APT40利用ScanBox侦察框架攻击澳大利亚的政府机构

宣布时间 2022-09-01
1、APT40利用ScanBox侦察框架攻击澳大利亚的政府机构

      

Proofpoint在8月30日披露了APT40近期的攻击活动 。攻击主要针对澳大利亚地方和联邦政府机构及媒体机构 ,和为南海风力涡轮机提供维护服务的全球重工业制造商 。2022年4月至6月期间 ,攻击者冒充澳大利亚晨报的员工 ,通过钓鱼活动分发ScanBox漏洞利用框架 。凭据最新证据 ,Proofpoint得出结论 ,2022年的活动是APT40自2021年3月以来进行的同一情报收集任务的第三阶段 ,其时攻击者冒充新闻媒体 ,通过RTF模板注入加载Meterpreter 。


https://www.proofpoint.com/us/blog/threat-insight/chasing-currents-espionage-south-china-sea   


2、意大利石油公司Eni称其内部网络遭到未经授权的访问

      

据8月31日报道 ,意大利石油公司Eni称其内部� ;は低臣觳獾秸攵怨就绲奈淳谌ǖ姆梦� 。目前没有攻击的技术细节 ,无法确定攻击者身份、如何入侵的以及他们的动机 。知情人士称 ,Eni好像遭到了勒索攻击 。意大利能源部门近期似乎遭到了攻击 ,上周末 ,经营意大利电力市场的政府机构Gestore dei Servizi Energetici SpA遭到攻击 。GSE的基础设施受到影响 ,网站仍处于中断状态 。


https://securityaffairs.co/wordpress/135116/hacking/eni-suffered-cyberattack.html


3、Securonix披露新恶意软件活动GO#WEBBFUSCATOR的细节

      

据8月30日报道 ,Securonix发现一起基于Golang的连续攻击活动GO#WEBBFUSCATOR 。熏染始于一封带有恶意文档Geos-Rates.docx的钓鱼邮件 ,它会下载模板文件 。该文件包罗一个经过混淆的VBS宏 ,启用宏后 ,代码会从远程资源下载JPG图像 ,然后使用certutil.exe将其解码为可执行文件msdllupdate.exe并启动它 。在图像检察器中 ,.JPG文件则显示了由NASA于2022年7月宣布的星系团SMACS 0723 。二进制msdllupdate.exe接纳了多种混淆技术来绕过AV使分析变得困难 。


https://www.securonix.com/blog/golang-attack-campaign-gowebbfuscator-leverages-office-macros-and-james-webb-images-to-infect-systems/


4、McAfee发现5个恶意Chrome扩展已被安装凌驾140万次

      

McAfee在8月29日报道 ,研究人员发现了5个可以窃取用户浏览活动的Google Chrome扩展法式 ,总下载量已凌驾140万次 。这些恶意扩展的目的是监控用户访问电商网站 ,并修改访问者的cookie ,使其看起来是通过推荐链接来的 ,这样 ,扩展法式的开发人员可以在这些购置活动中获得联营费 。恶意扩展分别为Netflix Party、Netflix Party 2、Full Page Screenshot Capture、FlipShope和AutoBuy Flash Sales ,虽然它们不会直接影响用户 ,但会带来严重的隐私风险 。


https://www.mcafee.com/blogs/other-blogs/mcafee-labs/malicious-cookie-stuffing-chrome-extensions-with-1-4-million-users/


5、乌克兰国家警察关闭某黑客团伙使用的呼叫中心网络

      

媒体8月30日称 ,乌克兰国家警察(NPU)关闭了一个黑客团伙使用的呼叫中心网络 。据称 ,该团伙还涉嫌诈骗对加密货币、证券、黄金和石油投资感兴趣的乌克兰和欧盟国家的公民 。在诈骗活动中 ,攻击者使用了软件和高科技设备 ,冒充国有银行机构的员工 ,敲诈目标的银行卡机密数据 。然后 ,在诱骗目标将资金转移到攻击者的账户后中断所有通信 。执法人员搜查了与此次活动相关的多个呼叫中心并没收了计算机、手机和数据记录 ,相关嫌疑人将面临最高12年的监禁 。


https://www.bleepingcomputer.com/news/security/ukraine-takes-down-cybercrime-group-hitting-crypto-fraud-victims/


6、Cisco宣布3个分发多种恶意软件的活动的分析陈诉

      

8月30日 ,Cisco Talos宣布陈诉称视察到2022年3月至6月期间的3个独立但相关的攻击活动 。这些活动分发了多个恶意软件 ,包罗ModernLoader bot、信息窃取法式RedLine和挖矿恶意软件 。攻击者使用PowerShell、.NET法式集以及HTA和VBS文件在目标中流传 ,最终安装其它恶意软件 ,如SystemBC木马和DCRAT 。最终的payload似乎是ModernLoader ,它可通过收集系统信息和安装种种� ?槔闯涞痹冻谭梦誓韭� 。


https://blog.talosintelligence.com/2022/08/modernloader-delivers-multiple-stealers.html