新的RisePro通过PrivateLoader PPI服务进行分发

首页 > 宁静研究 > 宁静通报 > 宁静简讯

新的RisePro通过PrivateLoader PPI服务进行分发

宣布时间 2022-12-28

1、新的RisePro通过PrivateLoader PPI服务进行分发

据12月24日报道，研究团队发现了一种新型窃取信息的恶意软件RisePro。它于2022年12月13日首次被检测到，正在通过PrivateLoader按安装付费(PPI)恶意软件下载服务进行分发。RisePro由C++开发，似乎具有与Vidar类似的功效，旨在资助攻击者从被熏染的设备中窃取目标的信用卡、密码和加密钱包。Flashpoint陈诉称，攻击者已经在俄罗斯暗网市场上出售数以千计的RisePro日志（从被熏染设备中窃取的数据包）。

https://www.bleepingcomputer.com/news/security/new-info-stealer-malware-infects-software-pirates-via-fake-cracks-sites/

2、RansomHouse声称对瓦努阿图政府遭到的勒索攻击卖力

据媒体12月26日报道，RansomHouse声称对瓦努阿图政府遭到的勒索攻击卖力。瓦努阿图曾在11月初宣布他们遭到了勒索攻击，在将近一个月后仍未完全恢复。12月24日，RansomHouse团伙将瓦努阿图政府列入了他们的网站，称已于10月6日加密他们的系统，并窃取了3.2 TB的文件。宣布的样本中文件看起来确实与政府的文件一致，其中不包罗个人或敏感的文件。目前尚不清楚赎金金额是几多，或是否进行过谈判。

https://www.databreaches.net/vanuatu-ransomware-attack-claimed-by-ransomhouse/

3、CrowdStrike披露GuLoader绕过宁静检测的多个要领

CrowdStrike在12月19日披露了GuLoader绕过宁静检测的多个要领。GuLoader（又名CloudEyE），是一种Visual Basic Script(VBS)下载法式，于2019年首次在野外被发现。它使用多态shellcode加载法式来绕过传统宁静解决方案，研究人员为恶意软件使用的每个API映射所有嵌入式DJB2哈希值来分析其活动。新的shellcode反分析技术通过扫描整个进程内存来查找与虚拟机(VM)相关的字符串，新的冗余代码注入机制意味着通过使用内联汇编绕过宁静解决方案的用户模式hook来确保代码的执行。

https://www.crowdstrike.com/blog/guloader-dissection-reveals-new-anti-analysis-techniques-and-code-injection-redundancy/

4、TrendMicro发现利用谷歌PPC广告分发IcedID的活动

12月23日，Trend Micro透露其发现僵尸网络IcedID的分发方式发生了重大变化。自2022年12月以来，研究人员视察到利用谷歌每次点击付费(PPC)广告分发IcedID的活动。IcedID运营团伙劫持了Adobe、Fortinet和Discord等品牌和应用所使用的要害词来显示恶意广告。当用户搜索要害字时，指向恶意网站的广告显示在自然搜索结果上方。在此活动中，加载法式是通过MSI文件分发的，这对于IcedID来说是不常见的。此外，攻击者利用了合法的Keitaro流量导向系统(TDS)来过滤来自研究人员和沙盒的流量。

https://www.trendmicro.com/en_us/research/22/l/icedid-botnet-distributors-abuse-google-ppc-to-distribute-malware.html

5、芝加哥的能源公司Sargent & Lundy遭到勒索攻击

媒体12月27日称，美国CNN透露黑客在近期的勒索攻击中窃取了多家电力公司的数据。此次勒索攻击针对的是总部位于芝加哥的Sargent & Lundy工程公司，该公司设计了900多个发电站和数千英里的电力系统，并持有这些项目的敏感数据。据其网站称，该公司还处置核宁静问题。据悉，该事件已得到控制和调停，似乎并未对其它电力行业的公司造成影响，也没有数据被宣布到暗网上。

https://www.databreaches.net/hackers-stole-data-from-multiple-electric-utilities-in-recent-ransomware-attack/

6、Kaspersky宣布针对阿尔巴尼亚的两轮攻击的分析陈诉

Kaspersky在12月22日宣布了针对阿尔巴尼亚组织的两轮攻击活动的分析陈诉。该陈诉主要比力了这两轮攻击活动所使用的勒索软件和擦除恶意软件之间的区别。对于勒索软件，两轮攻击活动的样本具有相同的签名证书参数，与科威特电信公司有关。攻击者对第二轮使用的擦除恶意软件进行了多次修改，可能是为了绕过检测，主要变化是使用Nvidia证书对恶意软件签名、在恶意软件中嵌入EldoS RawDisk驱动法式，以及在驱动法式安装后立即启动删除例程。

https://securelist.com/ransomware-and-wiper-signed-with-stolen-certificates/108350/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究