新的RisePro通过PrivateLoader PPI服务举行分发

首页 > 清静研究 > 清静转达 > 清静简讯

新的RisePro通过PrivateLoader PPI服务举行分发

宣布时间 2022-12-28

1、新的RisePro通过PrivateLoader PPI服务举行分发

据12月24日报道，研究团队发明了一种新型窃守信息的恶意软件RisePro。它于2022年12月13日首次被检测到，正在通过PrivateLoader按装置付费(PPI)恶意软件下载服务举行分发。RisePro由C++开发，似乎具有与Vidar类似的功效，旨在资助攻击者从被熏染的装备中窃取目的的信用卡、密码和加密钱包。Flashpoint报告称，攻击者已经在俄罗斯暗网市场上出售数以千计的RisePro日志（从被熏染装备中窃取的数据包）。

https://www.bleepingcomputer.com/news/security/new-info-stealer-malware-infects-software-pirates-via-fake-cracks-sites/

2、RansomHouse声称对瓦努阿图政府遭到的勒索攻击认真

据媒体12月26日报道，RansomHouse声称对瓦努阿图政府遭到的勒索攻击认真。瓦努阿图曾在11月初宣布他们遭到了勒索攻击，在快要一个月后仍未完全恢复。12月24日，RansomHouse团伙将瓦努阿图政府列入了他们的网站，称已于10月6日加密他们的系统，并窃取了3.2 TB的文件。宣布的样本中文件看起来确实与政府的文件一致，其中不包括小我私家或敏感的文件。现在尚不清晰赎金金额是几多，或是否举行过谈判。

https://www.databreaches.net/vanuatu-ransomware-attack-claimed-by-ransomhouse/

3、CrowdStrike披露GuLoader绕过清静检测的多个要领

CrowdStrike在12月19日披露了GuLoader绕过清静检测的多个要领。GuLoader（又名CloudEyE），是一种Visual Basic Script(VBS)下载程序，于2019年首次在野外被发明。它使用多态shellcode加载程序来绕过古板清静解决计划，研究职员为恶意软件使用的每个API映射所有嵌入式DJB2哈希值来剖析其运动。新的shellcode反剖析手艺通过扫描整个历程内存来查找与虚拟机(VM)相关的字符串，新的冗余代码注入机制意味着通过使用内联汇编绕过清静解决计划的用户模式hook来确保代码的执行。

https://www.crowdstrike.com/blog/guloader-dissection-reveals-new-anti-analysis-techniques-and-code-injection-redundancy/

4、TrendMicro发明使用谷歌PPC广告分发IcedID的运动

12月23日，Trend Micro透露其发明僵尸网络IcedID的分发方法爆发了重大转变。自2022年12月以来，研究职员视察到使用谷歌每次点击付费(PPC)广告分发IcedID的运动。IcedID运营团伙挟制了Adobe、Fortinet和Discord等品牌和应用所使用的要害词来显示恶意广告。当用户搜索要害字时，指向恶意网站的广告显示在自然搜索效果上方。在此运动中，加载程序是通过MSI文件分发的，这关于IcedID来说是不常见的。别的，攻击者使用了正当的Keitaro流量导向系统(TDS)来过滤来自研究职员和沙盒的流量。

https://www.trendmicro.com/en_us/research/22/l/icedid-botnet-distributors-abuse-google-ppc-to-distribute-malware.html

5、芝加哥的能源公司Sargent & Lundy遭到勒索攻击

媒体12月27日称，美国CNN透露黑客在近期的勒索攻击中窃取了多家电力公司的数据。此次勒索攻击针对的是总部位于芝加哥的Sargent & Lundy工程公司，该公司设计了900多个发电站和数千英里的电力系统，并持有这些项目的敏感数据。据其网站称，该公司还处置惩罚核清静问题。据悉，该事务已获得控制和调解，似乎并未对其它电力行业的公司造成影响，也没有数据被宣布到暗网上。

https://www.databreaches.net/hackers-stole-data-from-multiple-electric-utilities-in-recent-ransomware-attack/

6、Kaspersky宣布针对阿尔巴尼亚的两轮攻击的剖析报告

Kaspersky在12月22日宣布了针对阿尔巴尼亚组织的两轮攻击运动的剖析报告。该报告主要较量了这两轮攻击运动所使用的勒索软件和擦除恶意软件之间的区别。关于勒索软件，两轮攻击运动的样本具有相同的署名证书参数，与科威特电信公司有关。攻击者对第二轮使用的擦除恶意软件举行了多次修改，可能是为了绕过检测，主要转变是使用Nvidia证书对恶意软件署名、在恶意软件中嵌入EldoS RawDisk驱动程序，以及在驱动程序装置后连忙启动删除例程。

https://securelist.com/ransomware-and-wiper-signed-with-stolen-certificates/108350/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究