Water Makara使用高级鱼叉式网络钓鱼攻击巴西企业

近日，一项针对巴西企业的高级鱼叉式网络钓鱼攻击——Water Makara Campaign，引起了全球网络安全专家的关注。这一攻击活动专门针对巴西组织，通过混淆的JavaScript传递Astaroth恶意软件，以隐蔽的方式破坏系统安全。

Water Makara Campaign是一个复杂的网络攻击活动，其核心是通过精心设计的鱼叉式网络钓鱼邮件和混淆的JavaScript技术，针对巴西企业传播Astaroth恶意软件。以下是对该攻击活动整体性技术细节的描述：

攻击活动以伪装成官方税务文件的网络钓鱼邮件开始，这些邮件利用个人所得税申报的紧迫性，增加了受害者上当的可能性。邮件主题通常为“Aviso de Irregularidade”（违规通知），旨在诱骗收件人打开包含恶意LNK文件的ZIP附件。这些LNK文件在执行时，会通过mshta.exe工具运行嵌入的混淆JavaScript命令，该工具是一个通常用于执行HTML应用程序的合法程序。这些命令在执行过程中会被解码，并连接到命令与控制（C&C）服务器以获取进一步的指令。

Astaroth恶意软件是一种臭名昭著的银行木马，能够窃取包括凭证和财务数据在内的敏感信息。一旦恶意软件站稳脚跟，它不仅会导致数据被盗，还可能造成监管罚款、业务中断和失去消费者信任等长期损害。Water Makara采用了先进的混淆技术，使得检测变得困难。研究人员发现，编码后的JavaScript命令会指向恶意URL，这些URL采用了域名生成算法（DGA），这是网络犯罪分子用来创建大量域名从而逃避检测的一种策略。

此次攻击活动的影响范围广泛，主要针对巴西的制造业、零售业和政府机构。攻击者使用了多种文件格式（如.pdf、.jpg等）来传播恶意软件，利用用户对常见文件类型的信任。为了有效防范此类网络钓鱼攻击，Trend Micro建议企业应加强安全意识培训，实施强密码政策，并保持安全软件的更新。综上所述，Water Makara Campaign通过一系列复杂的技术手段，成功地对巴西企业进行了定向攻击，展示了网络犯罪分子在逃避技术方面的高超技巧，同时也凸显了企业需要采取先进工具和多层次安全措施来检测和防御此类攻击的必要性。

参考链接：

https://socradar.io/water-makara-campaign-a-spear-phishing-attack-on-brazilian-enterprises/

朝鲜黑客组织利用OtterCookie恶意软件对全球目标发起攻击

最新情报显示，朝鲜黑客组织在全球范围内部署了名为OtterCookie的恶意软件，对超过60家使用Cleo平台的公司进行了网络攻击。这一行动不仅展示了该组织在网络战领域的技术进步，也对全球网络安全构成了严重威胁。

OtterCookie恶意软件的攻击过程涉及多个复杂的技术环节，其详细技术分析揭示了攻击者使用的一系列高级且隐蔽的技术手段。攻击者首先通过精心设计的鱼叉式钓鱼邮件或利用受害者网站的安全漏洞，诱导目标用户执行恶意代码。这些邮件通常包含看似合法的附件或链接，一旦用户点击，就会触发恶意软件的下载和安装。一旦恶意软件被激活，它便开始在受害者的网络内部进行隐蔽的数据收集和横向移动。OtterCookie利用键盘记录器、截屏工具和文件窃取模块来搜集敏感信息，如用户名、密码、加密密钥和其他重要文档。这些信息随后被加密并通过网络发送到攻击者控制的服务器。

OtterCookie的另一个技术特点是其模块化设计，这使得攻击者能够根据目标环境的不同需求，灵活地加载或卸载特定功能模块。这种设计提高了恶意软件的适应性和隐蔽性，使得传统的安全检测手段难以发现其踪迹。恶意软件通过加密的通信通道与远程控制服务器保持联系，接收攻击者的指令并上传窃取的数据。

此外，OtterCookie还能够利用系统漏洞和配置缺陷，提升权限并横向移动至网络中的其他系统。它通过模拟正常网络流量的方式，隐藏其恶意行为，使得网络监控系统难以识别异常活动。攻击者还可能利用OtterCookie来部署其他恶意工具，如勒索软件或数据擦除工具，以进一步破坏目标网络。

此次攻击的影响范围广泛，包括政府机构、企业和关键基础设施在内的多个部门都受到了影响。攻击者通过OtterCookie恶意软件，不仅能够获取受害者的敏感数据，还能在目标网络中建立持久的访问通道，随时准备执行更深层次的破坏活动。

参考链接：

https://thehackernews.com/2024/12/north-korean-hackers-deploy-ottercookie.html

至少16个Chrome浏览器扩展程序被入侵，影响超过60万用户

网络安全研究人员近期发现至少16个Chrome浏览器扩展程序被黑客入侵，导致超过600,000用户的敏感数据暴露。这一供应链攻击通过精心设计的网络钓鱼信息，成功诱骗扩展程序发布者泄露账户访问权限，进而在扩展程序中植入恶意代码。

攻击者通过伪装成Chrome网上应用店开发者支持的网络钓鱼邮件，警告目标员工其扩展程序因违反政策将被移除，并敦促其接受发布政策。一旦员工点击邮件链接，便在不知情的情况下授权了一个恶意OAuth应用，即使启用了多因素认证(MFA)和Google高级保护也无法阻止这一安全漏洞。攻击者利用恶意应用“Privacy Policy Extension”获得必要权限，上传恶意Chrome扩展程序至Chrome网上应用店，并在常规安全审核后获得批准发布。特别是网络安全公司Cyberhaven，其Chrome扩展程序版本24.10.4被攻击者复制并添加恶意代码，替换了官方的Cyberhaven Chrome扩展程序，影响了自动更新的Chrome浏览器用户。恶意扩展程序使用了两个关键文件：worker.js和content.js。worker.js负责联系硬编码的命令与控制(C&C)服务器，下载配置并执行HTTP调用；content.js则负责收集目标网站用户数据并将其泄露到C&C有效载荷中指定的恶意域名。Cyberhaven的安全团队在UTC时间12月25日晚上11:54检测到入侵，并在60分钟内移除了恶意包。初步研究表明，这是一次非针对性攻击，是针对Facebook Ads用户的更广泛活动的一部分。Cyberhaven正与客户和第三方安全响应团队合作，进一步分析和调查。

除了Cyberhaven外，其他受影响的Chrome浏览器扩展程序包括AI Assistant – ChatGPT和Gemini for Chrome、Bard AI Chat、GPT 4 Summary with OpenAI等。安全公司Secure Annex的研究人员发现，包括“Earny”在内的多个扩展程序自2023年4月5日以来一直受到入侵影响。此次事件再次提醒了Chrome浏览器扩展程序用户和开发者，网络安全的重要性不容忽视。用户应保持警惕，定期更新和审查安装的扩展程序，而开发者则需加强安全措施，防止账户和代码被恶意攻击者利用。

参考链接：

https://securityaffairs.com/172491/hacking/chrome-browser-extensions-compromise.html

亲俄黑客组织NoName057针对意大利机场网站分布式拒绝服务攻击

在地缘政治紧张局势不断升级的背景下，意大利的关键基础设施再次成为网络攻击的目标。亲俄黑客组织NoName057近日对意大利的马尔彭萨和利纳特机场网站发起了分布式拒绝服务（DDoS）攻击，同时受到攻击的还包括意大利外交部（Farnesina）和都灵交通集团（GTT）的网站。这些攻击发生在圣诞节假期期间，一个组织通常人手减少、响应速度较慢的时期，显示出攻击者精心选择时机以增加攻击效果。

NoName057组织在其Telegram频道上宣称对此次攻击负责，并声称这是对意大利“恐俄症”的回应。尽管攻击导致相关网站面临访问问题，但幸运的是，机场的日常运营并未受到影响。意大利国家邮政警察的Cnaipic（国家打击网络犯罪中心，保护关键基础设施）正在积极调查这些网络攻击，并协助受害者减轻攻击带来的影响。

意大利外交部长安东尼奥·塔亚尼在参议院对记者表示，今天的攻击显然是俄罗斯发起的，他已指示外交部秘书长准备改革，以建立一个负责网络安全和人工智能的总司。塔亚尼强调，意大利正在努力坚决回应来自国外的网络攻击，并正在提高全球所有意大利办事处的安全门槛。

邮政和通信警察服务的负责人伊瓦诺·加布里埃利向Adnkronos透露，这些攻击者是“受意识形态驱动的网络犯罪分子，他们寻求的是可见度而非实际损害。”他进一步指出，这些攻击是由支持和与俄罗斯在乌克兰战争中的立场一致的团体发起的，他们针对的是那些在国际上支持乌克兰的国家。随着意大利政府对乌克兰的新一轮支持，这个团体重新开始针对某些意大利网站。

NoName057组织自2022年3月以来一直活跃，他们使用多种工具进行攻击，包括在2022年9月被Avast研究人员观察到使用Bobik僵尸网络发起DDoS攻击。该组织在地缘政治紧张时期，如其他国家增加对乌克兰的军事或外交支持时，会加剧攻击。

参考链接：

https://securityaffairs.com/172395/security/pro-russia-group-noname057-targets-italian-airports.html

未做安全保护的云服务器暴露80万辆大众集团电动汽车敏感数据

近期，一起涉及大众集团电动汽车的大规模数据泄露事件引起了国际社会的广泛关注。据报道，约80万辆大众、奥迪、西雅特和斯柯达品牌的电动汽车的敏感数据在一个未受保护的云服务器上被暴露数月，引发了对用户隐私和安全的严重担忧。

德国新闻媒体《明镜周刊》(Spiegel) 最近的一份报告揭露了这一安全漏洞。该漏洞是由一位匿名告密者发现并报告给混沌计算机俱乐部（CCC），这是一个欧洲著名的黑客组织。泄露的数据包括GPS坐标和车辆状态信息，这些信息详细涉及了大众ID.3和ID.4车主的数据，存储在一个不安全的亚马逊云服务器上。这使得任何具备相关知识的人都有可能追踪受影响车主的行动和习惯。

受影响的电动汽车遍布全球，主要集中在德国和欧洲其他地区。受影响的车主不仅包括普通市民，还有德国政治家、警察和情报机构员工等知名人士。通过将车辆数据与其他个人信息关联，研究人员能够深入了解受影响车主的日常生活。例如，Spiegel的报告能够以惊人的精确度追踪两位德国政治家的行动，确定他们在包括养老院和军营在内的各种地点的位置，并描绘了一位市长从工作地点到理疗师那里的行动轨迹。此外，Spiegel在亚马逊云存储中发现了数TB的数据，包括460,000辆车的精确位置，这些数据可能揭示了车主的关键信息。数据还包括有关汉堡警察局的电动汽车、政治家、商业领袖、联邦情报服务员工以及美国空军拉姆施泰因空军基地司机的信息。

此次安全事件的根源在于大众集团的软件部门Cariad的系统配置错误。该公司确认，系统配置错误导致了未经授权的访问敏感数据。虽然Cariad坚称没有财务或个人身份信息被泄露，但暴露的位置数据被滥用的潜在风险仍然存在。网络犯罪分子可能会利用这些信息进行有针对性的跟踪、敲诈甚至身体攻击。

CCC及时联系了下萨克森州的数据保护官员、联邦内政部和其他安全机构，并给了大众集团和Cariad 30天的时间来解决这个问题，然后才公开。Cariad的技术团队迅速且负责任地阻止了对客户数据的未经授权访问。

参考链接：

https://hackread.com/exposed-cloud-server-tracks-volkswagen-audi-skoda-evs/

施耐德电气公司遭遇黑客攻击后数据在暗网上泄露

施耐德电气作为全球能源管理和自动化技术的关键参与者，最近成为了Hellcat勒索软件组织攻击的目标。该组织声称在2024年11月成功入侵了施耐德电气的Atlassian Jira环境，并盗取了大量敏感数据。施耐德电气已确认其开发者平台遭受了安全入侵，并已启动紧急响应机制以调查此次事件。

在这次复杂的网络攻击中，Hellcat团伙提出了一个不同寻常的赎金要求，即价值12.5万美元的法棍面包，这一要求在网络安全领域中极为罕见。攻击者进一步威胁说，如果施耐德电气的首席执行官不公开承认数据泄露，赎金将减半。然而，施耐德电气并未屈服于这种勒索行为。到了12月29日，由于赎金要求未被满足，攻击者在暗网上公布了声称是从施耐德电气窃取的40GB数据，其中包括项目信息、用户数据等敏感内容。

施耐德电气在确认安全入侵后，迅速采取了一系列措施以隔离和缓解此次事件的影响。技术团队对入侵路径进行了追踪，识别了被利用的安全漏洞，并评估了数据泄露可能造成的影响。同时，公司加强了对受影响系统的监控，并与外部网络安全专家合作，进行全面的取证分析，以制定长期的安全增强计划。

此次事件是施耐德电气在过去18个月内遭受的第三次重大网络攻击，表明他们面临的网络安全挑战日益严峻。尽管支付赎金可能会暂时解决问题，但这也可能助长犯罪经济的发展。因此，施耐德电气选择不支付赎金，并致力于通过技术手段和法律途径来应对此次危机。

参考链接：

https://cybernews.com/security/schneider-electrics-data-breach/

PLAYFULGHOST恶意软件的高级功能和巧妙分发技术

Google安全研究人员进行的详细分析揭露了PLAYFULGHOST恶意软件的复杂性和威胁能力，这是一种基于Gh0st RAT的高级后门变种，以其独特的流量模式和加密技术而闻名。PLAYFULGHOST不仅继承了Gh0st RAT的远程管理工具功能，还增加了反取证、远程控制和权限提升等高级功能，使其成为一个严重的安全威胁。

PLAYFULGHOST恶意软件的起源可以追溯到2008年泄露的Gh0st RAT源代码。这种恶意软件通过支持键盘记录、屏幕捕获、音频捕获和文件执行等操作，进一步扩展了其能力。它通过精心设计的网络钓鱼邮件和搜索引擎投毒（SEO Poisoning）技术，将恶意软件伪装成合法下载，诱骗用户下载并执行。

攻击者利用网络钓鱼邮件，以“行为准则”等主题诱导受害者下载伪装成图像文件的恶意RAR档案。这些档案一旦被解压和执行，就会从远程服务器下载PLAYFULGHOST。此外，搜索引擎投毒技术使得恶意软件与流行应用如LetsVPN捆绑，通过操纵的搜索结果分发，误导用户下载看似合法的软件。

PLAYFULGHOST的执行过程涉及多个步骤，包括利用易受DLL劫持攻击的合法可执行文件加载恶意DLL，以及通过Windows LNK文件结合片段构建恶意DLL并启动。这种复杂的执行链使得恶意软件能够在用户不知情的情况下在系统内存中注入PLAYFULGHOST有效载荷。

该恶意软件还经常与如BOOSTWAVE（内存滴管）和CHROMEUSERINFO.dll（用于从Google Chrome提取存储的凭据）等工具一起部署，增强了其数据盗窃和远程控制的能力。PLAYFULGHOST通过注册表运行键、计划任务和启动文件夹条目确保其在系统中的持久性，并支持一系列恶意功能，包括数据盗窃、文件操作、远程shell访问，甚至恶作剧活动。

参考链接：

https://securityonline.info/playfulghost-malware-a-sophisticated-gh0st-rat-variant-with-advanced-distribution-tactics/

针对乌克兰军方的SSH Over TOR后门恶意软件攻击活动

网络安全研究人员近期发现了一起复杂的网络攻击活动，该活动专门针对乌克兰军方，利用SSH通过TOR网络建立了一个隐蔽的后门。这次攻击活动通过模仿“Army+”平台的假网站进行，该平台是为乌克兰军事人员开发的数字基础设施。

攻击者精心制作了一个名为ArmyPlusInstaller-v.0.10.23722.exe的恶意安装程序，该程序在外观上与合法软件无异，包含主应用程序、卸载程序和许可证文本等文件。然而，Baranov发现了一个异常细节：安装程序中包含了Tor浏览器的另一个压缩文件。此外，安装程序还运行了一个名为ArmyPlus.exe的诱饵应用程序，该程序显示一个错误消息，暗示与受害者系统的不兼容性，以此掩盖其恶意行为。该恶意软件活动的核心是一个名为init.ps1的PowerShell脚本，该脚本在不引起注意的情况下执行了恶意命令。通过禁用PowerShell的执行策略，恶意软件绕过了安全检查，将文件提取到隐蔽目录，并启动了基于TOR的通信。Baranov指出，恶意软件将其文件分散到三个不同且不起眼的文件夹中。攻击的关键在于其使用了TOR和OpenSSH组件来建立一个匿名且安全的后门通信渠道。脚本部署了TOR以创建一个洋葱服务，并将地址存储在hostname文件中，以实现安全通信。同时，使用ssh-keygen工具创建了RSA密钥对，用于加密命令执行。此外，后门安装并配置了OpenSSH作为Windows服务，赋予攻击者对被入侵系统的高权限访问。

通过TOR网络，恶意软件将系统信息、RSA密钥和洋葱地址发送到攻击者的服务器，建立了一个准备执行远程命令的功能性后门。这次攻击活动的一个显著特点是其依赖于合法软件，所有涉及的可执行文件，如curl.exe和ssh-keygen，都是Windows系统上的原生且签名的软件，这使得恶意软件能够有效地规避传统的防病毒检测。

参考链接：

https://securityonline.info/malware-targeting-the-ukrainian-military-ssh-over-tor-backdoor-unveiled/

Cl0p勒索软件组织攻击Cleo平台，超过60家公司受影响

近期，一场由Cl0p勒索软件组织发起的网络攻击波及了超过60家使用Cleo平台的公司。这一事件再次凸显了勒索软件攻击对全球企业构成的威胁，以及对关键基础设施的潜在风险。

Cl0p勒索软件攻击以其高度复杂和破坏性而闻名，此次通过针对Cleo平台的攻击，成功渗透了多家公司的网络系统。Cleo平台作为一种企业级集成和自动化解决方案，被广泛应用于供应链管理、业务流程自动化和数据交换。攻击者利用了Cleo平台中的一个未公开的安全漏洞，部署了勒索软件，加密了受影响公司的关键数据，并要求支付赎金以换取解密密钥。

此次Cl0p勒索软件攻击的技术分析揭示了攻击者使用的一系列复杂技术手段。攻击者首先通过社会工程学手段或利用已知漏洞获取了初始访问权限。这可能包括钓鱼邮件、水坑攻击或远程桌面协议（RDP）的弱密码。一旦获得访问权限，攻击者在内部网络中进行横向移动，使用工具如Mimikatz等来窃取凭证，以便进一步深入网络。

攻击者利用Cleo平台的安全漏洞，这可能是一个未修补的软件缺陷或配置错误，来部署勒索软件。他们可能使用了如PsExec等工具来远程执行恶意代码，或者通过恶意脚本和命令行指令来启动勒索软件的加密进程。

Cl0p勒索软件以其能够绕过某些安全措施而闻名，例如通过使用无文件技术或内存中的执行来避免在磁盘上留下痕迹。这种技术使得勒索软件更难被发现和清除。勒索软件还可能使用加密随机密钥来加密文件，这些密钥在每次加密后都被销毁，使得解密过程更加困难。

在加密过程中，Cl0p勒索软件会修改文件扩展名，添加特定的后缀，如“.CL0P”，并创建一个勒索信，指导受害者如何支付赎金以获取解密密钥。勒索信中可能包含一个倒计时计时器，威胁说如果不及时支付，解密成本将增加或数据将被公开。

攻击者还可能使用了数据泄露威胁，即所谓的“双重勒索”策略，这意味着除了加密数据外，他们还窃取了未加密的副本，并威胁说如果不支付赎金，就会在暗网上公布这些数据。

参考链接：

https://cybernews.com/security/cl0p-ransomware-hits-over-60-companies-using-cleo-platform/

罗马尼亚黑客因参与NetWalker勒索软件犯罪活动被判20年监禁

近期，一名罗马尼亚国民因其在臭名昭著的NetWalker勒索软件攻击中的重要作用，被美国法院判处20年监禁。Daniel Cristian Hulea在2023年6月对计算机欺诈阴谋和电报欺诈阴谋认罪后，接受了这一判决。Hulea在全球范围内参与犯罪活动，特别是在Covid-19大流行高峰期间，他将目标对准了包括医疗组织在内的关键部门。

Hulea是NetWalker勒索软件集团的关键操作者，该集团自2019年以来一直以勒索软件即服务（RaaS）的模式运作。NetWalker集团的作案手法是在网络中寻找漏洞，加密关键数据，并以高额赎金勒索受害者。犯罪分子承认从全球受害者那里勒索了合计1595个比特币，价值约2150万美元。根据美国司法部的新闻稿，Hulea被没收了2150万美元，以及他在印度尼西亚巴厘岛一家有限责任公司及其相关在建豪华度假村物业的利益——这是他用攻击所得资金资助的商业投资。此外，他还被命令支付约14991580.01美元的赔偿金。

NetWalker的作案手法在Covid-19大流行期间尤为令人担忧，因为它们针对的是医疗组织，这些组织在抗击疫情的关键时刻最为脆弱。勒索软件的攻击破坏了关键服务，危及生命，使已经因全球健康危机而疲惫不堪的机构陷入瘫痪。在2020年8月的安全警告中，FBI警告NetWalker专注于政府和医疗实体。NetWalker集团采用RaaS模式，为网络犯罪分子提供了一个广泛的工具包，以换取非法利润的一部分，从而扩大了NetWalker的影响范围。这种RaaS方法使得NetWalker成为最臭名昭著的勒索软件集团之一。

参考链接：

https://www.bitdefender.com/en-us/blog/hotforsecurity/romanian-gets-20-year-sentence-for-netwalker-ransomware-crimes

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）