新的RisePro通过PrivateLoader PPI服务进行分发

首页 > 安全钻研 > 安全传递 > 安全简讯

新的RisePro通过PrivateLoader PPI服务进行分发

颁布功夫 2022-12-28

1、新的RisePro通过PrivateLoader PPI服务进行分发

据12月24日报路，钻研团队发现了一种新型窃守信息的恶意软件RisePro。它于2022年12月13日初次被检测到，在通过PrivateLoader按装置付费(PPI)恶意软件下载服务进行分发。RisePro由C++开发，似乎拥有与Vidar类似的职能，旨在援手攻击者从被习染的设备中窃取指标的信誉卡、密码和加密钱包。Flashpoint汇报称，攻击者已经在俄罗斯暗网市场上销售数以千计的RisePro日志（从被习染设备中窃取的数据包）。

https://www.bleepingcomputer.com/news/security/new-info-stealer-malware-infects-software-pirates-via-fake-cracks-sites/

2、RansomHouse宣称对瓦努阿图当局遭到的勒索攻击掌管

据媒体12月26日报路，RansomHouse宣称对瓦努阿图当局遭到的勒索攻击掌管。瓦努阿图曾在11月初颁发他们遭到了勒索攻击，在将近一个月后仍未齐全复原。12月24日，RansomHouse团伙将瓦努阿图当局列入了他们的网站，称已于10月6日加密他们的系统，并窃取了3.2 TB的文件。颁布的样本中文件看起来的确与当局的文件一致，其中不蕴含幼我或敏感的文件。目前尚不明显赎金金额是几多，或是否进行过交涉。

https://www.databreaches.net/vanuatu-ransomware-attack-claimed-by-ransomhouse/

3、CrowdStrike披露GuLoader绕过安全检测的多个步骤

CrowdStrike在12月19日披露了GuLoader绕过安全检测的多个步骤。GuLoader（别名CloudEyE），是一种Visual Basic Script(VBS)下载法式，于2019年初次在野表被发现。它使用多态shellcode加载法式来绕过传统安全解决规划，钻研人员为恶意软件使用的每个API映射所有嵌入式DJB2哈希致反分析其活动。新的shellcode反分析技术通过扫描整个过程内存来查找与虚构机(VM)有关的字符串，新的冗余代码注入机造意味着通过使用内联汇编绕过安全解决规划的用户模式hook来确保代码的执行。

https://www.crowdstrike.com/blog/guloader-dissection-reveals-new-anti-analysis-techniques-and-code-injection-redundancy/

4、TrendMicro发现利用谷歌PPC告白分发IcedID的活动

12月23日，Trend Micro泄漏其发现僵尸网络IcedID的分发方式产生了沉大变动。自2022年12月以来，钻研人员观察到利用谷歌每次点击付费(PPC)告白分发IcedID的活动。IcedID运营团伙劫持了Adobe、Fortinet和Discord等品牌和利用所使用的关键词来显示恶意告白。当用户搜索关键字时，指向恶意网站的告白显示在天然搜索了局上方。在此活动中，加载法式是通过MSI文件分发的，这对于IcedID来说是不常见的。此表，攻击者利用了合法的Keitaro流量导向系统(TDS)来过滤来自钻研人员和沙盒的流量。

https://www.trendmicro.com/en_us/research/22/l/icedid-botnet-distributors-abuse-google-ppc-to-distribute-malware.html

5、芝加哥的能源公司Sargent & Lundy遭到勒索攻击

媒体12月27日称，美国CNN泄漏黑客在近期的勒索攻击中窃取了多家电力公司的数据。这次勒索攻击针对的是总部位于芝加哥的Sargent & Lundy工程公司，该公司设计了900多个发电站和数千英里的电力系统，并持有这些项主张敏感数据。据其网站称，该公司还处置核安全问题。据悉，该事务已得到节造和补救，似乎并未对其它电力行业的公司造成影响，也没罕见据被颁布到暗网上。

https://www.databreaches.net/hackers-stole-data-from-multiple-electric-utilities-in-recent-ransomware-attack/

6、Kaspersky颁布针对阿尔巴尼亚的两轮攻击的分析汇报

Kaspersky在12月22日颁布了针对阿尔巴尼亚组织的两轮攻击活动的分析汇报。该汇报重要比力了这两轮攻击活动所使用的勒索软件和擦除恶意软件之间的区别。对于勒索软件，两轮攻击活动的样本拥有一样的署名证书参数，与科威特电信公司有关。攻击者对第二轮使用的擦除恶意软件进行了屡次批改，可能是为了绕过检测，重要变动是使用Nvidia证书对恶意软件署名、在恶意软件中嵌入EldoS RawDisk驱动法式，以及在驱动法式装置后当即启动删除例程。

https://securelist.com/ransomware-and-wiper-signed-with-stolen-certificates/108350/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研