，黑客可能在攻击过程中窃取了 EPM 的大量数据。

智利安全研究员 Germán Fernández 发现了从哥伦比亚上传到恶意软件分析网站的 BlackCat“ExMatter”数据窃取工具的最新样本。

ExMatter 是 BlackCat 勒索软件攻击中使用的一种工具，它会在设备加密之前从公司网络中窃取数据。 然后，此数据被勒索软件团伙用作双重勒索企图的一部分。 当该工具运行时，它会从网络上的设备窃取数据并将其存储在攻击者控制的服务器上。

在分析 ExMatter 工具时，Fernández 发现它会将数据上传到安全性不足的远程服务器，允许任何访问者查看存储在其上的数据。

在来自哥伦比亚的 ExMatter 变体中，数据被上传到以“EPM-”开头的各种文件夹中，如下所示。

BlackCat 数据泄露服务器，来源：Germán Fernández

虽然目前还不清楚总共有多少数据被盗，但 Fernández 告诉 BleepingComputer，网站上列出了 40 多台设备。

参考：

FBI 警告 BEC 攻击针对食品配送行业

根据几个美国联邦机构发布的联合咨询，食品行业已成为旨在窃取整批食品的商业电子邮件 (BEC) 攻击的目标。

据美国联邦调查局、食品和药物管理局刑事调查办公室 (FDA OCI) 和美国农业部 (USDA) 透露，被盗食品的价值在某些情况下已达到数十万美元。

用于实现此目的的策略包括欺骗电子邮件地址和域，或使用属于合法公司的被盗用的电子邮件帐户来订购从未收到付款的大量食品。

该咨询还警告说，BEC 计划背后的犯罪分子还可能“不考虑食品安全法规和卫生措施，冒着被污染的风险”重新包装赃物进行转售。

FBI、FDA 和 USDA 还敦促可能成为此类攻击目标的食品行业企业采取以下步骤来抵御 BEC 欺诈企图和产品盗窃：

培训员工如何发现欺诈性电子邮件地址和域。

实施用户培训和网络钓鱼练习，以提高对可疑链接和附件风险的认识。

对您的公司名称进行网络搜索，找出可能在诈骗中冒充您的欺诈网站。

FBI 透露，BEC 骗局造成的损失每年都在持续显着增长，2019 年 7 月至 2021 年 12 月期间，已确认的全球风险敞口损失增加了 65%。

参考：