Emansrepo信息窃取法式：FortiGuard追踪其复杂攻击链

首页 > 安全钻研 > 安全传递 > 安全简讯

Emansrepo信息窃取法式：FortiGuard追踪其复杂攻击链

颁布功夫 2024-09-05

1. Emansrepo信息窃取法式：FortiGuard追踪其复杂攻击链

9月3日，FortiGuard尝试室的网络安全专家正缜密追踪一种名为“Emansrepo”的基于Python的信息窃取法式，该法式自2023年11月曝光以来，通过假装采购订单和发票的网络垂钓邮件传布，构建出三条复杂多变的攻击蹊径。这些蹊径别离选取AutoIt编译的可执行文件、HTA文件及BatchShield混合的批处置文件作为载体，每种伎俩均旨在绕过安全检测，最终执行恶意Python剧本以窃取敏感信息。Emansrepo从最初的登录痛处、信誉卡信息网络，已发展到能窃取PDF文档、浏览器扩大、加密钱币钱包及游戏平台数据等更宽泛领域。此表，尝试室还把稳到与Emansrepo活动类似的Remcos恶意软件传布，暗示背后可能有统一威胁组织。鉴于攻击者技术的不休升级与多样化，各组织需维持高度警惕，采取积极自动的网络安全防御战术，以有效应对日益复杂的网络威胁环境。

https://securityonline.info/emansrepo-stealer-a-multi-faceted-threat-evolving-in-complexity/

2. 新勒索软件变种Underground与RomCom组织关联

9月3日，FortiGuard Labs告发了一种新型勒索软件变种Underground，它与臭名远扬的俄罗斯黑客组织RomCom（别号Storm-0978）缜密有关。这款恶意软件自2023年7月起肆虐，沉点攻击构筑、造药、银行及造作业等多个关键行业，通过加密受害者Windows系统上的文件来勒索赎金。RomCom组织不仅利用Microsoft Office和Windows HTML的已知缝隙（如CVE-2023-36884）入侵，还可能采取垂钓邮件和采办初始接见权限等通例伎俩。Underground入侵后，会迅快禁用安全机造，断根影子副本和日志纪录，悄无声息地加密文件，并留下一张名为“!!readme!!!.txt”的勒索信，要求支付解密用度，其怪异之处在于不扭转文件扩大名，增长了鉴别难度。更令人忧郁的是，该组织运营一个数据泄露网站，公开回绝支付赎金的受害者信息，进一步施压。目前，Underground的攻击领域已扩大至全球，数据泄露网站已列出16个国度的受害者名单，涵盖美、法、德、西、韩、台、新及加等地。此表，该组织还利用Telegram和Mega云存储服务扩大其影响力，传布窃取的数据。

https://securityonline.info/romcom-groups-underground-ransomware-exploits-microsoft-zero-day-flaw/

3. 超2.2万软件包面对Revival Hijack的风险

9月4日，一种名为“Revival Hijack”的新型供给链攻击技术正威胁着Python软件包索引（PyPI）的安全，该技术已被发现并被用于尝试渗入下游组织。JFrog安全公司指出，该技术能劫持超过2.2万个现有PyPI软件包，已导致数十万次恶意下载，影响领域宽泛。攻击者利用PyPI的政策缝隙，在软件包被原所有者删除后沉新注册并上传恶意版本，利用用户可能存在的拼写谬误或信赖惯性，诱导下载。与传统域名抢注分歧，Revival Hijack专一于已删除的软件包，每月约有309个软件包因而变得脆弱。这些软件包因不足守护、改名或职能整合而被移除，却为攻击者提供了可乘之机。JFrog数据显示，攻击者能悄无声息地代替软件包，甚至通过“pip install -upgrade”号令将合法软件包代替为恶意版本，而开发者毫无觉察。尤为严沉的是，一个名为Jinnis的威胁行为者已现实利用该技术。企业和开发者需加强警惕，查抄DevOps管路，确保不装置已删除的软件包，并采取必要措施�；ぷ陨砻馐艽死嘟俪旨际醯那趾�。

https://www.trendmicro.com/en_us/research/24/i/earth-lusca-ktlvdoor.html

4. 蒙大拿州打算生育协会遭RansomHub勒索软件攻击

9月4日，蒙大拿州打算生育协会近期遭逢了网络攻击，勒索软件组织RansomHub宣称已侵入其系统并窃取93GB数据，威胁若不支付赎金将公开数据。该非投机组织迅快响应，将部门网络离线并征召联国法律和信息安全专家协助调查与沉建IT环境。美国打算生育办公室首席执行官玛莎·富勒确认了这一“网络安全事务”，并感激团队的不懈致力以复原系统和调查事务。只管富勒未泄漏具体数据泄露情况，但确认已向联国法律部门汇报并追求支持。值妥贴心的是，这次攻击产生前，FBI等已颁布关于RansomHub活跃性的安全警报，指出其自2月以来已导致至少210名受害者，涵盖多个关键基础设施领域。这次针对提供生殖保健服务的非投机组织的攻击，被视为尤为恶劣的行为。

https://www.theregister.com/2024/09/04/planned_parenthood_cybersecurity_incident/

5. 黑客组织结合对法发起DDoS攻击，要求开释Telegram首创人

9月4日，Telegram 首席执行官帕维尔·杜罗夫被捕后，一系列黑客组织迅快集结，提议名为 #FreeDurov 或 #OpDurov 的全球网络行动，锋芒直指法国，通过执行大规模的散布式回绝服务（DDoS）攻击和黑客技术入侵，对超过50个法国当局机构、医疗机构、交通枢纽、教育机构及私营企业提议挑战。这些黑客组织，蕴含俄罗斯网络军沉生（CARR）、RipperSec、EvilWeb、CyberDragon 等，无数拥有亲俄或亲伊斯兰偏差，他们利用自身技术资源和 Telegram 平台宽泛带头，要求法国开释杜罗夫。CARR 作为这次行动的领头羊，凭借其与俄罗斯军事谍报部门的联系及重大的社群基础，针对多个法国沉要机构发起攻击。RipperSec 等组织也不甘落后，选取专业工具如 MegaMedusa 对法国司法和警方系统执行剧烈进攻。黑客们不仅通过 DDoS 攻击瘫痪指标网站，还宣称入侵并窃取了部门敏感数据，在 Telegram 上夸耀战果。只管动机各别，从支持杜罗夫幼我到守护 Telegram 的运营安全，但共同的诉求是促使法国当局沉新思考其行动。

https://hackread.com/ddos-attacks-france-telegrams-pavel-durov-arrest/

6. MacroPack工具遭滥用，多国发现恶意文档

9月4日，MacroPack是一款原为红队演练设计的工具，近期被犯法分子滥用，用于传布Havoc、Brute Ratel和PhatomCore等恶意负载，影响领域波及多个国度和地域。该工具由法国开发者Emeric Nasi开发，具备反恶意软件绕过、代码混合等高级职能，使得构建荫蔽的恶意文档成为可能。Cisco Talos的钻研揭示，这些恶意文档通过VirusTotal平台提交的样本显示出高度多样性，蕴含分歧钓饵、复杂水平和习染伎俩，批注MacroPack已成为黑客攻击的新宠。被捕获的恶意样本中，均留有MacroPack创建的特点，如马尔可夫链定名的函数和变量、删除注解及空格以削减静态分析检测等。受害者一旦打开这些假装成加密表格、军事通知或就业确认书的Office文档，便会触发VBA代码，加载恶意DLL并衔接到攻击者的C2服务器。分歧地域的攻击案例各具特色：美国案例中，恶意文档假装成加密更新表格，利用mshta.exe下载未知载荷；俄罗斯案例中，Excel工作簿贪图下载PhantomCore后门；巴基斯坦案例中，则以军事有关主题假装，利用HTTPS DNS和亚马逊CloudFront通讯，甚至嵌入Adobe Experience Cloud跟踪代码。

https://www.bleepingcomputer.com/news/security/red-team-tool-macropack-abused-in-attacks-to-deploy-brute-ratel/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研