微软披露利用Remcos RAT针对美国税务行业的攻击活动

首页 > 宁静研究 > 宁静通报 > 宁静简讯

微软披露利用Remcos RAT针对美国税务行业的攻击活动

宣布时间 2023-04-18

1、微软披露利用Remcos RAT针对美国税务行业的攻击活动

4月13日，微软披露了近期针对美国会计和报税公司的钓鱼攻击活动。钓鱼邮件中的链接可绕过检测，最终指向文件托管网站下载ZIP文档。ZIP文档包罗许多伪装成种种税表PDF的文件，但实际上是Windows快捷方式�？旖莘绞街葱蠵owerShell，从远程主机下载VBS文件。这些VBS文件将下载并执行GuLoader，进而安装Remcos RAT。Remcos通常用于获得公司的初始访问权限，攻击者可利用此权限进一步流传，窃取数据并安装其它恶意软件。

https://www.microsoft.com/en-us/security/blog/2023/04/13/threat-actors-strive-to-cause-tax-day-headaches/

2、新加坡加密货币交易平台Bitrue被黑损失2300万美元

媒体4月15日称，新加坡的加密货币交易平台Bitrue一个数字钱包被黑，损失约2300万美元。声明体现，攻击者窃取了多种数字货币，包罗以太坊(ETH)、Polygon(MATIC)、Shiba Inu(SHIB)、Quant(QNT)、GALA和Holo(HOT)。Bitrue称，受影响的是可以通过互联网访问的热钱包，只包罗Bitrue总资金的不到5%，其余钱包仍然宁静。该平台已暂停所有提款，同时进行宁静检查，计划于4月18日重新开放。

https://therecord.media/bitrue-23million-stolen-cryptocurrency

3、波兰情报机构透露APT29是攻击北约和欧盟的幕后黑手

波兰军事反情报局及计算机应急响应小组在4月13日称，APT29与针对北约和欧盟的攻击有关。该情报机构指出，近期活动的许多要素，包罗基础设施、使用的技术和工具，都与过去的APT29活动重叠。攻击针对外交人员，使用冒充欧洲国家大使馆的鱼叉式钓鱼邮件，并附上恶意网站的链接或附件，旨在通过ISO、IMG和ZIP文件分发恶意软件。攻击者使用了多种工具，包罗SNOWYAMBER、HALFRIG和QUARTERRIG等。目前，该活动仍在进行中。

https://securityaffairs.com/144763/apt/apt29-behind-nato-eu-attacks.html

4、AhnLab发现勒索软件Trigona攻击MS-SQL服务器的活动

AhnLab 4月17日称其近期发现了勒索软件Trigona攻击管理不善的MS-SQL服务器的活动。据推测，攻击者在安装Trigona之前首先安装了恶意软件CLR Shell。CLR Shell有一个利用提权漏洞的例程，可能是由于Trigona需要高权限。MS-SQL进程sqlservr.exe以svcservice.exe的名义安装Trigona。svcservice.exe是一个dropper，它在同一路径上创建并执行实际的Trigona勒索软件，即svchost.exe。

https://asec.ahnlab.com/en/51343/

5、IBM宣布关于与FIN7相关的恶意软件Domino的分析陈诉

4月14日，IBM详述了前Conti成员和FIN7开发人员联手推出新的恶意软件Domino。Domino由两个组件组成，分别为Domino Backdoor和Domino Loader。通常，Dave Loader会分发Domino Backdoor。该后门可枚举系统信息，然后下载Domino Loader。Loader会安装名为Nemesis Project的嵌入式.NET信息窃取法式。Domino的代码与Lizar有大量重叠，Lizar是与FIN7相关的工具包，因此IBM将其归因于FIN7。该活动使用Dave Loader加载恶意软件，因此可将其与Trickbot/Conti及其前成员联系起来。

https://securityintelligence.com/posts/ex-conti-fin7-actors-collaborate-new-domino-backdoor/

6、Trellix宣布新RaaS提供商RTM Locker的分析陈诉

4月13日，Trellix宣布了关于勒索软件即服务(RaaS)提供商Read The Manual(RTM)Locker的分析陈诉。该团伙的计谋只专注于一件事，即低调行事。他们的目标不是成为新闻头条，而是在不为人知的情况下赚钱。该组织还绕过、医院、COVID-19疫苗相关组织、要害基础设施和执法部门等，以尽可能减少关注。该团伙的业务设置，要求隶属机构保持活跃，否则他们的帐户将被删除。这显示了该组织的成熟度，这一点在其它组织（如Conti）中也被视察到。

https://www.trellix.com/en-us/about/newsroom/stories/research/read-the-manual-locker-a-private-raas-provider.html

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究