微软披露使用Remcos RAT针对美国税务行业的攻击运动

首页 > 清静研究 > 清静转达 > 清静简讯

微软披露使用Remcos RAT针对美国税务行业的攻击运动

宣布时间 2023-04-18

1、微软披露使用Remcos RAT针对美国税务行业的攻击运动

4月13日，微软披露了近期针对美国会计和报税公司的垂纶攻击运动。垂纶邮件中的链接可绕过检测，最终指向文件托管网站下载ZIP文档。ZIP文档包括许多伪装成种种税表PDF的文件，但现实上是Windows快捷方法�？旖莘椒ㄖ葱蠵owerShell，从远程主机下载VBS文件。这些VBS文件将下载并执行GuLoader，进而装置Remcos RAT。Remcos通常用于获得公司的初始会见权限，攻击者可使用此权限进一步撒播，窃取数据并装置其它恶意软件。

https://www.microsoft.com/en-us/security/blog/2023/04/13/threat-actors-strive-to-cause-tax-day-headaches/

2、新加迫蚊钱币生意平台Bitrue被黑损失2300万美元

媒体4月15日称，新加坡的加密钱币生意平台Bitrue一个数字钱包被黑，损失约2300万美元。声明体现，攻击者窃取了多种数字钱币，包括以太坊(ETH)、Polygon(MATIC)、Shiba Inu(SHIB)、Quant(QNT)、GALA和Holo(HOT)。Bitrue称，受影响的是可以通过互联网会见的热钱包，只包括Bitrue总资金的不到5%，其余钱包仍然清静。该平台已暂停所有提款，同时举行清静检查，妄想于4月18日重新开放。

https://therecord.media/bitrue-23million-stolen-cryptocurrency

3、波兰情报机构透露APT29是攻击北约和欧盟的幕后黑手

波兰军事反情报局及盘算机应急响应小组在4月13日称，APT29与针对北约和欧盟的攻击有关。该情报机构指出，近期运动的许多要素，包括基础设施、使用的手艺和工具，都与已往的APT29运动重叠。攻击针对外交职员，使用冒充欧洲国家大使馆的鱼叉式垂纶邮件，并附上恶意网站的链接或附件，旨在通过ISO、IMG和ZIP文件分发恶意软件。攻击者使用了多种工具，包括SNOWYAMBER、HALFRIG和QUARTERRIG等。现在，该运动仍在举行中。

https://securityaffairs.com/144763/apt/apt29-behind-nato-eu-attacks.html

4、AhnLab发明勒索软件Trigona攻击MS-SQL服务器的运动

AhnLab 4月17日称其近期发明了勒索软件Trigona攻击治理不善的MS-SQL服务器的运动。据推测，攻击者在装置Trigona之前首先装置了恶意软件CLR Shell。CLR Shell有一个使用提权误差的例程，可能是由于Trigona需要高权限。MS-SQL历程sqlservr.exe以svcservice.exe的名义装置Trigona。svcservice.exe是一个dropper，它在统一起径上建设并执行现实的Trigona勒索软件，即svchost.exe。

https://asec.ahnlab.com/en/51343/

5、IBM宣布关于与FIN7相关的恶意软件Domino的剖析报告

4月14日，IBM详述了前Conti成员和FIN7开发职员联手推出新的恶意软件Domino。Domino由两个组件组成，划分为Domino Backdoor和Domino Loader。通常，Dave Loader会分发Domino Backdoor。该后门可枚举系统信息，然后下载Domino Loader。Loader会装置名为Nemesis Project的嵌入式.NET信息窃取程序。Domino的代码与Lizar有大宗重叠，Lizar是与FIN7相关的工具包，因此IBM将其归因于FIN7。该运动使用Dave Loader加载恶意软件，因此可将其与Trickbot/Conti及其前成员联系起来。

https://securityintelligence.com/posts/ex-conti-fin7-actors-collaborate-new-domino-backdoor/

6、Trellix宣布新RaaS提供商RTM Locker的剖析报告

4月13日，Trellix宣布了关于勒索软件即服务(RaaS)提供商Read The Manual(RTM)Locker的剖析报告。该团伙的战略只专注于一件事，即低调行事。他们的目的不是成为新闻头条，而是在不为人知的情形下赚钱。该组织还绕过、医院、COVID-19疫苗相关组织、要害基础设施和执法部分等，以尽可能镌汰关注。该团伙的营业设置，要求隶属机构坚持活跃，不然他们的帐户将被删除。这显示了该组织的成熟度，这一点在其它组织（如Conti）中也被视察到。

https://www.trellix.com/en-us/about/newsroom/stories/research/read-the-manual-locker-a-private-raas-provider.html

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究