Emansrepo信息窃取法式：FortiGuard追踪其庞大攻击链

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Emansrepo信息窃取法式：FortiGuard追踪其庞大攻击链

宣布时间 2024-09-05

1. Emansrepo信息窃取法式：FortiGuard追踪其庞大攻击链

9月3日，FortiGuard实验室的网络宁静专家正紧密追踪一种名为“Emansrepo”的基于Python的信息窃取法式，该法式自2023年11月曝光以来，通过伪装采购订单和发票的网络钓鱼邮件流传，构建出三条庞大多变的攻击路径。这些路径分别接纳AutoIt编译的可执行文件、HTA文件及BatchShield混淆的批处置文件作为载体，每种手段均旨在绕过宁静检测，最终执行恶意Python脚本以窃取敏感信息。Emansrepo从最初的登录凭据、信用卡信息收集，已生长到能窃取PDF文档、浏览器扩展、加密货币钱包及游戏平台数据等更广泛范围。此外，实验室还注意到与Emansrepo活动相似的Remcos恶意软件流传，体现背后可能有同一威胁组织。鉴于攻击者技术的不停升级与多样化，各组织需保持高度警惕，接纳积极主动的网络宁静防御计谋，以有效应对日益庞大的网络威胁环境。

https://securityonline.info/emansrepo-stealer-a-multi-faceted-threat-evolving-in-complexity/

2. 新勒索软件变种Underground与RomCom组织关联

9月3日，FortiGuard Labs揭露了一种新型勒索软件变种Underground，它与污名昭著的俄罗斯黑客组织RomCom（别名Storm-0978）紧密相关。这款恶意软件自2023年7月起肆虐，重点攻击建筑、制药、银行及制造业等多个要害行业，通过加密受害者Windows系统上的文件来勒索赎金。RomCom组织不仅利用Microsoft Office和Windows HTML的已知漏洞（如CVE-2023-36884）入侵，还可能接纳钓鱼邮件和购置初始访问权限等通例手段。Underground入侵后，会迅速禁用宁静机制，清除影子副本和日志记录，悄无声息地加密文件，并留下一张名为“!!readme!!!.txt”的勒索信，要求支付解密用度，其奇特之处在于不改变文件扩展名，增加了识别难度。更令人担忧的是，该组织运营一个数据泄露网站，果然拒绝支付赎金的受害者信息，进一步施压。目前，Underground的攻击范围已扩展至全球，数据泄露网站已列出16个国家的受害者名单，涵盖美、法、德、西、韩、台、新及加等地。此外，该组织还利用Telegram和Mega云存储服务扩大其影响力，流传窃取的数据。

https://securityonline.info/romcom-groups-underground-ransomware-exploits-microsoft-zero-day-flaw/

3. 超2.2万软件包面临Revival Hijack的风险

9月4日，一种名为“Revival Hijack”的新型供应链攻击技术正威胁着Python软件包索引（PyPI）的宁静，该技术已被发现并被用于实验渗透下游组织。JFrog宁静公司指出，该技术能劫持凌驾2.2万个现有PyPI软件包，已导致数十万次恶意下载，影响范围广泛。攻击者利用PyPI的政策漏洞，在软件包被原所有者删除后重新注册并上传恶意版本，利用用户可能存在的拼写错误或信任惯性，诱导下载。与传统域名抢注差异，Revival Hijack专注于已删除的软件包，每月约有309个软件包因此变得脆弱。这些软件包因缺乏维护、更名或功效整合而被移除，却为攻击者提供了可乘之机。JFrog数据显示，攻击者能悄无声息地替换软件包，甚至通过“pip install -upgrade”命令将合法软件包替换为恶意版本，而开发者毫无察觉。尤为严重的是，一个名为Jinnis的威胁行为者已实际利用该技术。企业和开发者需加强警惕，检查DevOps管道，确保不安装已删除的软件包，并接纳须要措施�；ぷ陨砻馐艽死嘟俪旨际醯那趾�。

https://www.trendmicro.com/en_us/research/24/i/earth-lusca-ktlvdoor.html

4. 蒙大拿州计划生育协会遭RansomHub勒索软件攻击

9月4日，蒙大拿州计划生育协会近期遭遇了网络攻击，勒索软件组织RansomHub声称已侵入其系统并窃取93GB数据，威胁若不支付赎金将果然数据。该非营利组织迅速响应，将部门网络离线并征召联邦执法和信息宁静专家协助视察与重建IT环境。美国计划生育办公室首席执行官玛莎·富勒确认了这一“网络宁静事件”，并谢谢团队的不懈努力以恢复系统和视察事件。尽管富勒未透露具体数据泄露情况，但确认已向联邦执法部门陈诉并寻求支持。值得注意的是，此次攻击发生前，FBI等已宣布关于RansomHub活跃性的宁静警报，指出其自2月以来已导致至少210名受害者，涵盖多个要害基础设施领域。此次针对提供生殖保健服务的非营利组织的攻击，被视为尤为恶劣的行为。

https://www.theregister.com/2024/09/04/planned_parenthood_cybersecurity_incident/

5. 黑客组织联合对法发动DDoS攻击，要求释放Telegram首创人

9月4日，Telegram 首席执行官帕维尔·杜罗夫被捕后，一系列黑客组织迅速集结，提倡名为 #FreeDurov 或 #OpDurov 的全球网络行动，矛头直指法国，通过实施大规模的漫衍式拒绝服务（DDoS）攻击和黑客技术入侵，对凌驾50个法国政府机构、医疗机构、交通枢纽、教育机构及私营企业提倡挑战。这些黑客组织，包罗俄罗斯网络军重生（CARR）、RipperSec、EvilWeb、CyberDragon 等，多数具有亲俄或亲伊斯兰倾向，他们利用自身技术资源和 Telegram 平台广泛发动，要求法国释放杜罗夫。CARR 作为此次行动的领头羊，凭借其与俄罗斯军事情报部门的联系及庞大的社群基础，针对多个法国重要机构发动攻击。RipperSec 等组织也不甘落后，接纳专业工具如 MegaMedusa 对法国司法和警方系统实施猛烈攻击。黑客们不仅通过 DDoS 攻击瘫痪目标网站，还声称入侵并窃取了部门敏感数据，在 Telegram 上炫耀战果。尽管动机各异，从支持杜罗夫个人到维护 Telegram 的运营宁静，但配合的诉求是促使法国政府重新考虑其行动。

https://hackread.com/ddos-attacks-france-telegrams-pavel-durov-arrest/

6. MacroPack工具遭滥用，多国发现恶意文档

9月4日，MacroPack是一款原为红队演练设计的工具，近期被非法分子滥用，用于流传Havoc、Brute Ratel和PhatomCore等恶意负载，影响范围波及多个国家和地域。该工具由法国开发者Emeric Nasi开发，具备反恶意软件绕过、代码混淆等高级功效，使得构建隐蔽的恶意文档成为可能。Cisco Talos的研究揭示，这些恶意文档通过VirusTotal平台提交的样本显示出高度多样性，包罗差异诱饵、庞大水平和熏染手段，表明MacroPack已成为黑客攻击的新宠。被捕捉的恶意样本中，均留有MacroPack创建的特征，如马尔可夫链命名的函数和变量、删除注释及空格以减少静态分析检测等。受害者一旦打开这些伪装成加密表格、军事通知或就业确认书的Office文档，便会触发VBA代码，加载恶意DLL并连接到攻击者的C2服务器。差异地域的攻击案例各具特色：美国案例中，恶意文档伪装成加密更新表格，利用mshta.exe下载未知载荷；俄罗斯案例中，Excel事情簿企图下载PhantomCore后门；巴基斯坦案例中，则以军事相关主题伪装，利用HTTPS DNS和亚马逊CloudFront通信，甚至嵌入Adobe Experience Cloud跟踪代码。

https://www.bleepingcomputer.com/news/security/red-team-tool-macropack-abused-in-attacks-to-deploy-brute-ratel/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究