详细内容或原文请订阅后点击阅览
2024 年第三季度 IT 威胁演变
在本部分恶意软件报告,我们讨论了 2024 年第三季度最引人注目的发现,包括 APT 和黑客攻击、勒索软件、窃取者、macOS 恶意软件等。
来源:Securelist _恶意软件报告2024 年第三季度 IT 威胁演变 2024 年第三季度 IT 威胁演变。非移动统计数据 2024 年第三季度 IT 威胁演变。移动统计数据
2024 年第三季度 IT 威胁演变 2024 年第三季度 IT 威胁演变。非移动统计数据 2024 年第三季度 IT 威胁演变。移动统计数据有针对性的攻击
新的 APT 威胁行为者针对俄罗斯政府实体
2024 年 5 月,我们发现了一种针对俄罗斯政府组织的新 APT。CloudSorcerer 是一种复杂的网络间谍工具,用于通过 Microsoft、Yandex 和 Dropbox 云基础设施进行隐身监视、数据收集和泄露。该恶意软件利用云资源作为其 C2(命令和控制)服务器,它通过使用身份验证令牌的 API 访问这些服务器。 CloudSorcerer 还使用 GitHub 作为其初始 C2 服务器。CloudSorcerer 根据其正在运行的进程作为单独的模块运行(用于通信和数据收集),但从单个可执行文件执行。它利用 Microsoft COM 对象接口来执行其恶意操作。
CloudSorcerer虽然威胁行为者的作案手法让人想起我们在 2023 年报告的 CloudWizard APT,但恶意软件代码完全不同。因此,我们认为 CloudSorcerer 是一个新的威胁行为者,它模仿了与公共云服务交互的类似方法。
CloudWizard两个月后,即 2024 年 7 月,CloudSorcerer 对俄罗斯政府组织和 IT 公司发动了进一步攻击。我们将该活动称为 EastWind,它使用带有恶意快捷方式的网络钓鱼电子邮件将恶意软件传送到目标计算机。该恶意软件通过 Dropbox 云服务接收命令,用于下载其他有效载荷。
EastWind其中之一是名为 GrewApacha 的植入物,APT31 至少从 2021 年开始使用。另一个是 CloudSorcerer 在早期攻击中使用的后门的更新版本。这个使用 LiveJournal 和 Quora 配置文件作为初始 C2 服务器。
这里 Tropic Trooper 报告