APT40利用ScanBox侦察框架攻击澳大利亚的政府机构

首页 > 宁静研究 > 宁静通报 > 宁静简讯

APT40利用ScanBox侦察框架攻击澳大利亚的政府机构

宣布时间 2022-09-01

1、APT40利用ScanBox侦察框架攻击澳大利亚的政府机构

Proofpoint在8月30日披露了APT40近期的攻击活动。攻击主要针对澳大利亚地方和联邦政府机构及媒体机构，和为南海风力涡轮机提供维护服务的全球重工业制造商。2022年4月至6月期间，攻击者冒充澳大利亚晨报的员工，通过钓鱼活动分发ScanBox漏洞利用框架。凭据最新证据，Proofpoint得出结论，2022年的活动是APT40自2021年3月以来进行的同一情报收集任务的第三阶段，其时攻击者冒充新闻媒体，通过RTF模板注入加载Meterpreter。

https://www.proofpoint.com/us/blog/threat-insight/chasing-currents-espionage-south-china-sea

2、意大利石油公司Eni称其内部网络遭到未经授权的访问

据8月31日报道，意大利石油公司Eni称其内部�；は低臣觳獾秸攵怨就绲奈淳谌ǖ姆梦�。目前没有攻击的技术细节，无法确定攻击者身份、如何入侵的以及他们的动机。知情人士称，Eni好像遭到了勒索攻击。意大利能源部门近期似乎遭到了攻击，上周末，经营意大利电力市场的政府机构Gestore dei Servizi Energetici SpA遭到攻击。GSE的基础设施受到影响，网站仍处于中断状态。

https://securityaffairs.co/wordpress/135116/hacking/eni-suffered-cyberattack.html

3、Securonix披露新恶意软件活动GO#WEBBFUSCATOR的细节

据8月30日报道，Securonix发现一起基于Golang的连续攻击活动GO#WEBBFUSCATOR。熏染始于一封带有恶意文档Geos-Rates.docx的钓鱼邮件，它会下载模板文件。该文件包罗一个经过混淆的VBS宏，启用宏后，代码会从远程资源下载JPG图像，然后使用certutil.exe将其解码为可执行文件msdllupdate.exe并启动它。在图像检察器中，.JPG文件则显示了由NASA于2022年7月宣布的星系团SMACS 0723。二进制msdllupdate.exe接纳了多种混淆技术来绕过AV使分析变得困难。

https://www.securonix.com/blog/golang-attack-campaign-gowebbfuscator-leverages-office-macros-and-james-webb-images-to-infect-systems/

4、McAfee发现5个恶意Chrome扩展已被安装凌驾140万次

McAfee在8月29日报道，研究人员发现了5个可以窃取用户浏览活动的Google Chrome扩展法式，总下载量已凌驾140万次。这些恶意扩展的目的是监控用户访问电商网站，并修改访问者的cookie，使其看起来是通过推荐链接来的，这样，扩展法式的开发人员可以在这些购置活动中获得联营费。恶意扩展分别为Netflix Party、Netflix Party 2、Full Page Screenshot Capture、FlipShope和AutoBuy Flash Sales，虽然它们不会直接影响用户，但会带来严重的隐私风险。

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/malicious-cookie-stuffing-chrome-extensions-with-1-4-million-users/

5、乌克兰国家警察关闭某黑客团伙使用的呼叫中心网络

媒体8月30日称，乌克兰国家警察(NPU)关闭了一个黑客团伙使用的呼叫中心网络。据称，该团伙还涉嫌诈骗对加密货币、证券、黄金和石油投资感兴趣的乌克兰和欧盟国家的公民。在诈骗活动中，攻击者使用了软件和高科技设备，冒充国有银行机构的员工，敲诈目标的银行卡机密数据。然后，在诱骗目标将资金转移到攻击者的账户后中断所有通信。执法人员搜查了与此次活动相关的多个呼叫中心并没收了计算机、手机和数据记录，相关嫌疑人将面临最高12年的监禁。

https://www.bleepingcomputer.com/news/security/ukraine-takes-down-cybercrime-group-hitting-crypto-fraud-victims/

6、Cisco宣布3个分发多种恶意软件的活动的分析陈诉

8月30日，Cisco Talos宣布陈诉称视察到2022年3月至6月期间的3个独立但相关的攻击活动。这些活动分发了多个恶意软件，包罗ModernLoader bot、信息窃取法式RedLine和挖矿恶意软件。攻击者使用PowerShell、.NET法式集以及HTA和VBS文件在目标中流传，最终安装其它恶意软件，如SystemBC木马和DCRAT。最终的payload似乎是ModernLoader，它可通过收集系统信息和安装种种模块来充当远程访问木马。

https://blog.talosintelligence.com/2022/08/modernloader-delivers-multiple-stealers.html

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究