РAPT Lotus BaneÊÇ×î½üÕë¶ÔÔ½ÄϽðÈÚÐÐÒµµÄ¹¥»÷µÄÄ»ºóºÚÊÖ

°ä²¼¹¦·ò 2024-03-08
1. РAPT Lotus BaneÊÇ×î½üÕë¶ÔÔ½ÄϽðÈÚÐÐÒµµÄ¹¥»÷µÄÄ»ºóºÚÊÖ


3ÔÂ6ÈÕ£¬Ô½ÄϵÄÒ»¼Ò½ðÈÚʵÌåÊÇÏÈǰδ¼Í¼µÄÃûΪLotus Bane µÄÍþвÐÐΪÕßµÄÖ¸±ê£¬¸ÃÐÐΪÕßÓÚ 2023 Äê 3 Ô³õ´Î±»·¢ÏÖ ¡£Lotus Bane ʹÓõļ¼ÊõÓëOceanLotusµÄ¼¼Êõ³Áµþ£¬OceanLotus ÊÇÒ»¸öÓëÔ½ÄϽáÃ˵ÄÍþв×éÖ¯£¬Ò²³ÆÎª APT32¡¢Canvas Cyclone£¨ÒÔǰ³ÆÎª Bismuth£©ºÍ Cobalt Kitty ¡£ÕâÔ´ÓÚʹÓà PIPEDANCE µÈ¶ñÒâÈí¼þ½øÐж¨Ãû¹Ü·ͨѶ ¡£ÖµÍ×ÌùÐĵÄÊÇ£¬ Elastic Security Labs ÓÚ 2023 Äê 2 Ô³õ´Î¼Í¼ÁËPIPEDANCE £¬¸ÃÊÂÎñÓë 2022 Äê 12 ÔÂÏÂÑ®Õë¶ÔÒ»¸öδй©ÐÕÃûµÄÔ½ÄÏ×éÖ¯µÄÍøÂç¹¥»÷ÓйØ ¡£´ÓǰһÄ꣬ÑÇÌ«µØÓò (APAC)¡¢Å·ÖÞ¡¢À­¶¡ÃÀÖÞ (LATAM) ºÍ±±ÃÀµÄ½ðÈÚ×éÖ¯ÒѳÉΪBlind EagleºÍLazarus GroupµÈ¶à¸ö¸ß¼¶³ÖÐøÍþв×éÖ¯µÄÖ¸±ê ¡£ÁíÒ»¸ö³ÛÃûµÄ³öÓÚ¾­¼Ã¶¯»úµÄÍþв×éÖ¯ÊÇ UNC1945£¬¾Ý¹Û²ì£¬¸Ã×éÖ¯ÒÔ ATM »¥»»»ú·þÎñÆ÷Ϊָ±ê£¬Ö÷ÕÅÊÇÓÃÃûΪ CAKETAP µÄ×Ô½ç˵¶ñÒâÈí¼þϰȾËüÃÇ ¡£


https://thehackernews.com/2024/03/new-apt-group-lotus-bane-behind-recent.html


2. RA World ÀÕË÷Èí¼þ¹¥»÷À­¶¡ÃÀÖÞµÄÒ½ÁƱ£½¡ÐÐÒµ


3ÔÂ6ÈÕ£¬ÀÕË÷Èí¼þ×éÖ¯ RA World£¨Ò²³ÆÎª RA Group£©ÌáÒéÁËÐÂÒ»²¨»î¶¯ ¡£¸Ã×éÖ¯ÓÚ 2023 Äê 4 ÔÂÌáÒé¶ñÒâÐж¯£¬ÔÚÆäÈÎÆÚÄÚ¶Ô¶à¶à×éÖ¯ÌáÒéÁ˹¥»÷£¬ÖØÒªÊÇÃÀ¹ú¡¢µÂ¹ú¡¢Ó¡¶ÈºĮ́ÍåµÄÒ½ÁƱ£½¡ºÍ½ðÈÚÁìÓòµÄ×éÖ¯ ¡£×êÑÐÈËÔ±·¢ÏÖ£¬RA World µÄ×îй¥»÷Õë¶ÔÀ­¶¡ÃÀÖ޵Ķà¼ÒÒ½ÁÆ»ú¹¹ ¡£ÕâЩ¹¥»÷ÊÇ·Ö½×¶ÎÖ´ÐеÄ£¬ÒÔ×î´óÏ޶ȵØÌá¸ß³É¹¦Ðж¯µÄ×ÜÌå»úÓö ¡£³õʼ½Ó¼û½×¶Î´ÓºÚ¿Íͨ¹ýÓò½ÚÔìÆ÷ÉøÈëÍÆËã»úϵͳÆðÍ· ¡£ÔÚÕâÀ×éÕ½Êõ¶ÔÏó (GPO) µÄ±à×ëÆð×ÅÖÁ¹Ø³ÁÒªµÄ×÷Óã¬Ê¹·¸×ïÕß¿ÉÄÜÔÚÊܺ¦ÕßµÄϵͳÖÐÇ¿¼ÓËûÃǵĹ涨 ¡£´Ë±í£¬¸Ã¶ñÒâÈí¼þ»¹Äܹ»ÒÔÌØÊâµÄ°²È«Ä£Ê½³ÁÐÂÆô¶¯ÏµÍ³£¬ÒÔÌӱܷÀ²¡¶¾Èí¼þµÄ¼ì²â ¡£Ëü»¹½â³ýÁ˹¥»÷ºóÆä´æÔڵĺۼ££¬Ê¹×êÑÐÈËÔ±µÄ·ÖÎö¹¤×÷±äµÃÔ½·¢¸´ÔÓ ¡£


https://meterpreter.org/ra-world-ransomware-strikes-latin-american-healthcare/


3. ºÚ¿ÍʹÓñøÆ÷»¯ÈÕÀúÔ¼Çë×°Öà MacOS ¶ñÒâÈí¼þ


3ÔÂ6ÈÕ£¬ºÚ¿ÍʹÓñøÆ÷»¯µÄÈÕÀúÔ¼ÇëÀ´ÀûÓõç×ÓÓʼþϵͳÖеķì϶£¬ÓÕÆ­Óû§µã»÷¶ñÒâÁ´½Ó»òÏÂÔØ¼Ù×°³É»î¶¯¸½¼þµÄ¶ñÒâÈí¼þ ¡£Í¨¹ýÀûÓöÔÈÕÀúÔ¼ÇëµÄÐÅÀµ£¬ÍþвÐÐΪÕßÔö³¤Á˳ɹ¦½øÐÐÍøÂç´¹µö¹¥»÷ºÍδ¾­ÊÚȨ½Ó¼ûÃô¸ÐÐÅÏ¢µÄ¿ÉÄÜÐÔ ¡£Malwarebytes µÄÍøÂ簲ȫ×êÑÐÈËÔ±×î½ü·¢ÏÖ£¬ºÚ¿ÍÔÚ»ý¼«ÀûÓñøÆ÷»¯ÈÕÀúÔ¼ÇëÀ´×°ÖÃmacOS ¶ñÒâÈí¼þ ¡£ÍþвÐÐΪÕßͨ¹ý Telegram DM ÁªÏµÖ¸±ê£¬Í¨¹ýÌṩͨ»°»ò»áÒéµÄ»úÓöÀ´ÒýÓÕÖ¸±ê ¡£¸ÐÐËÖµÄÖ¸±ê»áÊÕµ½ÐéαµÄ»áÒéÔ¼Çë ¡£µ±Êܺ¦Õß³¢ÊÔ²ÎÓëʱ£¬Á´½Ó»áʧ°Ü ¡£Ú¿Æ­Õß½«´Ë¹é×ïÓÚÇøÓò½Ó¼ûÏÞ¶È£¬²¢½¨ÒéÔËÐнÅÕý±¾½¨¸´Ëü ¡£ 


https://gbhackers.com/malware-weaponized-calendar-invites/


4. ºÚ¿ÍÀÄÓà QEMU Ó²¼þ·ÂÕÕÆ÷½øÐÐÒþÃØ C2 ͨѶ


3ÔÂ6ÈÕ£¬QEMU ÊÇÒ»¸ö¿ªÔ´Æ½Ì¨£¬Ìṩ°²È«ÇÒ˽ÓеÄÐé¹¹»¯¿Õ¼ä£¬ÓÃÓÚÔÚ×Ô¼ºµÄ»·¾³Öг¢ÊÔ¶ñÒâ´úÂë¡¢·ì϶ÀûÓú͹¥»÷ ¡£Õâ¸öÊܿصIJâÊÔ³¡×î´óÏ޶ȵؽµµÍÁ˱»·¢ÏÖºÍ˾·¨ÎÊÌâµÄ·çÏÕ ¡£??´Ë±í£¬QEMU ÔÊÐíºÚ¿Í¿ª·¢Äܹ»ÔÚ·ÖÆçÓ²¼þ¼Ü¹¹ºÍ²Ù×÷ϵͳÉÏÔËÐеĶñÒâÈí¼þ ¡£¿¨°Í˹»ù³¢ÊÔÊÒµÄÍøÂ簲ȫ×êÑÐÈËÔ±×î½ü·¢ÏÖ£¬ºÚ¿ÍÔÚÀÄÓà QEMU Ó²¼þ·ÂÕÕÆ÷À´°ÂÃØÇÔÈ¡±»µÁÊý¾Ý ¡£¹¥»÷Õßϲ»¶Ê¹ÓÃÕý°æ¹¤¾ßÒÔÔ¤·À¼ì²â£¬Í¬Ê±Ò²Ï÷¼õ¶ñÒâÈí¼þÖ§³ö ¡£Êý¾Ýй¶¡¢Çý¶¯Æ÷¼ÓÃÜ¡¢Ô¶³ÌÖ´ÐкÍÄÚ´æ×ª´¢ÊÇ¿ÉÐÅÈí¼þÖ§³ÖµÄÒ»Ð©ÍøÂçɨÃè»î¶¯ ¡£Ô¤×°ÖõĶñÒâÈí¼þ»ò·ÂÕÕÔ±¹¤µÄ RDP/ VPN½Ó¼û³äÈÎÊÜϰȾϵͳµÄ°²Éíµã ¡£ÍøÂçËí·ºÍ¶Ë¿Úת·¢ÊµÓ÷¨Ê½Ê¹Óû§¿ÉÄÜÈÆ¹ý NAT ºÍ·À»ðǽ£¬´Ó¶ø½øÈëÄÚ²¿ÏµÍ³ ¡£Óкܶ๤¾ß¿ÉÓÃÓÚÔÚϵͳ֮¼ä´´½¨ÍøÂçËí·£¬ÆäÖÐһЩÊÇÖ±½ÓµÄ£¬ÁíһЩÔòʹÓôúÀíÀ´¸²¸Ç¹¥»÷Õß IP ¡£


https://gbhackers.com/hackers-qemu-data-exfiltration/


5. ¼ÓÄôóµÄ·´Ï´Ç®»ú¹¹ÒòÍøÂç¹¥»÷¶ø¹Ø¹Ø


3ÔÂ6ÈÕ£¬¼ÓÄôó½ðÈÚÂòÂôºÍ»ã±¨·ÖÎöÖÐÐÄ (FINTRAC) °ä·¢£¬×÷ΪԤ·À´ëÊ©£¬Ò»´Î¡°ÍøÂçÊÂÎñ¡±ÆÈʹÆä¹«Ë¾ÏµÍ³ÏÂÏß ¡£FINTRAC ÊǼÓÄôóµÄÒ»¸öµ±¾Ö»ú¹¹£¬×÷Ϊ¸Ã¹úµÄ½ðÈÚµý±¨»ú¹¹ÔË×÷ ¡£Ëü´ÓÊÂÏ´Ç®µ÷²é£¬Ã¿Äê×·×ÙÊý°ÙÍò±Ê¿ÉÒÉÂòÂô£¬²¢Ïò¾¯·½Åû¶ÊýǧÆð·¸·¨×ʽðÁ÷Ïò ¡£¸Ã»ú¹¹ÔÚÆäÍøÕ¾Éϰ䷢ÁËÒ»·Ý¼ò¶ÌµÄÐÂÎÅÉêÃ÷£¬Ö¸³ö¸ÃÖÐÐĵĵý±¨»ò»úÃÜϵͳδ±»½Ó¼û£¬Òò¶øÓëÆäÖ÷Ì⹤×÷ÓйصÄÃô¸ÐÐÅÏ¢ºÍ²Ù×÷ÄÜÁ¦ÒÀÈ»°²È« ¡£FINTRAC ÓëÔ̺¬¼ÓÄôóÍøÂ簲ȫÖÐÐÄÔÚÄÚµÄÁª¹úºÏ×÷ͬ°éºÏ×÷£¬¸´Ô­ÔËÓª²¢¼ÓÇ¿·ÀÓù£¬ÒÔÔ¤·À½«À´·¢×ÌÊÂÎñ ¡£¸ÃÍøÂçÊÂÎñ²úÉúÔÚÖÜÄ©£¬¶ûºóûÓзÖÏí½øÒ»²½µÄ¸üР¡£BleepingComputer ÉÐδ·¢ÏÖÈκÎÀÕË÷Èí¼þ»òÊý¾ÝÀÕË÷Íþв×éÖ¯¶Ô FINTRAC µÄ¹¥»÷ÕÆ¹Ü£¬Òò¶øÍþвÐÐΪÕßÒÀȻδ֪ ¡£×Ô½ñÄêËêÊ×ÒÔÀ´£¬¼ÓÄôóÔÚÍøÂ簲ȫ·½Ãæ¾­ÀúÁ˳ä³âÌôÕ½µÄʱÆÚ£¬³öÏÖÁ˶àÆðÒýÈËÖõÖ÷ÕÅÊܺ¦ÕߺÍÊÂÎñ ¡£


https://www.bleepingcomputer.com/news/security/canadas-anti-money-laundering-agency-offline-after-cyberattack/


6. »ùÓÚÍøÂçµÄ PLC ¶ñÒâÈí¼þ½«³Áнç˵¹¤ÒµÍøÂ簲ȫÍþв


3ÔÂ4ÈÕ£¬×ôÖÎÑÇÀí¹¤Ñ§ÔºµÄ×êÑÐÈËÔ±Ìá³öÁËÒ»ÖÖ¿ª·¢¿É±à³ÌÂß¼­½ÚÔìÆ÷ (PLC) ¶ñÒâÈí¼þµÄв½Ö裬¸Ã²½Öè±»Ö¤Ã÷±Èµ±Ç°Õ½Êõ¸ü½Ã½Ý¡¢¸üÓе¯ÐԺ͸üÓÐÓ°ÏìÁ¦ ¡£¸Ã¹æ»®ÔÊÐí¶ñÒâÈí¼þʹÓÃÖÎÀíÃÅ»§ÍøÕ¾¹«¿ªµÄºÏ·¨ Web ÀûÓ÷¨Ê½½Ó¿Ú (API) °ÂÃØ¹¥»÷µ×²ãµÄÏÖʵÊÀ½ç»úе ¡£´ËÀ๥»÷Ô̺¬Î±Ôì´«¸ÐÆ÷¶ÁÊý¡¢½ûÓð²È«¾¯±¨ÒÔ¼°°Ñ³ÖÎïÀíÖ´ÐÐÆ÷ ¡£×êÑÐÓ××éµÄµ÷²éÅú×¢£¬ËûÃÇÌá³öµÄ¹¥»÷½«¶Ôÿ¸öÖØÒªÔì×÷É̳ö²úµÄ PLC Æð×÷Óà ¡£´Ë±í£¬¸Ã²½Öè±ÈÏÖÓÐµÄ PLC ¶ñÒâÈí¼þ¼¼Êõ£¨½ÚÔìÂß¼­ºÍ¹Ì¼þ£©ÓµÓÐÏÔ×ÅÓÅÊÆ£¬ÀýÈçÆ½Ì¨¶ÀÁ¢ÐÔ¡¢Ò×ÓÚ²¿ÊðºÍ¸ü¸ß¼¶´ËÍâÓÆ¾ÃÐÔ ¡£×êÑÐÈËÔ±»¹Åú×¢£¬¹¤Òµ½ÚÔì»·¾³ÖÐÍøÂç¼¼ÊõµÄ³öÏÖ´øÀ´ÁË IT ÁìÓò»òÏû·ÑÎïÁªÍøÉ豸Öв»´æÔÚµÄа²È«ÎÊÌâ ¡£ÓëÆÕ±é¼û½âÏà·´£¬¹Ì¼þºÍ½ÚÔìÂß¼­²¢²»ÊÇ PLC ÍÆËãµÄΨһ¼¶±ð ¡£ÏÖ´ú PLC ´Ë¿ÌÔ̺¬Ò»¸ö¿É±à³ÌǶÈëÊ½ÍøÂç·þÎñÆ÷£¬ÆäÖÐ×Ô½ç˵¿Í»§¶Ë JavaScript ´úÂëʹÓÃÈÕÒæ×³´óµÄ API À´¼à¶½ºÍ½ÚÔìÎïÀí¹ý³Ì ¡£ÕâÖÖ»·¾³ÌṩÁËÒ»¸öеġ¢ÁîÈ˾ªÑȵÄÃÎÏëÆ½Ì¨À´ÔËÐÐ PLC ¶ñÒâÈí¼þ£¬Õâ¶Ô¹¤Òµ½ÚÔìϵͳ×é³ÉÁËеÄÍþв ¡£


https://industrialcyber.co/industrial-cyber-attacks/georgia-tech-researchers-warn-of-stuxnet-style-web-based-plc-malware-redefining-industrial-cybersecurity-threats/?web_view=true