【威胁通告】AG公司科技威胁情报周报（2022.01.31-2022.02.06）

2022-02-10

一、热门资讯

1. 攻击者使用网络垂纶运动撒播恶意软件STRRAT

【概述】

新的网络垂纶运动使用虚伪的运输诱饵在毫无戒心的受害者的盘算机上装置了 STRRAT 远程会见木马。Fortinet 在检测到模拟全球航运巨头马士基航运但使用看似真实的电子邮件地点的网络垂纶电子邮件后确定了新的运动。 STRRAT 是一种多功效远程会见木马，至少可以追溯到 2020 年年中。它通�；� Java，通常通过网络垂纶电子邮件发送给受害者。与其他网络垂纶攻击一样，以前的 STRAAT 操作使用附加到电子邮件的中心投放器（例如，恶意 Excel 宏），在审查时下载最终有用负载。此示例不使用该要领，而是将最终有用负载直接附加到网络垂纶电子邮件。

【参考链接】

https://ti.nsfocus.com/security-news/IlNeV

2. 与伊朗有关的 MuddyWater APT组织针对土耳其私人组织和政府机构提倡攻击

【概述】

MuddyWater 针对土耳其开展的恶意软件运动使用恶意 PDF 和 Microsoft Office 文档作为初始熏染前言。诱饵文件伪装成土耳其卫生部和内政部的正当文件。翻开文档后，基于 PowerShell 的恶意下载器会充当目的网络的初始驻足点。PowerShell 剧本下载并执行驻留在武器化文档元数据中的第二阶段 PowerShell 剧本，该剧本又下载最终在受熏染端点上运行的第三个未识别的 PowerShell 代码。

【参考链接】

https://ti.nsfocus.com/security-news/IlNfZ

3. 攻击者使用勒索软件攻击德国燃料供应商

【概述】

攻击者使用勒索软件提倡的网络攻击已导致整个德国泛起暂时燃料供应，预计仅在 10 天后情形才会好转。Oiltanking GmbH Group 和 Mabanaft Group 是深受数字攻击影响的两家公司，导致运营手艺系统阻止运行。此次攻击针对的是 Marquard & Bahls Group 的 IT 基础设施，随后影响了其两个子公司，即 Mabanaft Group 和 Oiltanking GmbH Group。

【参考链接】

https://ti.nsfocus.com/security-news/IlNg0

4. 攻击者对朝鲜提倡网络攻击造成朝鲜网络被迫中止

【概述】

攻击者针对朝鲜提倡网络攻击导致面临互联网关闭，该国的互联网中止一连了六个小时。这是已往两周内导致朝鲜互联网中止的第二起事务。来自英国的网络清静专家 Junaid Ali 体现，最近的中止可能是由于拒绝服务 (DDoS) 攻击造成的。若是朝鲜的用户试图毗连到一个 IP 地点，互联网就无法将数据路由到该国。服务器在 DDoS 攻击后的几个小时内恢复正常。然而，个体服务器因中止而无法正常运行，这些服务器包括-Naenara、朝鲜政府官方门户网站、高丽航空和朝鲜事务部。

【参考链接】

https://ti.nsfocus.com/security-news/IlNg1

5. APT35使用新型PowerShell后门提倡网络攻击

【概述】

一个与伊朗有联系的高级一连性威胁组织已更新其恶意软件工具集，以包括一种名为PowerLess Backdoor的新型基于 PowerShell 的植入物。这家总部位于波士顿的网络清静公司将恶意软件归罪于一个名为 Charming Kitten（又名 Phosphorous、APT35 或TA453）的黑客组织，同时还指出了后门规避 PowerShell 的执行。

【参考链接】

https://ti.nsfocus.com/security-news/IlNg2

6. 美国营销巨头RRD在Conti勒索软件攻击中数据被盗

【概述】

美国营销巨头RR Donnelly（RRD)公司日前透露，该公司在一次网络攻击中被窃取了数据。事后经BleepingComputer证实，这是一次Conti勒索软件攻击。IT系统的关闭导致公司的客户服务中止，一些客户无法收到供应商付款、支付支票和无邪车辆证件所需的打印文件。RRD公司体现，最初他们不知道在攻击时代有客户端数据被盗。直到2022年1月15日，Conti勒索软件团伙最先泄露从RRD公司窃取的用户数据，总计为2.5GB。随后，RRD公司就泄露的数据与Conti团队睁开谈判，我们有理由信托，在交付赎金后，泄露数据已经获得删除了。

【参考链接】

https://ti.nsfocus.com/security-news/IlNg6

7. McMenamins遭受Conti勒索软件攻击

【概述】

酒吧和连锁旅馆 McMenamins 遭受了Conti 勒索软件攻击，破损了其多个盘算机系统。信息清静和手艺新闻网站 BleepingComputer 将这次攻击归罪于 Conti 帮派。网络犯法分子没有触及客户数据，但他们可能已经泄露了其员工纪录。凭证 McMenamins 的说法，Conti 勒索软件攻击并未导致任何所在的关闭。相反，入侵使其在线预订系统离线。因此，该公司求助于通过电话预订旅馆。可是，它无法执行其他运动，例如兑换礼物卡、报价房价或预订特定房型。别的，Conti 勒索软件攻击迫使该公司关闭其 IT 系统、企业电子邮件和信用卡销售点系统。只管云云，该公司已接纳行动避免 Conti 勒索软件攻击的进一步伸张。在数据泄露方面，该公司声称该攻击对客户支付数据没有影响。然而，网络犯法分子可能已经影响了其 2,700 名员工的数据，包括他们的姓名、出生日期、地点、电子邮件地点、直接存款银行账户信息、社会清静号码和福利纪录。

【参考链接】

https://ti.nsfocus.com/security-news/IlNg3

8. KP零食遭遇勒索软件攻击

【概述】

KP Snacks 是英国标记性小吃（如 Skips 和 Butterkist）的供应商，遭到勒索软件攻击，威胁至少在 3 月尾之前会影响送货。该公司宣布，Conti，一个很是有用的俄语组织，是这次袭击的幕后黑手。与该团伙的典范做法一样，他们在双重勒索行动中窃取数据，并在他们的泄密网站上宣布了窃取的“证据”。

【参考链接】

https://ti.nsfocus.com/security-news/IlNg4

9. 印尼央行确认遭受勒索软件攻击

【概述】

1月20日，印度尼西亚共和国中央银行——印度尼西亚银行（BANK INDONESIA）通讯部执行主任Erwin Haryono证实，银行于上个月遭受了勒索软件攻击。中央银行有着治理钱币部分、维持支付系统和金融系统稳固的重任，被攻击一事非同小可。据报道，攻击爆发在苏门答腊岛的印度尼西亚银行服务处，攻击者在银行系统上安排勒索软件，并窃取了印度尼西亚银行员工的“非要害数据“。印度尼西亚银行称，在接纳步伐后，事务没有造成太大影响，没有泄露任何主要数据，更主要的是银行的公共服务完全没有中止。印度尼西亚银行没有将这次攻击归罪于特定的勒索软件团伙，但Conti组织体现对此认真，其威胁称若印度尼西亚银行不支付赎金，Conti将泄露手中的13.88GB文件。

【参考链接】

https://ti.nsfocus.com/security-news/IlNeD

10. 攻击者使用恶意软件AsyncRAT提倡网络垂纶运动

【概述】

污名昭著的恶意软件 AsyncRAT 通过网络垂纶运动再次泛起在网上。这一次，攻击者设计了一种偷偷摸摸的战略来逃避大大都清静工具的检测。传送的恶意软件的网络垂纶电子邮件包括一个 HTML 附件，翻开后会提醒用户下载 ISO 文件。虽然受害者会以为下载的文件会通过清静检查，但现实上它会所有逃走。这是由于 ISO 文件从不来自服务器，而是来自 HTML 附件。翻开此 ISO 文件会执行注入恶意软件 dropper（.NET �？椋┑南乱徊�，然后执行种种规避检查以跳过检测。最终，AsyncRAT 恶意软件作为最终负载抵达装备。

【参考链接】

https://ti.nsfocus.com/security-news/IlNfY

<<上一篇

微软2月清静更新多个产品高危误差通告

>>下一篇

【威胁通告】AG公司科技威胁情报周报（2022.02.07-2022.02.13）