每周安全速递³⁰⁵|STAC6451攻击印度多家组织并部署Mimic勒索软件

第305****期

本周热点事件威胁情报

1

STAC6451攻击印度多家组织并部署Mimic勒索软件

研究人员在支持一起活跃事件时，发现了一个新的威胁活动集群STAC6451，该集群通过公开暴露在互联网的Microsoft SQL Server数据库服务器（默认TCP/IP端口1433）对印度的多家组织进行攻击，试图部署勒索软件。STAC6451集群的主要特征是滥用SQL Server进行未经授权的访问，并通过xp_cmdshell远程执行代码，使用BCP（大批量复制程序）工具在被攻击的MSSQL数据库中安置恶意负载和工具，包括权限提升工具、Cobalt Strike Beacons和Mimic勒索软件二进制文件。此外，攻击者还利用Python Impacket库创建各种后门账户用于横向移动和持久化。研究人员首次在2024年3月末发现该活动，当时支持某组织的SQL Server遭到攻击并尝试横向移动。深入分析后，发现了多个具有相似战术、技术和程序（TTPs）的事件，最终形成了STAC6451集群。该集群主要通过暴露在互联网的MSSQL服务器获取初始访问权限，并使用简单账户凭证进行暴力破解攻击。攻击者在获取访问权限后，启用xp_cmdshell以通过SQL服务执行命令。

参考链接：

https://news.sophos.com/en-us/2024/08/07/sophos-mdr-hunt-tracks-mimic-ransomware-campaign-against-organizations-in-india/

2

勒索软件攻击致Sonic Automotive损失3000万美元收入

Sonic Automotive向投资者披露，一起针对其关键服务提供商CDK Global的勒索软件攻击导致其每股收益在截至6月30日的季度中下降了三分之一。作为美国第五大汽车零售商，Sonic Automotive因CDK Global在6月19日的网络勒索事件受到严重影响，多个系统被迫停用，包括销售、库存、会计和客户关系管理系统，导致北美汽车零售行业销售受损。Sonic Automotive报告称，第二季度GAAP稀释后每股收益为1.18美元，比预期低0.64美元，主要因CDK Global系统中断导致的估计收入损失和费用增加。此次事件估计使其第二季度税前收入减少约3000万美元，净收入减少约2220万美元，其中约1160万美元用于支付因CDK停电而产生的员工额外补偿。

参考链接：

https://www.board-cybersecurity.com/incidents/tracker/20240621-sonic-automotive-inc-cybersecurity-incident/#8-ka-filed-on-2024-08-05

3

McLaren医院系统因INC Ransom勒索软件攻击中断

McLaren Health Care医院的IT和电话系统在一次与INC Ransom勒索软件有关的攻击后中断。McLaren是一家年收入超过65亿美元的非营利性医疗系统，在密歇根州运营13家医院，拥有640名医生和超过28000名员工，并与印第安纳州和俄亥俄州的113000个网络提供商合作。McLaren在其网站上发布声明称，正在调查其信息技术系统的中断，建议患者在预约时携带详细的药物信息、医生订单和最近的实验室测试结果。部分预约和非紧急或选择性程序可能会被重新安排。尽管McLaren尚未披露事件的具体性质，但McLaren Bay Region Hospital的员工分享了一份勒索信，警告称医院系统已被加密，如果不支付赎金，数据将被泄露到INC Ransom勒索软件团伙的网站上。

参考链接：

https://www.mclaren.org/main/notification

4

勒索软件团伙利用新型SharpRhino恶意软件攻击IT工作者

研究人员发现，Hunters International勒索软件团伙正在使用一种名为SharpRhino的全新C#远程访问木马（RAT），专门针对IT人员入侵企业网络。此恶意软件帮助Hunters International实现初始感染、提升在受感染系统上的权限、执行PowerShell命令，并最终部署勒索软件。根据研究人员的报告，SharpRhino通过一个假冒合法网络工具Angry IP Scanner网站的typosquatting站点传播。Hunters International部署伪装成合法开源网络扫描工具的网站，表明其目标是IT人员，希望通过他们入侵具有提升权限的账户。

参考链接：

https://www.quorumcyber.com/insights/sharprhino-new-hunters-international-rat-identified-by-quorum-cyber/

5

Magniber勒索软件攻击影响全球家庭用户

2024年8月4日，全球各地的家庭用户正遭受一波大规模的Magniber勒索软件攻击，设备被加密后需支付高达数千美元的赎金才能获取解密器。自2024年7月20日以来，BleepingComputer论坛上寻求帮助的Magniber勒索软件受害者激增，勒索软件识别网站ID-Ransomware也收到了近720份相关提交。尽管目前尚不清楚受害者是如何感染的，但一些受害者表示，他们的设备在运行软件破解或密钥生成器后被加密，这也是威胁者过去常用的方法。一旦启动，勒索软件会加密设备上的文件，并在加密的文件名后附加随机的5-9字符扩展名，如.oaxysw或.oymtk。勒索软件还会创建名为READ_ME.htm的赎金通知，包含有关文件发生状况的信息和访问威胁者Tor赎金网站的唯一URL。Magniber的赎金要求通常从1000美元起，如果在三天内未支付比特币，赎金将增加至5000美元。不幸的是，目前没有免费解密当前版本Magniber加密文件的方法。

参考链接：

https://www.bleepingcomputer.com/news/security/surge-in-magniber-ransomware-attacks-impact-home-users-worldwide/

6

勒索软件攻击导致Keytronic损失超过1700万美元

电子制造服务公司Keytronic披露，最近的一次勒索软件攻击导致其额外开支和收入损失总计超过1700万美元。公司在2024财年第四季度的初步财务报告中公布了与此次事件相关的成本。Keytronic表示：“由于此次事件，公司在第四季度产生了大约230万美元的额外开支，并且预计损失了约1500万美元的收入。”此次网络攻击发生于5月6日，导致美国和墨西哥的多个站点运营中断。这些站点的运营因事件暂停了两周。公司在6月初次报告时，已为外部网络安全专家支付了约60万美元的费用。黑客组织Black Basta声称对这次攻击负责，并称窃取了超过500GB的数据，包括财务文件、工程文件、人力资源信息及其他类型的公司数据。

参考链接：

https://www.sec.gov/Archives/edgar/data/719733/000071973324000044/q42024preliminaryexhibit991.htm

7

最新数据表明勒索软件攻击不再关注大品牌

据研究人员报告称，4月至6月间监控到的所有勒索软件攻击中，10%来自独立操作员，这是一个巨大的激增。这些黑客很可能是Alphv（又名BlackCat）或LockBit的前附属黑客，或因“有毒”勒索软件品牌的曝光、干扰和利润损失风险增加而决定独立行动。并非所有被解散的勒索软件团伙的前附属黑客都选择独立行动。今年早些时候，一名受害者向Dark Angels勒索软件团伙支付了迄今为止最高的公开勒索金额——7500万美元。Dark Angels自2022年5月起运营，运行Dunghill数据泄漏网站，但“引起的关注非常少”。勒索软件攻击的不断创新突显了其盈利驱动，医院、血库、学校和关键基础设施的反复攻击就是证明。近年来，随着勒索软件即服务（RaaS）组织的兴起，创新不断。这些组织将开发加密锁定恶意软件、运行数据泄漏基础设施和处理谈判的操作员与使用恶意软件攻击目标的附属黑客配对，通常附属黑客可获得每次勒索金额的70%或80%。

参考链接：

https://www.coveware.com/blog/2024/7/29/ransomware-actors-pivot-away-from-major-brands-in-q2-2024

美创科技第59号安全实验室，专注于数据安全技术领域研究，聚焦于安全防御理念、攻防技术、漏洞挖掘等专业研究，进行知识产权转化并赋能于产品。自2021年起，累计向CNVD、CNNVD等平台提报数千个高质量原创漏洞，并入选国家信息安全漏洞库（CNNVD）技术支撑单位（二级）、信创政务产品安全漏洞库支撑单位，团队申请发明专利二十余项，发表多篇科技论文，著有《数据安全实践指南》、《内网渗透实战攻略》等。