1. 迪士尼遭到黑客组织NullBulge入侵,1.1TB的内部Slack数据泄露
7月15日,一个名为 NullBulge 的自称黑客行动主义组织旨在“保护艺术家的权利并确保他们的作品获得公平的报酬”,该组织声称已经入侵迪士尼并泄露了该公司 1.1 TiB(1.2 TB)的内部 Slack 基础设施。这些声明于 2024 年 7 月 12 日发布在臭名昭著的网络犯罪和黑客平台Breach Forums上。此次泄密事件尚未得到证实,据称其中包含该公司开发团队使用的 Slack 通信的完整副本,包括在 Slack 工作区内交换的消息、文件和其他数据。黑客进一步声称,该转储包含“近 10,000 个频道、所有可能的消息和文件、未发布的项目、原始图像、代码、登录信息、内部 API/网页链接等!”NullBulge 还利用 X(以前的 Twitter)宣布了 此次所谓的黑客攻击,并表示:“迪士尼的整个开发 Slack 都被泄露了。1.1 TiB 的文件和聊天消息。我们下载并打包了所有我们能拿到的东西。想看看门后发生了什么吗?快去拿吧。”https://hackread.com/disneys-internal-slack-breached-nullbulge-leak-data/
2. Crystalray攻击次数增加 10 倍,仅使用 OSS 窃取凭证
7月14日,一个新发现的威胁行为者正在使用大量开源软件(OSS)来成倍地扩大其凭证窃取和加密挖掘操作。“Crystalray” 最早于 2 月份被发现,当时它正在使用名为“SSH-Snake”的渗透测试程序来利用Atlassian 的 Confluence 平台中已知的漏洞。此后,Sysdig 的研究人员发现它结合了一套其他 OSS 工具来促进其攻击链的几乎每一步。也许是因为不用自己编写恶意软件,Crystalray 的活动在今年春天爆发了。目前,它已经感染了全球 1,800 多个唯一 IP 地址,任何时候都有数百个活跃感染。超过一半的攻击发生在美国和中国。Crystalray 工具包中用于执行初步侦察的第一个工具称为“ASN”。此命令行工具允许其用户向 Shodan 查询开放端口、已知漏洞以及有关潜在目标的许多其他有用数据,例如他们可能正在运行的软件和硬件。正如其 GitHub 自述文件中所宣传的那样,ASN 可以完成所有这些工作,甚至更多,“而无需向目标发送任何数据包”。https://www.darkreading.com/threat-intelligence/-crystalray-attacks-jump-10x-using-only-oss-steal-credentials
3. 恶意 NuGet 攻击活动诱骗开发人员注入恶意代码
7月15日,黑客经常将 NuGet 视为目标,因为它是 .NET 的流行包管理器,开发人员广泛使用它来共享和使用可重用代码。威胁行为者可以通过破坏 NuGet 包将恶意代码分发到许多项目。2023 年 8 月,ReversingLabs 检测到针对 NuGet 的恶意活动,并注意到威胁行为者使用的技术发生了变化。此前,他们在 700 多个恶意包中使用简单的初始化脚本,然后转而使用 *.targets 文件来利用 NuGet 的 MSBuild 集成。最新版本使用混淆的下载程序,通过 IL 编织将其合并到真正的 PE 二进制文件中。为了显得值得信赖,有人试图冒充他人、域名抢注以及人为增加下载数量。这次攻击就是一个例子,说明这些攻击者如何调整他们的策略以及提高他们的技能以进一步破坏 .NET 生态系统。该威胁行为者已持续以 NuGet 为目标超过六个月,其技能已发展到使用 IL 编织技术。该方法增加了检测的复杂性,因为它将恶意模块初始化程序注入到合法的.NET 二进制文件中。最近的攻击包括修补 Guna.UI2.WinForms 等流行软件包中的 DLL 文件,以及使用域名抢注绕过 NuGet 的前缀预留系统。使用注入的代码下载经过混淆的 SeroXen RAT。https://gbhackers.com/malicious-nuget-campaign-code-injection/
4. 研究团队发现Akira 勒索软件利用合法工具攻击航空业
7月15日,航空公司经常成为黑客的目标,因为它们保存着乘客敏感的个人和财务详细信息以及旅行计划和忠诚度计划。由于航空公司对威胁行为者具有吸引力,因此扰乱其运营可能会对其经济和声誉造成很大损害。在拉丁美洲,Akira 勒索软件于 2024 年 6 月针对一家航空公司发起攻击,攻击通过使用 SSH 通过合法工具和 LOLBAS 获取初始访问侦察和持久性。在使用勒索软件之前,基于 Linux 的攻击者已经窃取了关键数据。AKIRA 又名 Storm-1567 RaaS 组织(又名 Punk Spider、GOLD SAHARA),采用双重勒索手段,经常滥用合法软件。该组织于 2023 年 3 月开始活动,已从全球 250 多个涉及经济不同领域的组织收到超过 4200 万美元的赎金。Akira 不仅专注于 Windows 系统,而且还拥有 Linux 变体,例如适用于 VMware ESXi 虚拟机的变体,这表明它对于任何 IT 环境都具有多功能性。Akira 勒索软件对拉丁美洲航空公司的攻击是通过CVE-2023-27532 利用未修补的 Veeam 备份服务器执行的。https://gbhackers.com/akira-ransomware-attacks-airline-industry/
5. AT&T 向黑客支付 37 万美元以删除被盗电话记录
7月14日,美国电信巨头 AT&T 周五披露,黑客窃取了其数千万客户的通话记录,该公司向一名黑客团队成员支付了 30 多万美元,要求其删除数据并提供删除证明的视频。这名黑客是臭名昭著的 ShinyHunters 黑客组织的成员,该组织通过不安全的 Snowflake 云存储账户窃取了多名受害者的数据。他告诉《连线》杂志,AT&T 在 5 月份支付了赎金。他提供了向他发送货币的加密货币钱包的地址,以及接收货币的地址。《连线》杂志通过在线区块链跟踪工具证实,5 月 17 日发生了一笔 5.7 比特币的支付交易。加密货币追踪公司 TRM Labs 的全球调查主管 Chris Janczewski 也利用该公司自己的跟踪工具证实,发生了一笔约 5.72 比特币(交易时相当于 373,646 美元)的交易,这笔钱随后通过几家加密货币交易所和钱包洗白,但他表示没有迹象表明谁控制了这些钱包。一位安全研究员雷丁顿 (Reddington) 也证实了这笔付款。这位黑客请他充当与 AT&T 谈判的中间人,雷丁顿因此从 AT&T 那里获得了一笔报酬。雷丁顿向《连线》杂志提供了这笔报酬的证明。这位黑客最初要求 AT&T 支付 100 万美元,但最终只同意支付其中的三分之一。尽管付款并删除了数据,但部分 AT&T 客户及与他们通信的人员仍可能面临风险,因为其他人可能拥有未删除的数据样本。https://www.wired.com/story/atandt-paid-hacker-300000-to-delete-stolen-call-records/
6. DARK GATE 恶意软件活动使用 SAMBA 文件共享
7月15日,Palo Alto Networks Unit 42 的研究人员分享了有关2024 年 3 月至 4 月期间DarkGate恶意软件活动的详细信息。威胁行为者使用 Microsoft Excel 文件从面向公众的 SMB 文件共享下载恶意软件软件包。研究人员指出,威胁行为者创造性地滥用合法工具和服务来传播他们的恶意软件。DarkGate RAT 用 Borland Delphi 编写,在网络犯罪生态系统中以恶意软件即服务 (MaaS) 模型的形式存在。该恶意软件被视为一种复杂的威胁,并且不断得到改进。DarkGate 自 2018 年以来一直处于活跃状态,它支持各种功能,包括进程注入、下载和执行文件、信息窃取、shell 命令执行和键盘记录功能。恶意负载还采用了多种规避技术。出于经济动机的威胁行为者使用该恶意软件攻击北美、欧洲、亚洲和非洲的组织。在 2023 年 8 月Qakbot基础设施中断后,42 部队观察到 DarkGate 活动激增。2024 年 3 月,DarkGate 攻击者使用 Microsoft Excel 文件发起了一场攻击活动,最初针对的是北美,但逐渐蔓延到欧洲和亚洲。该活动在 2024 年 4 月 9 日达到顶峰,一天内检测到近 2,000 个样本。https://securityaffairs.com/165723/malware/dark-gate-malware-uses-samba-file-shares.html
还没有评论,来说两句吧...