全球威胁情报报告

这些都是黑莓在自己的客户群中发现并防范的威胁。 

类型 偷窃者

目标： 粮食生产、司法系统、教育

地区： 亚太地区, NALA

FormBook及其进化版xLoader 是先进的恶意软件系列，既可作为信息窃取程序，也可作为多功能下载程序。它们一直在利用反虚拟机（VM）技术、进程注入和自定义加密来躲避网络防御。xLoader 以恶意软件即服务（MaaS）的形式出售，可以从浏览器、电子邮件客户端和各种应用程序中提取数据。最近涉及 xLoader/FormBook 的网络事件主要针对亚太地区的食品生产以及 NALA 的教育和司法部门。

类型 偷窃者

目标： 粮食生产

地区： 亚太地区

Snake Keylogger（也称作 404 Keylogger 和 KrakenKeylogger）是一款 MaaS，它利用基于订阅的键盘记录器实现了大量功能。该恶意软件可以从互联网浏览器中窃取敏感数据和凭证，还可以记录键盘输入并截取受害者桌面的屏幕截图。

Snake Keylogger最初于 2019 年底在一个俄罗斯黑客论坛上发布，后来变得越来越复杂，其命令与控制 (C2) 基础设施更加多样化，并能够对恶意软件有效载荷进行加密。该恶意软件还可以停用防病毒（AV）服务，使其可以不受阻碍地运行。它的外泄方法异常全面，包括电子邮件、FTP、SMTP、Pastebin（一个文本存储网站）和消息应用程序 Telegram。值得注意的是，Telegram 在 2023 年占俄罗斯互联网总流量的 60% - 80%，在这个互联网网站访问受到严格控制的国家，Telegram提供了几乎完全不受审查的通信环境。

类型 下载器

目标： 食品生产、 司法系统

地区： 亚太地区

GuLoader（又称 CloudEyE）是一款著名的下载程序，可传播其他恶意软件。自 2020 年以来，GuLoader 背后的威胁组织增加了反分析技术，使安全服务更难识别系统中是否存在该恶意软件或实施反制措施。GuLoader 通常与其他恶意软件协同工作，即 FormBook、Agent Tesla和Remcos 等信息窃取程序。

类型 偷窃者

目标： 医疗保健、公共部门、教育、食品生产

地区：亚太地区

RedLine是一种经常通过 MaaS 平台传播的信息窃取程序。其操作者主要出于经济动机，而非政治或间谍利益，并采用 "散射 "攻击策略，攻击所有行业和地区，似乎并不专注于特定目标。

黑莓研究人员汇编了一份本季度发生的、媒体和其他网络安全组织报道过的近期著名网络攻击事件清单。我们这样做的目的是为关键基础设施的网络威胁状况提供更广阔的视野。

今年 7 月，Play (PlayCrypt) 勒索软件威胁组织将两个能源组织作为攻击目标：德克萨斯电力合作社是一个代表全州 76 个电力合作社的协会，而21 世纪能源集团则是宾夕法尼亚州和俄亥俄州各种能源服务和产品的供应商。这些漏洞导致了个人信息、会计和税务数据的丢失，其中一些数据不久后被发布到 Play leak 网站上。

7 月份的另一次攻击针对的是 Richland Paris 医院，这是路易斯安那州的一家非营利性医院，为农村社区提供基本的医疗保健服务。这次攻击是由 Dispossessor 勒索软件组织实施的，该组织于 2023 年 12 月首次被发现。Dispossessor 是一个数据中介，而不是传统的勒索软件组织。不同寻常的是，Dispossessor 发布了一段视频，展示了 100 多页敏感的病人信息。今年 8 月，美国联邦调查局（FBI）与当地和国际执法机构合作，宣布他们已经摧毁了 Dispossessor 集团背后的基础设施。

9 月中旬，谷歌研究人员发现了一个名为 UNC2970 的网络间谍组织，据信该组织与朝鲜政府有关联。该组织利用网络钓鱼战术，冒充能源和航空航天领域的几家不同的老牌公司，制作虚假招聘广告，以吸引特定目标。一旦受害者上钩，他们就会收到一个 ZIP 压缩包中的 "职位描述 "PDF 文件。为了打开这个文件，攻击者提供了一个经过恶意修改的 SumatraPDF 版本。该文件被执行后，会启动一个由 BURNBOOK（一个用 C/C++ 制作的恶意软件启动器）协助的执行链，最终部署一个 MISTPEN 后门。MISTPEN 是一个 Notepad++ 插件 binhex.dll 的木马化版本，它被篡改为包含后门，从而入侵目标用户的计算机。

这些都是黑莓在自己的客户群中发现并防范的威胁。 

类型 偷窃者

目标： 零售和批发贸易、商业和专业服务

地区： 亚太地区, NALA

LummaC2 （又称 LummaC2 Stealer）于 2022 年 8 月首次被发现，它是一个用 C 编程语言编写的信息窃取程序，以商业企业和关键基础设施为目标。它专注于窃取敏感数据，通常通过俄罗斯地下网络犯罪论坛和 Telegram 群组进行推广和传播。这种强大的信息窃取程序以 MaaS 的方式运行，通常依靠木马和电子邮件垃圾邮件进行传播。

类型 偷窃者

目标： 资本货物、商业和专业服务

地区： 亚太地区, NALA

StealerC 是一个基于 C 语言的信息窃取程序，旨在从各种程序、网络浏览器和电子邮件客户端窃取敏感数据，然后将这些私人信息渗透回攻击者。该恶意软件于 2023 年首次被发现，它可以向受害者设备投放更多恶意软件有效载荷。

类型 偷窃者

目标： 零售和批发业、商业和专业服务业

地区：亚太地区

FormBook（首次发现于 2016 年）及其进化版xLoader 是复杂的恶意软件系列，既是复杂的信息窃取程序，也是其他恶意软件的多功能下载程序。xLoader 可以从浏览器和电子邮件客户端窃取数据，并执行一系列其他操作。由于它是作为 MaaS 出售的，因此它在系统或网络中的存在并不一定指向任何特定的威胁行为者。这种灵活的运作模式使其能够针对全球各种行业领域。

类型 下载器

目标：零售和批发贸易、商业和专业服务

地区：亚太地区, NALA

GuLoader（又称 CloudEyE）是一种传播恶意软件的著名下载器。GuLoader 在 2020 年首次被发现，它的反分析技术增加了安全团队识别攻击或制定对策的难度。GuLoader 通常与其他恶意软件协同工作，即 FormBook、Agent Tesla 和 Remcos 等信息窃取程序。

类型 偷窃者

目标：资本货物、耐用消费品和服装、商业和专业服务

地区：亚太地区, NALA

RedLine 是一种广泛传播的恶意软件信息窃取程序，于 2020 年 3 月首次被发现，通常作为 MaaS 出售。传播该恶意软件的威胁组织似乎是为了经济利益，而不是政治、数据破坏或间谍活动。这就是为什么 RedLine 不断出现在我们的雷达上，并积极瞄准异常广泛的行业和地理区域。

类型远程访问

目标：零售和批发、商业和专业服务

地区：亚太地区, NALA

Remcos 是远程控制和监视（Remote Control and Surveillance）的简称，是一种商业级远程访问木马（RAT），用于远程控制计算机或设备。虽然被宣传为合法软件，但它经常被滥用来非法访问受害者的机器或网络。

黑莓研究人员汇编了一份由媒体和其他网络安全组织报道的近期值得注意的网络攻击事件清单，为商业企业的网络威胁状况提供了一个更广泛的视角。

今年 7 月，亚利桑那州的一家业务流程外包公司 Empereon Constar遭到Akira 勒索软件操作员的入侵，据称他们窃取了 800GB 的数据，包括客户信息、员工文件和财务记录。该团伙采用双重勒索策略，既要求解密，又要求不泄露机密信息。如果不支付赎金，他们就威胁要在明网和暗网泄漏网站上公布被盗数据。

7 月下旬，宾夕法尼亚州的奥德赛健身中心成为Play 勒索软件组织（又称 PlayCrypt）的攻击目标。该网络犯罪集团在全球范围内发动了 300 多起勒索软件攻击，他们采用了标志性的双重勒索方法，在窃取敏感数据后加密了健身中心的系统。

9 月底，印度电子产品零售商 Poorvika Mobiles成为 KILLSEC 组织的攻击目标。该漏洞暴露了大量客户数据，包括姓名、地址、电话号码、税号、产品交付详情、发票号码、交易金额和税务文件。

本节深入探讨了网络威胁的动态世界，首先分析了最突出的威胁行为者。

Salt Typhoon(Earth Estries）是一个与中国国家安全部（MSS）关系密切的复杂威胁行为体，于 2024 年成为公众关注的焦点。该组织利用互联网服务供应商系统中的后门，入侵了美国多家主要电信供应商和互联网服务供应商的系统，而这些后门最初是为了符合法院批准的执法要求而实施的。该组织展示了长期保持隐身状态的先进能力，在这次事件中，它在电信网络中潜伏了一年多而未被发现。

一旦他们在网络中建立了持久性，Salt Typhoon ，他们就能获得大量数据，包括美国司法部的合法拦截窃听名单、通话记录、未加密短信、录音和流经供应商网络的互联网流量。他们将矛头指向备受瞩目的美国政府官员和政治人物，引发了前所未有的应对措施，包括白宫情况室与电信高管的会面，以及联邦机构对移动设备使用的警告。众议院和参议院的国会议员对这些事件表示严重关切，并呼吁美国联邦机构提供有关攻击的进一步信息。请阅读 "通信安全 "部分，更详细地了解关键基础设施面临的威胁。

RansomHub（又称 Cyclops 和 Knight）通过 RaaS 模式运营，最近在威胁领域大放异彩。这种运营模式的有效性和成功吸引了多个知名的附属公司，如 LockBit 和 ALPHV，它们执行网络渗透和数据外渗。

RansomHub 采用双重勒索方法。该组织还采用各种技术来禁用或终止端点检测和响应（EDR）解决方案，从而躲避检测，并在被入侵的网络中保持长期存在。自 2024 年 2 月发布以来，RansomHub 已迅速扩张，以关键基础设施领域的 210 多名受害者为目标，并从他们那里窃取了数据。就公开宣称的攻击次数而言，这种快速增长使其跻身于最多产的勒索软件运营商之列。受攻击的行业包括

医疗保健和药房

• 威胁活动：针对医疗服务提供商和药店的勒索软件攻击
• 显著影响：Rite Aid 外泄事件影响 220 万客户（2024 年 7 月）
• 重大关切：敏感患者数据被盗和泄露、处方管理系统中断以及受保护健康信息 (PHI) 遭到破坏

能源与工业

• 威胁活动：针对操作技术和业务系统的复杂攻击。
• 显著影响：一家石油和天然气服务巨头的 IT 系统遭到破坏（2024 年 8 月）
• 关键问题：业务运营中断、供应链中断、发票和采购订单系统受损

非营利和医疗保健服务

• 威胁活动：针对敏感组织数据的数据盗窃活动
• 显著影响：蒙大拿州计划生育协会泄密事件（2024 年 9 月），导致患者机密数据被盗和运营中断
• 重大关切：病人机密信息外泄、侵犯隐私和声誉受损

Play是 2022 年 6 月首次出现的勒索软件集团。Play 已入侵北美、南美和欧洲各行各业的数百家组织，主要集中在美国和加拿大。Play 通常采用双重勒索策略，威胁公布从受害组织窃取的数据。

为了获得对目标系统或网络的初始访问权限，Play 在 Windows 环境中滥用有效账户和易受攻击的面向公众的应用程序。使用 AdFind 等工具绘制网络地图后，他们会使用 PsExec 和 Cobalt Strike 等工具横向移动，并使用 Mimikatz 等其他工具获取域管理员凭据。一旦发现包含敏感信息的设备，该组织就会将文件收集到 .RAR 存档中，然后使用 WinSCP 将其外泄，最后再对掠夺设备上的文件进行加密。

今年 7 月，有人发现 Play 使用了一种新的 Linux 变种勒索软件，这种勒索软件只针对在 VMware ESXi 环境中运行的文件。

Hunters International 于 2023 年 10 月首次被发现，与 Hive 勒索软件有明显的相似之处。当 "猎人国际 "的运营商收购了 Hive 集团的恶意软件和基础设施后，他们通过推销增强的功能将自己与 Hive 区分开来。

他们的行动主要集中在双重勒索上，优先考虑数据外渗，并利用窃取的信息迫使受害者支付赎金。该组织还使用 ChaCha20-Poly1305 和 RSA Optimal Asymmetric Encryption Padding (OAEP) 对文件进行加密，导致文件的扩展名被标记为".LOCKED"。

典型的攻击链始于网络钓鱼活动或利用漏洞。该组织以制造业、医疗保健和教育等一系列行业为目标，采取机会主义的方法，不特别关注任何特定地区或行业，入侵目标遍及北美、欧洲和非洲。SharpRhino 是他们武器库中的一个重要工具，它是一个伪装成合法软件的后门，通过执行一系列命令和尝试终止通常与系统恢复相关的特定服务和进程，与激进措施一起用于瘫痪备份系统。

在过去的一个季度里，"猎人国际 "确实非常活跃，针对各种类型的组织、行业和地理区域，凸显了其适应性和广泛的威胁潜力。猎杀者国际公司以其令人唾弃的策略而闻名，即在受害者成功从备份恢复系统但未支付赎金的情况下，再次感染他们自己的勒索软件或其他变种勒索软件。

Meow Leaks是一个威胁组织，可能与 2022 年作为 Conti 勒索软件变种出现的 Meow 勒索软件组织（也被追踪为 MeowCorp 和 Meow2022）有联系。这个新的 Meow 组织于 2023 年末出现，主要通过一个基于 Tor 的同名网站 "Meow Leaks "出售窃取的数据。

Meow 声称自己并不从事勒索软件的交易；该组织在一次采访中公开表示，他们与康帝公司没有任何关系，目前也与 MeowCorp 没有任何关联。尽管如此，这个新组织有可能缺乏开发勒索软件的专业知识，其有限的暗网受害者名单反映了这一理论，该名单迄今为止主要集中在美国的目标上，尽管它也有一些国际受害者。这将他们归类为主要基于勒索的威胁组织，因为他们不能依靠加密原始数据来迫使受害者支付赎金。

不管他们与最初的勒索软件集团有什么联系，新的 Meow Leaks 威胁集团在本季度的活动明显激增，他们不断增长的泄密网站就是证明。安全研究人员在 3 月份发布了一款名为RakhniDecryptor的免费解密器，供 MeowCorp 的受害者使用。该解密工具可以解密扩展名为 .KREMLIN、.RUSSIA 和 .PUTIN 的文件。(MeowCorp 之前使用基于 Conti 的加密工具发动的攻击最初针对的是俄罗斯组织）。

Qilin是一个 RaaS，自 2022 年以来一直活跃在全球医疗保健和其他各行各业。该公司最初于 2022 年 7 月以 "Agenda "的名称推出，后改名为 "Qilin"，目前以此名称运营。

Qilin 勒索软件包括用 Golang 和 Rust 编写的变种，通常通过鱼叉式网络钓鱼攻击获得受害者的初始访问权限。该组织利用远程监控和管理 (RMM) 工具以及 Cobalt Strike 进行二进制部署。在攻击过程中，Qilin 会定位目标的域控制器并执行凭证采集脚本，该脚本专门针对谷歌 Chrome 浏览器中已验证用户的存储密码。Qilin 以其双重勒索策略而著称，它要求支付赎金，以防止被盗数据的公开披露。

AnyDesk、PowerShell 和 Cobalt Strike 等工具对数据管理、渗透测试和系统维护至关重要。它们的灵活性和可访问性也使其成为威胁行为者滥用的有用工具。

Microsoft PowerShell 是一种功能强大的命令行外壳和脚本语言，设计用于自动执行任务和管理 Windows 系统。它被全球的管理员和安全专业人员广泛使用，支持日常任务、系统管理和安全事件响应的自动化。然而，它的多功能性也使其成为攻击者滥用的目标，攻击者可以利用 PowerShell 获得未经授权的访问权限并执行恶意代码。真正的危险在于 PowerShell 能够从磁盘和直接在内存中运行脚本，从而实现难以检测的"无文件 "恶意软件攻击。

阅读我们的MDR 团队对一起 PowerShell 事件的描述。

Cobalt Strike是一个复杂的对手模拟框架，经过精心设计，可以在网络环境中复制威胁角色的持续存在。Cobalt Strike围绕两个关键组件--代理（信标）和服务器（团队服务器）--实现了无缝互动。Cobalt Strike团队服务器作为互联网上的长期C2服务器，与部署在受害者机器上的信标有效载荷保持持续通信。

虽然 Cobalt Strike 主要被渗透测试人员和红队人员用作评估网络安全状况的合法工具，但它也被威胁行为者用于邪恶目的。它的代码在网上泄露的情况也时有发生，导致它被各种对手迅速武器化。这种双重性质凸显了保持警惕和采取强有力的网络安全措施以降低滥用风险的重要性。

WinSCP（Windows 安全拷贝）是一款免费的开源客户端，用于 SFTP、FTP、WebDAV 和 SCP 协议，专为 Microsoft Windows 设计。它可在本地和远程计算机之间安全传输文件，利用 SFTP 等加密协议确保数据安全。不过，它的功能也使其成为威胁行为者的首选工具。攻击者可利用 WinSCP 偷偷外泄大量数据，将恶意软件上传到目标服务器以进一步入侵系统，并获取远程访问权限以执行任意命令或部署其他恶意软件，从而保持对入侵系统的持久控制。

在CylanceMDR 威胁和缓解措施部分，我们的CylanceMDR 团队审查了客户环境中最常用的外泄工具。该团队发现，在客户系统中最常被滥用的外泄工具中，WinSCP 占了 51%。

新的威胁和威胁团体不断演变，带来新的挑战。旨在保护其数字资产的组织必须采取全面的网络安全战略，在员工培训的同时采取强有力的缓解措施。在此，我们将探讨可用于挫败 Lynx 勒索软件集团等网络威胁的几项关键策略。

实施网络分段是遏制潜在漏洞的基础步骤。

• 策略：通过根据系统分类策略将网络划分为不同的网段，企业可以创建阻塞点，从而限制攻击者的行动能力，延长保护时间，为侦测对手创造更多机会。
• 实例：一家大型医疗服务提供商通过将病人数据服务器与通用网络隔离，挫败了一次网络攻击，即使网络的其他部分受到攻击，也能确保关键数据的安全。

各组织应在无法从主网络访问的独立备份基础设施中保存最新的离线数据副本。

• 策略：维护独立的备份基础设施。
• 举例说明：一家全球性制造公司成功采用了这种方法，该公司定期进行数据快照并离线存储，即使在遭受勒索软件攻击后也能确保数据的完整性和可用性。

各组织应监控特定指标；在 Lynx 攻击中，应监控是否出现".LYNX "等文件扩展名或创建名为 "README.txt "的文件，这是赎金说明的典型文件名。

• 策略：预警系统可以检测到不寻常的数据传输模式或大量文件修改，从而对潜在的漏洞做出快速反应。
• 实例：一家金融机构部署了端点检测和响应系统，可在下班后对未经授权访问其备份系统的行为进行标记，从而避免了重大数据泄露事件的发生。

访问管理是一种安全实践，重点是控制和监控对组织内系统、资源和数据的访问。 实施全面的访问控制监控可帮助组织检测和防止对关键系统的未经授权访问尝试。

• 策略：对敏感系统和数据的所有访问尝试进行详细记录。定期查看访问日志中的可疑模式。对异常访问行为实施自动报警。维护严格的访问控制列表 (ACL)，定期审核用户权限。
• 实例：一家金融服务公司通过监控系统识别不寻常的访问模式，从而检测并防止潜在的数据泄露，该系统可标记出授权用户账户在正常工作时间外的多次失败登录尝试。

一个定义明确的事件响应（IR）计划能让企业对网络安全事件做出快速有效的反应，最大限度地减少潜在的损失和恢复时间。

• 策略：制定详细的事件响应程序，确立明确的角色和职责，维护主要利益相关者和外部资源（执法部门、事件响应公司）的最新联系名单，并定期进行桌面演练，以测试响应效果。
• 举例说明：一家制造公司可能会在数小时内控制勒索软件事件，方法是遵循其经过测试的事件响应计划，其中包括即时系统隔离程序和与事件响应团队预先建立的沟通渠道。

评估可访问网络的关键产品的安全状况至关重要。

• 策略：实施供应链风险管理计划，对可访问关键系统的产品进行安全测试，并定期审查第三方访问权限，以降低供应链风险。
• 举例说明：一家制药公司可以通过进行全面的安全评估，确保所有合作伙伴都遵守严格的网络安全标准，从而提高供应链的安全性。

在关键系统上使用 EDR 解决方案、电子邮件过滤和应用程序白名单等先进的安全技术，可以大大增强组织的安全态势。

• 策略：建立持续的网络监控和威胁捕猎能力。
• 示例：一家电信公司通过主动猎杀威胁，识别并消除了一个高级持续性威胁 (APT)。

黑莓威胁研究和情报团队分析了以下 MITRE威胁行为者经常使用的技术：

虚拟化/沙盒规避（T1497）是防御规避（TA0005）战术下的一项技术。该技术用于检测恶意软件分析和威胁检测解决方案通常采用的虚拟化或沙盒环境。通过识别这些环境，恶意行为者可以通过停止或改变其有效载荷的行为来逃避检测，从而阻止分析工具准确评估威胁。

恶意软件利用虚拟化/沙盒规避技术来验证其有效载荷是否在分析环境中执行，而不是在真正的主机上执行。这对绕过检测至关重要，可使恶意软件保持隐蔽性。有效载荷可根据环境检查配置为不同的行为方式，仅在真实环境中执行，并在检测到虚拟或沙盒环境时避免激活。

敌方存在的常见迹象可能包括

• 与虚拟机相关的注册表项和系统工件。
• 硬件配置提示，如特定的虚拟化驱动程序或低资源限制，这可能表明存在沙盒环境。
• 与常用沙箱工具或虚拟环境绑定的进程或文件路径。
• 系统行为或运行时间检查，以检测环境是否是新初始化的，这是沙箱设置的常见特征。

攻击者经常使用带有嵌入式系统检查的 PowerShell 或批处理脚本来检测虚拟化条件。下面是一个 PowerShell 命令的示例，该命令通过检查虚拟机是否存在来逃避沙盒分析：

Get-WmiObject -Class Win32_BIOS | Select-String "VMware|VirtualBox|Xen"

如果命令返回匹配结果，有效载荷可能会改变其执行路径或终止，从而逃避虚拟化环境中的进一步分析。

Electron 应用程序是使用 HTML、CSS 和 JavaScript 等网络技术构建的桌面应用程序。它们基于 Electron 框架开发，该框架结合了 Chromium 渲染引擎和 Node.js 运行时。

由于 Electron 应用程序可以请求大量系统权限，对手可以利用这种访问权限，以与应用程序本身相同的权限执行命令或脚本。

威胁行为者可以利用系统二进制代理执行功能，通过合法进程运行任意命令来执行恶意代码。示例：chrome.exe --disable-gpu-sandbox --gpu-launcher="C:\Windows\system32\cmd.exe /c calc.exe"演示了如何利用系统二进制代理执行。通过使用 --disable-gpu-sandbox标记，威胁行为者通过禁用进程隔离来削弱 Chrome 浏览器的安全性。使用 --gpu-launcher="C:\Windows\system32\cmd.exe/c calc.exe"命令使对手能够通过 cmd.exe 执行任意命令。

另一个例子是：teams.exe --disable-gpu-sandbox --gpu-launcher="C:\Windows\system32\cmd.exe /c ping google.com &&"，它会生成 cmd.exe 作为子进程来执行任意命令，同时禁用 GPU 沙盒，允许进程在没有隔离的情况下运行。

在最近的 MITRE V15 更新中，原有的系统脚本代理执行（T1216）技术扩展了一个新的子技术，被识别为 T1216.002，并命名为SyncAppvPublishingServer。该子技术隶属于防御规避策略（TA0005），被对手利用来代理执行恶意 PowerShell 命令。

SyncAppvPublishingServer.vbs 是一个合法的 Visual Basic 脚本，与微软及其允许 Windows 虚拟化应用程序的应用程序虚拟化（App-V）有关。SyncAppvPublishingServer.vbs 脚本由微软签署，因此具有可信度。 

恶意行为者利用这种子技术来绕过 PowerShell 的执行限制，并通过利用本机可信进程来躲避检测系统，这种方法通常被称为 "靠天吃饭"。这样就可以在执行恶意命令的同时融入本地系统操作。

Here is an example command line of how this can be invoked:
“SyncAppvPublishingServer.vbs "n; {Malicious PowerShell Command}"”