微软披露使用Remcos RAT针对美国税务行业的攻击活动

首页 > 清静研究 > 清静转达 > 清静简讯

微软披露使用Remcos RAT针对美国税务行业的攻击活动

宣布时间 2023-04-18

1、微软披露使用Remcos RAT针对美国税务行业的攻击活动

4月13日，，，，，，，微软披露了近期针对美国会计和报税公司的垂纶攻击活动。。。。。。。垂纶邮件中的链接可绕过检测，，，，，，，最终指向文件托管网站下载ZIP文档。。。。。。。ZIP文档包括许多伪装成种种税表PDF的文件，，，，，，，但现实上是Windows快捷方法。。。。。。�？？？旖莘椒ㄖ葱蠵owerShell，，，，，，，从远程主机下载VBS文件。。。。。。。这些VBS文件将下载并执行GuLoader，，，，，，，进而装置Remcos RAT。。。。。。。Remcos通常用于获得公司的初始会见权限，，，，，，，攻击者可使用此权限进一步撒播，，，，，，，窃取数据并装置其它恶意软件。。。。。。。

https://www.microsoft.com/en-us/security/blog/2023/04/13/threat-actors-strive-to-cause-tax-day-headaches/

2、新加迫蚊钱币生意平台Bitrue被黑损失2300万美元

媒体4月15日称，，，，，，，新加坡的加密钱币生意平台Bitrue一个数字钱包被黑，，，，，，，损失约2300万美元。。。。。。。声明体现，，，，，，，攻击者窃取了多种数字钱币，，，，，，，包括以太坊(ETH)、Polygon(MATIC)、Shiba Inu(SHIB)、Quant(QNT)、GALA和Holo(HOT)。。。。。。。Bitrue称，，，，，，，受影响的是可以通过互联网会见的热钱包，，，，，，，只包括Bitrue总资金的不到5%，，，，，，，其余钱包仍然清静。。。。。。。该平台已暂停所有提款，，，，，，，同时举行清静检查，，，，，，，妄想于4月18日重新开放。。。。。。。

https://therecord.media/bitrue-23million-stolen-cryptocurrency

3、波兰情报机构透露APT29是攻击北约和欧盟的幕后黑手

波兰军事反情报局及盘算机应急响应小组在4月13日称，，，，，，，APT29与针对北约和欧盟的攻击有关。。。。。。。该情报机构指出，，，，，，，近期活动的许多要素，，，，，，，包括基础设施、使用的手艺和工具，，，，，，，都与已往的APT29活动重叠。。。。。。。攻击针对外交职员，，，，，，，使用冒充欧洲国家大使馆的鱼叉式垂纶邮件，，，，，，，并附上恶意网站的链接或附件，，，，，，，旨在通过ISO、IMG和ZIP文件分发恶意软件。。。。。。。攻击者使用了多种工具，，，，，，，包括SNOWYAMBER、HALFRIG和QUARTERRIG等。。。。。。。现在，，，，，，，该活动仍在举行中。。。。。。。

https://securityaffairs.com/144763/apt/apt29-behind-nato-eu-attacks.html

4、AhnLab发明勒索软件Trigona攻击MS-SQL效劳器的活动

AhnLab 4月17日称其近期发明了勒索软件Trigona攻击治理不善的MS-SQL效劳器的活动。。。。。。。据推测，，，，，，，攻击者在装置Trigona之前首先装置了恶意软件CLR Shell。。。。。。。CLR Shell有一个使用提权误差的例程，，，，，，，可能是由于Trigona需要高权限。。。。。。。MS-SQL历程sqlservr.exe以svcservice.exe的名义装置Trigona。。。。。。。svcservice.exe是一个dropper，，，，，，，它在统一起径上建设并执行现实的Trigona勒索软件，，，，，，，即svchost.exe。。。。。。。

https://asec.ahnlab.com/en/51343/

5、IBM宣布关于与FIN7相关的恶意软件Domino的剖析报告

4月14日，，，，，，，IBM详述了前Conti成员和FIN7开发职员联手推出新的恶意软件Domino。。。。。。。Domino由两个组件组成，，，，，，，划分为Domino Backdoor和Domino Loader。。。。。。。通常，，，，，，，Dave Loader会分发Domino Backdoor。。。。。。。该后门可枚举系统信息，，，，，，，然后下载Domino Loader。。。。。。。Loader会装置名为Nemesis Project的嵌入式.NET信息窃取程序。。。。。。。Domino的代码与Lizar有大宗重叠，，，，，，，Lizar是与FIN7相关的工具包，，，，，，，因此IBM将其归因于FIN7。。。。。。。该活动使用Dave Loader加载恶意软件，，，，，，，因此可将其与Trickbot/Conti及其前成员联系起来。。。。。。。

https://securityintelligence.com/posts/ex-conti-fin7-actors-collaborate-new-domino-backdoor/

6、Trellix宣布新RaaS提供商RTM Locker的剖析报告

4月13日，，，，，，，Trellix宣布了关于勒索软件即效劳(RaaS)提供商Read The Manual(RTM)Locker的剖析报告。。。。。。。该团伙的战略只专注于一件事，，，，，，，即低调行事。。。。。。。他们的目的不是成为新闻头条，，，，，，，而是在不为人知的情形下赚钱。。。。。。。该组织还绕过、医院、COVID-19疫苗相关组织、要害基础设施和执法部分等，，，，，，，以尽可能镌汰关注。。。。。。。该团伙的营业设置，，，，，，，要求隶属机构坚持活跃，，，，，，，不然他们的帐户将被删除。。。。。。。这显示了该组织的成熟度，，，，，，，这一点在其它组织（如Conti）中也被视察到。。。。。。。

https://www.trellix.com/en-us/about/newsroom/stories/research/read-the-manual-locker-a-private-raas-provider.html

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

凯时K66

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系凯时K66

清静研究