2024年5月恶意软件及勒索病毒情报汇总

1、LockBItSupp否认自己就是LockBit 头目霍罗舍夫
https://therecord.media/lockbitsupp-interview-ransomware-cybercrime-lockbit
LockBit 勒索软件团伙的头目网络名叫 LockBitSupp，他在接受采访时称国际执法部门犯了一个错误：他不是德米特里·尤里耶维奇·霍罗舍夫，执法部门将错误的人附加到了他的名称上。
2、波音公司去年43GB 数据泄露，拒绝向黑客支付 2 亿美元赎金
https://www.ithome.com/0/766/908.htm
波音公司周三披露细节，称 2023 年 11 月公司遭到勒索软件攻击，黑客索要高达 2 亿美元（的赎金，最终公司决定拒绝支付。
3、FIN7组织利用恶意Google广告传播NetSupport RAT
https://www.esentire.com/blog/fin7-uses-trusted-brands-and-sponsored-google-ads-to-distribute-msix-payloads/
据观察，出于经济动机的威胁行为者FIN7利用欺骗合法品牌的恶意Google广告作为提供MSIX安装程序的手段，最终部署NetSupport RAT。攻击者利用恶意网站冒充知名品牌，包括AnyDesk、WinSCP、BlackRock、Asana、Concur、华尔街日报、Workable和Google Meet。FIN7（又名Carbon Spider和Sangria Tempest）是一个持续存在的电子犯罪组织，自2013年以来一直活跃，最初涉足针对销售点(PoS)设备的攻击以窃取支付数据，后来转向通过勒索软件活动破坏大型公司。多年来，攻击者改进了其策略和恶意软件库，采用了各种自定义恶意软件系列，例如BIRDWATCH、Carbanak、DICELOADER（又名Lizar和Tirion）、POWERPLANT、POWERTRASH和TERMITE等。
4、恶意Python包在虚假请求库徽标中隐藏Sliver C2框架
https://blog.phylum.io/malicious-go-binary-delivered-via-steganography-in-pypi/
研究人员发现了一个恶意Python包，该包声称是流行的requests库的一个分支，并且被发现在该项目徽标的PNG图像中隐藏了Golang版本的Sliver命令与控制(C2)框架。使用这种隐写术的包是requests-darwin-lite，在从Python包索引(PyPI)注册表中删除之前，该包已被下载417次。Requests-darwin-lite似乎是流行的requests包的一个分支，有一些关键的区别，最明显的是包含一个恶意的Go二进制文件，打包到实际requests侧边栏PNG徽标的大版本中。这些更改已在程序包的setup.py文件中引入，该文件已配置为解码并执行Base64编码的命令以收集系统的通用唯一标识符(UUID)。
5、Black Basta勒索软件攻击了北美、欧洲和澳洲的500 多个公司
https://thehackernews.com/2024/05/black-basta-ransomware-strikes-500.html
自 2022 年 4 月出现以来，Black Basta 勒索软件即服务 (RaaS) 行动已针对北美、欧洲和澳大利亚的 500 多个私营行业和关键基础设施实体。
6、英国去年遭受的勒索软件和网络攻击达到历史新高
https://therecord.media/uk-ico-ransomware-cyberattacks-data-2023
根据信息专员办公室(ICO)最新的安全事件趋势数据更新，2023 年网络事件造成的数据泄露，尤其是勒索软件攻击，再创历史新高，自有记录以来，勒索软件攻击数量逐年增加。
7、 INC勒索软件源代码在黑客论坛上以30万美元出售
https://www.secrss.com/articles/66098
在涉嫌出售同时，INC Ransom的运营也在发生变化，这可能表明其核心团队成员之间出现分歧，或者计划进入一个涉及使用新的加密器的阶段。
8、黑客组织 FIN7 借用 Google Ads 传播恶意软件
https://www.freebuf.com/news/400742.html
近日，网络安全研究人员发现黑客组织 FIN7 滥用 Google Ads ，散播、部署恶意软件 NetSupport RAT。
9、勒索攻击组织采用新型社工手段诱导目标安装远控工具
https://www.rapid7.com/blog/post/2024/05/10/ongoing-social-engineering-campaign-linked-to-black-basta-ransomware-operators
研究人员发现了一项正在进行的社会工程活动，该活动用垃圾邮件轰炸企业，其目的是获得对其环境的初始访问权限以进行后续利用。该事件涉及威胁行为者用垃圾邮件淹没用户的电子邮件，并致电用户提供帮助。威胁行为者会提示受影响的用户下载AnyDesk等远程监控和管理软件，或利用Microsoft的内置快速协助功能来建立远程连接。据称，这一新颖的活动自2024年4月下旬开始进行，电子邮件主要包括来自合法组织的时事通讯注册确认消息，这样做的目的是扰乱电子邮件保护解决方案。
10、研究人员披露新型Cuttlefish恶意软件可劫持路由器连接
https://blog.lumen.com/eight-arms-to-hold-you-the-cuttlefish-malware/
一种名为 Cuttlefish 的新恶意软件针对小型办公室和家庭办公室 (SOHO) 路由器，其目标是秘密监控通过设备的所有流量，并从 HTTP GET 和 POST 请求收集身份验证数据。这种恶意软件是模块化的，主要目的是窃取从相邻局域网 (LAN) 传输路由器的 Web 请求中发现的身份验证材料。第二个功能使其能够执行 DNS 和 HTTP 劫持，以连接到与内部网络上的通信相关的私有 IP 空间。有源代码证据表明与另一个先前已知的名为 HiatusRAT 的活动集群重叠，尽管迄今为止尚未观察到共享的受害者学。据说这两个操作是同时运行的。
11、攻击者过去五年中在Docker Hub植入了数百万个恶意无镜像仓库
https://jfrog.com/blog/attacks-on-docker-with-millions-of-malicious-repositories-spread-malware-and-phishing-scams/
研究人员发现了多个针对 Docker Hub 的活动，在过去五年中植入了数百万个恶意“无镜像”仓库。Docker Hub 中超过 400 万个存储库是无镜像的，除了存储库文档之外没有任何内容。更重要的是，该文档与公共仓库没有任何关系。相反，它是一个旨在引诱用户访问网络钓鱼或恶意软件托管网站的网页。在发现的 460 万个无图像 Docker Hub 仓库中，据说其中 281 万个存储库被用作登陆页面，将毫无戒心的用户重定向到欺诈网站，例如下载器、电子书网络钓鱼等。
12、法国医院CHC-SV称拒绝支付LockBit勒索软件组织的赎金
https://www.bleepingcomputer.com/news/security/french-hospital-chc-sv-refuses-to-pay-lockbit-extortion-demand/
法国戛纳医院西蒙娜·韦伊医院 (CHC-SV) 宣布收到 Lockbit 3.0 勒索软件团伙的赎金要求，并表示他们拒绝支付赎金。4 月 17 日，这家拥有 840 个床位的医院宣布因网络攻击造成严重运营中断，迫使其所有计算机脱机并重新安排非紧急程序和预约。5 月 30 日，该机构