freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

随着新冠Delta变种全球肆虐,疫情相关威胁卷土重来
2021-08-31 13:46:04

概述

随着全球对 Delta 毒株的担忧持续上升,多种威胁都已重新使用 COVID-19 相关主题发起攻击。本来在 2021 年春季,以 COVID-19 为主题的威胁已经处于停滞。

活动

自从疫情大流行以来,Proofpoint 持续跟踪与 COVID-19 相关的威胁。以分发 Emotet 而闻名的 TA542 在 2020 年 1 月开始在鱼叉邮件中使用 COVID-19,而最近相关的主题再度显著增加。

2021 年 6 月以来,以 COVID-19 为主题的攻击行动分发了 RustyBuer、Formbook 和 Ave Maria 等恶意软件、窃取 Microsoft 和 Office 365 的凭据。

根据 Proofpoint 的数据,与疫情相关的威胁与公众对 Delta 变种的认知保持同一态势。Google 检索量在 2021 年 6 月末达到顶峰并持续到 2021 年 8 月。

Delta 毒株在全球肆虐,数以万计的威胁也没有停止。韩国最近提高了网络威胁告警级别,以应对与 COVID-19 相关的威胁增加。

攻击者利用了大家的恐惧,将病毒作为社会工程学的诱饵。随着疫苗的普及,攻击者也开始使用疫苗接种相关的主题发起攻击。

凭据窃取

Proofpoint 的研究人员发现了多个与 COVID-19 相关的凭据窃取活动,针对全球数千家组织的 Microsoft 凭据进行盗窃。

攻击者声称是人力资源部门发送的疫苗接种自律报告:

最近,很多美国企业要求员工在返回办公室办公之前接种疫苗。随着疫苗越来越普及,攻击者很可能会更多地采用这类主题发起攻击。

就业状况

研究人员也发现,数百个伪装成特定组织人力资源部门的账户发起了大量的 Formbook 攻击行动。这些电子邮件包含一个压缩文件(Scan.Salary.zip),通知收件人由于疫情的影响,他们的工作正在被取消。

电子邮件是通用的,但针对攻击目标进行了定制。为了进一步诱使收件人打开恶意文件,该电子邮件附带“2 月工资收据”。

Ave Maria

近期也发现了 Ave Maria 恶意软件活动,主要针对能源和工业组织。Ave Maria 是一个用 C++ 编写的远控木马,能够控制摄像头、键盘击键记录、密码窃取和远程桌面访问等。

首先观察到的电子邮件声称是与 COVID-19 相关的健康咨询,并声称包含与目标公司政策相关的“预防措施”。

一千多封电子邮件针对数十个客户发起攻击,其中 90% 以上的目标都在能源相关的垂直领域。

所有 Ave Maria 相关的攻击都包含一个 Excel 附件,该文件利用了各种公式编辑器漏洞。攻击基础设施利用了动态 DNS 和 5200 端口进行通信。

RustyBuer

目前最活跃的相关威胁是 RustyBuer,一个基于 Rust 的 Loader。在 2021 年 4 月首次被发现,分发包括勒索软件在内的各种恶意软件。

最近利用疫情的攻击行动包括各种主题,如强制接种疫苗、医疗保健机会公平和实际感染率。

结论

Delta 毒株的严重程度越发被广泛报道,与 COVID-19 相关威胁也同步增加。在病毒威胁没有被得到有效控制之前,更多攻击者可能会在未来的攻击行动中使用该主题。

IOC

a2ba3e1a002cd3c7d5be4ff05d6001692a1a516096159ac77b78f0ddd9c3060e 
88689636f4b2287701b63f42c12e7e2387bf4c3ecc45eeb8a61ea707126bad9b
e3a11be133a98c05ab7aa90f7ca8037cfdad66b0159b5522a85dab5d54f6eb71
24cf6db04d0882f124750e4b7025455d11b02f23ad088a334e449a82d672e64a
6b4a4244409dc7dd0e538b98fbb886b51d626202bdc8501af5c9c4e84daecd82
warzonlogs.duckdns.org 
admin@ledfarm.store 
contact@wmbtole-com.uno 
contact@yumaletab-net.uno 
info@taxpunishdep.com
info@loveshipper.com
cerionetya.com
info@deliverydhlexpress.com
info@deliveryeatstreet.com
info@covidhospitalgeer.com
info@covidadministration.com
info@covidbooksinfo.com
info@discountfreeals.com
lebatyo.com
eurolord.duckdns.org
http://sassyladywrites.com/a1/b7.exe
https://00f74ba44bd85135df3aa07960343eeeec89e0088b-apidata.googleusercontent.com/download/storage/v1/b/dhngw6p6rwrwnuv6vnuse.appspot.com/o/index.html
https://storage.cloud.google.com/dhngw6p6rwrwnuv6vnuse.appspot.com/index.html#username@organizationname.tld
https://hejoysa.com/ssl/v1/getkey
https://luareraopy.com/api/v3/dacryorrhea/cardholders/nympholepsies
http://sweetdreambymoon.stars.bz/a2/p3.exe
https://seryanjek.com/api/v3/disambiguate/nonequivalent/ditrigonal
http://www.aozhengaodi.com/bkbk/

参考来源

Proofpoint

本文作者:, 转载请注明来自FreeBuf.COM

# 网络安全 # 疫情 # 新冠病毒 # Delta毒株
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑