每日安全简讯(20231015)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 ToddyCat APT组织开发了一套新的数据窃取工具

ToddyCat APT组织是一支活跃于欧洲和亚洲的高级持续性威胁(APT)行为者，自2020年以来就一直被研究人员关注。该组织主要使用Ninja木马和Samurai后门作为其攻击武器，但最近，研究人员发现了该组织开发和维护的一套新的恶意软件工具，用于实现持久性、进行文件操作和加载额外的有效负载。这些工具包括一系列加载器，可以启动Ninja木马作为第二阶段；一个名为LoFiSe的工具，可以查找和收集感兴趣的文件；一个DropBox上传器，可以将窃取的数据保存到DropBox；一个名为Pcexter的工具，可以将归档文件传送到Microsoft OneDrive。 此外，ToddyCat APT组织还使用了定制的脚本进行数据收集，一个使用UDP数据包接收命令的被动后门，Cobalt Strike进行后渗透，以及利用泄露的域管理员凭证进行横向移动。该组织主要针对亚洲地区的政府和电信实体进行攻击，并使用各种“一次性”的恶意软件来逃避检测和传送下一阶段的恶意软件。

https://securelist.com/toddycat-keep-calm-and-check-logs/110696/

---

2 DarkGate恶意软件通过即时通讯平台传播

DarkGate恶意软件是一种多功能的恶意软件工具包，可以从浏览器中窃取敏感数据，进行加密货币挖矿，并允许其操作者远程控制受感染的主机。它还可以作为一个下载器，下载额外的有效负载，如Remcos RAT。DarkGate恶意软件最初于2018年被发现，并主要针对欧洲和西班牙用户。2023年6月，DarkGate恶意软件的开发者在地下论坛上宣传了其新版本，称其具有更强的逃避检测和限制客户数量的功能。近几个月来，分发DarkGate恶意软件的社会工程攻击有所增加，利用初始入侵技术，如钓鱼邮件和搜索引擎优化(SEO)投毒，诱使无意识的用户安装它。最近，研究人员观察到DarkGate恶意软件通过即时通讯平台，如Skype和Microsoft Teams传播。在这些攻击中，通讯应用程序被用来传送一个伪装成PDF文档的Visual Basic for Applications(VBA)加载器脚本，当打开时，会触发下载和执行一个AutoIt脚本，用来启动恶意软件。这种利用Microsoft Teams聊天消息作为DarkGate恶意软件传播途径的方法已经在上个月被报道过，表明这种恶意软件可能被多个威胁行为者使用。

https://www.trendmicro.com/en_us/research/23/j/darkgate-opens-organizations-for-attack-via-skype-teams.html

---

3 AvosLocker勒索软件利用正规驱动文件绕过杀毒扫描

AvosLocker勒索软件是一种相对较新的勒索软件家族，它使用了最新的勒索软件特征，即通过威胁暴露窃取的信息来进行“双重勒索”。该勒索软件于2022年7月首次被发现，它声称自己是一个“专业的加密服务”，并提供了一个暗网门户网站，用于与受害者沟通和支付赎金。该门户网站还显示了一些被攻击的组织的名称和部分数据，作为对其他潜在受害者的威胁。AvosLocker勒索软件主要通过钓鱼邮件和漏洞利用来传播，它会加密受感染系统上的文件，并在每个文件夹中留下一个名为“README_FOR_DECRYPT.txt”的赎金说明文件。该文件包含了一个唯一的识别码和一个指向暗网门户网站的链接。最近，研究人员发现了AvosLocker勒索软件的一个新变种，它利用了正规的安全产品驱动文件来禁用杀毒扫描。这是首次发现正规杀毒软件“Avast”的反Rootkit驱动文件“asWarPot.sys”被滥用，用于关闭安全防护功能。此外，在这次攻击中，还发现了攻击者使用服务扫描工具“Nmap NSE script”来搜索具有“Log4j”漏洞“Log4Shell”的终端的活动。这些表明了“人工操作”的勒索软件攻击中，正规工具的滥用正在变得更加普遍和复杂。

https://www.cisa.gov/sites/default/files/2023-10/aa23-284a-joint-csa-stopransomware-avoslocker-ransomware-update.pdf

---

4 PEAPOD恶意软件针对欧盟女性政治领导人

一种名为PEAPOD的新型恶意软件正在对欧盟的军事人员和从事性别平等倡导的政治领导人发起网络攻击。这种恶意软件是一种远程访问木马，可以接收和执行来自控制服务器的命令。它是RomCom RAT的更新版本，由一个叫Void Rabisu的威胁行为者分发。该行为者同时进行金融动机和间谍活动，与Cuba勒索软件有关联。他们通过伪造合法网站和应用程序，以及发送钓鱼邮件和虚假广告，来诱导用户下载并运行恶意软件。最近发现的一些攻击活动使用了一个叫wplsummit [.]com的网站，该网站上有一个链接指向一个Microsoft OneDrive文件夹，该文件夹中有一个声称是女性政治领导人峰会的未公开照片的可执行文件。该可执行文件会在目标系统上放置56张照片作为诱饵，同时从远程服务器获取一个DLL文件。这些照片据说是恶意行为者从各种社交媒体平台上获取的。DLL文件则会与另一个域名建立联系，以获取第三阶段的PEAPOD组件，该组件支持10个命令，比其前身少了32个命令。这种恶意软件具有逃避防御技术，并且不断提高其复杂性。

https://www.trendmicro.com/en_us/research/23/j/void-rabisu-targets-female-leaders-with-new-romcom-variant.html

---

5 RANSOMEDVC勒索软件组织声称入侵了Colonial Pipeline公司

RANSOMEDVC勒索软件组织声称入侵了Colonial Pipeline公司，并泄露了价值5GB的数据，包括内部文件和照片。臭名昭著的RANSOMEDVC勒索软件组织宣布，他们成功渗透了Colonial Pipeline，这家美国公司运营着一个重要的管道系统，每天运输超过1亿加仑的各种石油产品，包括汽油、柴油和航空燃油。RANSOMEDVC组织的这些最新声明通过其暗网博客上的帖子浮出水面。该组织还通过最近推出的Telegram频道和X(以前的Twitter)帐户分享了他们的主张。值得注意的是，RANSOMEDVC与声称于2024年9月入侵索尼公司的组织是同一组织。Colonial Pipeline拒绝了RANSOMEDVC勒索软件组织的指控，并将泄露的文件与“与Colonial Pipeline无关的第三方数据泄露事件”联系起来。

https://www.hackread.com/ransomedvc-colonial-pipeline-cybersecurity-breach/

---

6 美国联邦警告医疗部门注意NoEscape威胁

美国联邦当局警告医疗和公共卫生部门注意NoEscape的威胁，这是一个相对新的多重勒索软件服务(RaaS)团伙，被认为是已经解散的俄语系Avaddon团伙的继承者。自从2023年5月出现以来，NoEscape是一个“强大的敌人”，一直在用“激进”的多重勒索技术攻击各种行业。这些网络犯罪分子窃取数据并加密Windows、Linux和VMware ESXi服务器上的文件。该团伙的攻击方式包括三重勒索，即数据窃取和加密，再加上分布式拒绝服务(DDoS)攻击，试图破坏受害者的运营并迫使他们支付赎金。HHS HC3表示，NoEscape向附属机构提供DDoS服务，额外收费50万美元，但有条件不得攻击独联体国家或前苏联共和国。该团伙还在其暗网博客上列出了受害者，并威胁说如果不收到赎金就会泄露被盗数据。NoEscape是最近出现的几个勒索软件团伙或分支团伙之一，它们针对医疗部门和其他行业。其他类似的团伙包括Akira，这是一个RaaS威胁行为者，于大约六个月前出现，并与主要针对许多行业中的小型和中型组织的几十起攻击有关。

https://www.hhs.gov/sites/default/files/2023oct12-noescape-ransomware-analyst-note-tlpclear.pdf

---