日期：2022-06-01
公布單位：工程部

2021 年第四季度威脅研究的洞察，以及 Trellix 威脅實驗室的最新發現

Trellix 威脅實驗室研究報告 提供: 包括我們在 2021 年第四季度的調查結果、我們對政府單位的多階段間諜攻擊的識別，以及我們最近對第一季度針對烏克蘭和新發現的 HermeticWiper 的網絡攻擊的分析。

Trellix Labs 發現可疑的 DarkHotel APT 活動更新

1- Trellix 發現了自 2021 年 11 月下半月以來針對中國澳門豪華酒店的第一階段惡意活動。攻擊始於一封針對酒店管理人員的魚叉式網絡釣魚電子郵件，其職位包括人力資源副總裁、助理經理和前台經理。 根據職稱，我們可以假設目標個人有足夠的權限訪問酒店的網絡，包括圖書系統。 這個怎麼運作：

用於此魚叉式網絡釣魚攻擊的電子郵件包含帶有 Excel 工作表的附件。 Excel 工作表用於欺騙受害者並在打開時啟用嵌入的惡意宏。
這些宏啟用了技術分析部分中詳述的幾種機制，並在下面的感染流程圖中進行了總結。
一開始，宏創建一個計劃任務來執行識別、數據列表和數據洩露。
然後，為了與用於洩露受害者數據的命令和控制服務器進行通信，宏正在使用已知的 lolbas（生活在陸地二進製文件和腳本）技術來執行 PowerShell 命令行作為受信任的腳本。

2- 勒索軟件

在 2021 年的最後一個季度，勒索軟件的格局繼續發生變化。 代替我們在之前的報告中描述的大型攻擊，勒索軟件攻擊者必須找到一個新的 地下家園 ，執法部門開始打擊幾個備受矚目的勒索軟件組織。 其中之一是 REvil/Sodinokibi，它在第三季度仍然位居頂級勒索軟件家族之列。 然而，REvil 在其基礎設施的協調拆除、幾起內部糾紛和 成員被捕 。 Trellix 很自豪能夠通過提供惡意軟件分析、定位關鍵基礎設施和識別多個嫌疑人來協助 REvil 調查。

我們在 2021 年第四季度的前 3 名屬於 Lockbit、Cuba 和 Conti Ransomware。 我們懷疑 REvil 的剩餘成員很可能已經找到了這些勒索軟件家族的新家。

相關連結：https://www.trellix.com/en-us/threat-center/threat-reports/apr-2022.html