微软披露利用Remcos RAT针对美国税务行业的攻击活动

首页 > 安全钻研 > 安全传递 > 安全简讯

微软披露利用Remcos RAT针对美国税务行业的攻击活动

颁布功夫 2023-04-18

1、微软披露利用Remcos RAT针对美国税务行业的攻击活动

4月13日，微软披露了近期针对美国管帐和报税公司的垂钓攻击活动。垂钓邮件中的链接可绕过检测，最终指向文件托管网站下载ZIP文档。ZIP文档蕴含很多假装成各类税表PDF的文件，但现实上是Windows快捷方式�？旖莘绞街葱蠵owerShell，从远程主机下载VBS文件。这些VBS文件将下载并执行GuLoader，进而装置Remcos RAT。Remcos通常用于获得公司的初始接见权限，攻击者可利用此权限进一步传布，窃取数据并装置其它恶意软件。

https://www.microsoft.com/en-us/security/blog/2023/04/13/threat-actors-strive-to-cause-tax-day-headaches/

2、新加坡加密钱币买卖平台Bitrue被黑损失2300万美元

媒体4月15日称，新加坡的加密钱币买卖平台Bitrue一个数字钱包被黑，损失约2300万美元。申明暗示，攻击者窃取了多种数字钱币，蕴含以太坊(ETH)、Polygon(MATIC)、Shiba Inu(SHIB)、Quant(QNT)、GALA和Holo(HOT)。Bitrue称，受影响的是能够通过互联网接见的热钱包，只蕴含Bitrue总资金的不到5%，其余钱包依然安全。该平台已暂停所有提款，同时进行安全查抄，打算于4月18日沉新盛开。

https://therecord.media/bitrue-23million-stolen-cryptocurrency

3、波兰谍报机构泄漏APT29是攻击北约和欧盟的幕后黑手

波兰军事反谍报局及推算机应急响应幼组在4月13日称，APT29与针对北约和欧盟的攻击有关。该谍报机构指出，近期活动的很多身分，蕴含基础设施、使用的技术和工具，都与从前的APT29活动沉叠。攻击针对表交人员，使用假意欧洲国度大使馆的鱼叉式垂钓邮件，并附上恶意网站的链接或附件，旨在通过ISO、IMG和ZIP文件分发恶意软件。攻击者使用了多种工具，蕴含SNOWYAMBER、HALFRIG和QUARTERRIG等。目前，该活动仍在进行中。

https://securityaffairs.com/144763/apt/apt29-behind-nato-eu-attacks.html

4、AhnLab发现勒索软件Trigona攻击MS-SQL服务器的活动

AhnLab 4月17日称其近期发现了勒索软件Trigona攻击治理不善的MS-SQL服务器的活动。据揣摩，攻击者在装置Trigona之前首先装置了恶意软件CLR Shell。CLR Shell有一个利用提权缝隙的例程，可能是由于Trigona必要高权限。MS-SQL过程sqlservr.exe以svcservice.exe的名义装置Trigona。svcservice.exe是一个dropper，它在统一蹊径上创建并执行现实的Trigona勒索软件，即svchost.exe。

https://asec.ahnlab.com/en/51343/

5、IBM颁布关于与FIN7有关的恶意软件Domino的分析汇报

4月14日，IBM详述了前Conti成员和FIN7开发人员联手推出新的恶意软件Domino。Domino由两个组件组成，别离为Domino Backdoor和Domino Loader。通常，Dave Loader会分发Domino Backdoor。该后门可枚举系统信息，而后下载Domino Loader。Loader会装置名为Nemesis Project的嵌入式.NET信息窃取法式。Domino的代码与Lizar有大量沉叠，Lizar是与FIN7有关的工具包，因而IBM将其归因于FIN7。该活动使用Dave Loader加载恶意软件，因而可将其与Trickbot/Conti及其前成员联系起来。

https://securityintelligence.com/posts/ex-conti-fin7-actors-collaborate-new-domino-backdoor/

6、Trellix颁布新RaaS提供商RTM Locker的分析汇报

4月13日，Trellix颁布了关于勒索软件即服务(RaaS)提供商Read The Manual(RTM)Locker的分析汇报。该团伙的战术只专一于一件事，即低调行事。他们的指标不是成为新闻头条，而是在不为人知的情况下赢利。该组织还绕过、医院、COVID-19疫苗有关组织、关键基础设施和法律部门等，以尽可能削减关注。该团伙的业务设置，要求从属机构维持活跃，不然他们的帐户将被删除。这显示了该组织的成熟度，这一点在其它组织（如Conti）中也被观察到。

https://www.trellix.com/en-us/about/newsroom/stories/research/read-the-manual-locker-a-private-raas-provider.html

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研