APT攻击
UNC1860组织利用复杂技术手段针对中东地区发起网络攻击
Earth Baxia组织利用鱼叉式网络钓鱼和GeoServer漏洞针对亚太地区
俄罗斯反病毒公司Doctor Web遭受网络攻击后断开所有服务器
美国知名金融支付公司MoneyGram遭受网络攻击
知名在线零售平台Temu数据泄露事件
美国政府机构CMS遭受数据泄露,影响3100万人
安卓恶意软件Necro通过Google Play感染1100万台设备
SectopRAT恶意软件假冒安装程序进行传播
Mallox勒索软件新变种攻击武器分析
Vanilla Tempest网络犯罪组织首次使用INC勒索软件针对美国医疗行业
APT攻击
UNC1860组织利用复杂技术手段针对中东地区发起网络攻击
谷歌威胁分析团队近期揭露了一个名为UNC1860的高级持续性威胁(APT)组织,该组织对伊朗和中东地区的网络进行了一系列的复杂网络攻击。这些攻击活动展示了攻击者在技术手段和策略上的高超水平,对目标地区的网络安全构成了严重威胁。
UNC1860组织通过精心制作的鱼叉式网络钓鱼邮件诱导目标用户点击恶意链接或打开携带恶意软件的附件,从而获得对目标网络的初始访问权限。攻击者利用社会工程学手段,结合定制的后门程序、数据擦除器和键盘记录器等恶意软件工具,以实现对目标网络的持久访问和数据窃取。他们还利用远程桌面协议(RDP)等工具进行横向移动,寻找更高权限的系统进行控制,以便于对敏感数据进行收集和泄露。
在攻击过程中,UNC1860组织展示了其在规避检测方面的先进技术,包括自定义加密和混淆技术,以避免被安全软件检测到。他们通过部署后门程序和创建系统账户,确保即使在被发现后也能重新获得对网络的访问。此外,该组织精心选择目标,主要针对中东地区的政府机构、能源公司和教育机构,显示出其对战略信息的高度兴趣。
谷歌威胁分析团队在报告中提供了一些技术细节,包括UNC1860组织使用的特定恶意软件家族和攻击基础设施。攻击者使用了多个指挥与控制(C2)服务器,这些服务器分布在全球多个地区,以隐藏其真实位置。他们还使用了合法的工具,如AnyDesk远程监控和管理(RMM)工具,以及MEGA数据同步工具,以便于远程管理和数据传输。
图1UNC1860组织攻击示意图
参考链接:
https://cloud.google.com/blog/topics/threat-intelligence/unc1860-iran-middle-eastern-networks
Earth Baxia组织利用鱼叉式网络钓鱼和GeoServer漏洞针对亚太地区
趋势科技的研究团队最近揭露了一个名为Earth Baxia的威胁组织,该组织利用鱼叉式网络钓鱼和GeoServer漏洞针对亚太地区(APAC)国家的政府组织。在这次精心策划的攻击中,Earth Baxia组织首先通过发送带有恶意附件的鱼叉式网络钓鱼邮件来获取初始访问权限。他们利用了CVE-2024-36401漏洞,这是一个在开源地理空间数据共享服务器GeoServer中的远程代码执行(RCE)漏洞。攻击者利用该漏洞下载或复制恶意组件到受害者的环境中,并执行这些组件。
攻击者使用了一种称为GrimResource的技术,通过公共云服务下载额外的有效载荷。他们还使用了AppDomainManager注入技术,这是一种允许在目标应用程序进程中执行任意代码的方法。在被妥协的机器上,攻击者部署了定制的Cobalt Strike组件,这些组件通过修改内部签名和更改配置结构来逃避检测。此外,他们还使用了一种名为EAGLEDOOR的新后门,该后门支持多种通信协议,用于信息收集和有效载荷传递。Earth Baxia组织在攻击过程中展示了其在规避检测方面的先进技术,包括使用公共云服务来托管恶意文件,以及利用Telegram Bot API进行信息收集和有效载荷传递。他们还使用了curl.exe来归档收集的数据,并通过命令行工具将被盗数据泄露。
这次攻击突出了当前网络威胁的复杂性和多样性。Earth Baxia组织利用公开可用的漏洞和复杂的恶意软件工具,针对亚太地区的政府和能源部门进行了精心策划的攻击。
图2Earth Baxia组织攻击示意图
参考链接:
https://www.trendmicro.com/en_us/research/24/i/earth-baxia-spear-phishing-and-geoserver-exploit.html
攻击活动
俄罗斯反病毒公司Doctor Web遭受网络攻击后断开所有服务器
在2024年9月14日的周末,俄罗斯著名的反病毒公司Doctor Web(Dr.Web)遭受了一次网络攻击,作为响应,公司断开了所有服务器的连接。这一事件在网络安全领域引起了广泛关注,因为它涉及到一个专门从事网络安全防护的公司。
Doctor Web在一份声明中透露,公司检测到了对其IT基础设施的“未经授权的干扰迹象”。尽管遭受了攻击,公司强调,安全漏洞并未对其客户造成影响。声明中提到,2024年9月14日,Doctor Web的专家记录了对公司资源的针对性攻击。他们及时阻止了对他们基础设施的破坏企图,没有任何使用Dr.Web保护系统的用户受到影响。”
为了应对这一事件,Doctor Web立即根据其内部响应程序断开了资源与内部网络的连接,并启动了对事件的调查。作为预防措施,他们公司不得不暂时中断其Dr.Web病毒数据库的发布。公司表示,目前根据公司的安全协议,所有资源都已从网络中断开,以便进行检查。因此,Dr.Web病毒数据库的发布暂时中断。他们的Dr.Web FixIt!服务,包括其针对Linux的特殊预发布版本,正在被用来诊断和消除攻击的后果。这使他们能够更快地扫描他们的资源。病毒数据库的发布将很快恢复。Doctor Web没有提供关于攻击的技术细节,也没有将攻击归因于任何特定的威胁行为者。目前尚不清楚攻击者是否从这家反恶意软件公司窃取了数据。9月17日时,该公司恢复了其病毒数据库的更新服务。
参考链接:
https://securityaffairs.com/168577/hacking/antivirus-firm-dr-web-suffers-cyberattack.html
美国知名金融支付公司MoneyGram遭受网络攻击
美国知名的点对点支付和资金转账公司MoneyGram确认,其服务中断是由于遭受了一次网络攻击。这次攻击影响了该公司的多个系统,导致其服务暂时不可用。在2024年9月22日,MoneyGram通知其客户,公司正在经历一次网络中断,这次中断影响了对其多个系统的连接。公司在推特上表示:“MoneyGram正在经历一次网络中断,这次中断影响了对我们多个系统的连接。我们正在努力了解这个问题的性质和范围。我们认识到这个问题对客户的重要性和紧迫性。”
自上周五以来,为了控制攻击的影响,公司已经将其部分系统离线。这种情况表明,MoneyGram可能是勒索软件攻击的受害者。这次攻击同时影响了公司的线下和在线资金转账服务。公司已经启动了对这次安全漏洞的调查,并通知了执法部门。公司在一份声明中表示:“我们正在努力使我们的系统重新上线,并恢复正常的业务运营。”截至目前,MoneyGram的网站仍然无法访问。
MoneyGram国际公司在2023年6月1日被私募股权公司Madison Dearborn Partners以每股11.00美元的价格收购,使公司私有化。截至2023年初,该公司50%的交易已经是数字化的。MoneyGram在全球200多个国家开展业务,服务全球1.5亿客户,是资金转账行业的重要参与者。鉴于MoneyGram拥有大量敏感客户数据,因此它是网络犯罪分子的理想目标
参考链接:
https://securityaffairs.com/168827/security/moneygram-outage-caused-by-cyberattack.html
数据泄露
知名在线零售平台Temu数据泄露事件
近日,在线零售平台Temu遭遇了一起严重的数据泄露事件,引发了用户和业界的广泛关注。在数字化时代,个人信息的安全成为了公众关注的焦点,而此次事件的发生无疑给数据安全领域敲响了警钟。据初步调查,此次泄露可能涉及用户敏感信息,包括用户的姓名、地址、电子邮件、电话号码以及购物历史等。安全研究人员在暗网和黑客论坛上首次发现了这些数据的踪迹,随后通过对泄露数据样本的分析,确认了这些信息的真实性,并与Temu平台的用户数据相匹配。
目前,尽管泄露的具体途径仍在调查中,但可能的原因包括黑客攻击、内部人员泄露或系统安全漏洞等。面对这一突发事件,Temu迅速采取了一系列应对措施,包括立即通知受影响用户、加强平台的安全防护、并与网络安全专家合作展开深入调查,以确定泄露的具体原因。此外,Temu也向所有可能受到影响的用户发送了安全通知,建议他们更改账户密码,并提醒他们保持警惕,防止钓鱼攻击和其他形式的诈骗。这一事件不仅对Temu平台的用户信任造成了影响,也对整个电商行业的数据安全提出了挑战。
参考链接
https://www.zataz.com/fuite-de-donnees-chez-temu/
美国政府机构CMS遭受数据泄露,影响3100万人
美国卫生及公共服务部下属的Centers for Medicare & Medicaid Services (CMS)近日遭受了一起严重的数据泄露事件,据估计,该事件可能影响了约3100万人的敏感信息。CMS作为负责监管美国医疗保险和医疗补助计划的关键机构,掌握着大量美国公民的个人身份信息和健康记录。在例行的安全检查中,CMS首次发现了异常活动的迹象,随后确认了这一数据泄露事件。泄露的数据可能包括个人身份信息、健康记录以及受益人的索赔详情。意识到泄露后,CMS迅速启动了紧急响应机制,包括内部和外部的安全专家小组,对泄露的数据范围和潜在影响进行了全面评估。为了应对此次事件,CMS采取了一系列措施,包括加强安全防护、监控异常活动、并为受影响的个人提供信用监控服务,以保护他们的信息安全。同时,CMS也根据联邦法律和规定,及时通知了受影响的个人和相关监管机构。目前,CMS正在与网络安全专家合作,对泄露事件的原因进行深入调查,并努力防止未来类似事件的发生。
参考链接:
https://www.bleepingcomputer.com/news/healthcare/us-govt-agency-cms-says-data-breach-impacted-31-million-people/
恶意软件
安卓恶意软件Necro通过Google Play感染1100万台设备
近日,一种名为Necro的安卓恶意软件通过Google Play商店悄无声息地感染了超过1100万台安卓设备。这一事件不仅暴露了移动应用生态系统中存在的安全漏洞,也对用户的个人信息安全构成了严重威胁。Necro恶意软件的传播手法十分狡猾,它通过伪装成各种看似无害的应用程序,诱使用户下载安装。这些应用在Google Play上的下载量累计超过1500万次,涉及游戏、工具等多个类别。用户在安装这些应用后,Necro恶意软件便开始在后台悄悄执行恶意操作,包括但不限于窃取用户数据、进行广告欺诈以及推送其他恶意软件。
研究人员在对Google Play商店中的应用程序进行安全检查时,发现了这些应用的异常行为。通过对这些应用的代码进行深入分析,他们揭露了Necro恶意软件的存在。这些应用使用了复杂的技术手段来规避安全检测,包括代码混淆和加密,使得它们能够在用户不知情的情况下执行恶意活动。为了追踪恶意软件的传播途径,研究人员对这些应用的来源和传播链进行了细致的调查。他们发现Necro恶意软件通过多个应用传播,这些应用表面上提供各种服务,实则暗藏玄机。据统计,已经有超过1100万台设备受到了感染,这一数字还在不断上升。
对此,Google迅速采取了行动,下架了所有含有Necro恶意软件的应用,并对Google Play的安全机制进行了紧急更新,以防止未来类似的安全威胁。同时,Google也提醒用户在下载应用时要格外小心,只从可信的来源安装软件,并确保设备上安装了最新的安全更新。
参考链接:
https://www.bleepingcomputer.com/news/security/android-malware-necro-infects-11-million-devices-via-google-play/
SectopRAT恶意软件假冒安装程序进行传播
网络安全研究人员发现,黑客攻击者正通过伪造Notion安装程序的方式,传播一种名为SectopRAT(ArechClient2)的远程访问木马(RAT)恶意软件。这种恶意软件不仅能够远程控制受感染的设备,还能窃取用户的敏感信息,如浏览器密码、Cookies、AutoFill数据,甚至是加密货币钱包文件。
此次事件中,攻击者巧妙地利用了用户对知名品牌的信任。他们制作了外观与Notion官方安装程序极为相似的假冒安装文件,并在其中植入了恶意代码。用户在安装这些假冒程序后,SectopRAT恶意软件便被激活,连接到攻击者的C&C服务器,从而接收远程指令并执行恶意行为。
攻击者在域名上也进行了精心伪装,使用“notlon.be”这样的域名,通过将字母“i”替换为相似的字母“l”,模仿Notion的官方网站,以此欺骗用户。这种伪装手段使得用户很难仅凭域名判断网站的真实性。安全研究人员指出,SectopRAT与已知的RedLine恶意软件有许多相似之处,包括远程控制和信息窃取等功能。这些恶意软件的传播手法再次提醒我们,网络威胁无处不在,用户需时刻保持警惕。
参考链接:
https://asec.ahnlab.com/ko/83312/
勒索软件
Mallox勒索软件新变种攻击武器分析
近期,网络安全研究人员揭露了Mallox勒索软件的最新动向。Mallox此前主要针对Windows系统,现在正将其攻击范围扩展到Linux和VMWare ESXi系统。这一策略转变标志着该勒索软件操作的重大演变。
Mallox勒索软件的一个关联者,也被称作TargetCompany,被发现正在使用基于Kryptina勒索软件的略微修改版本来攻击Linux系统。这个新变种被命名为“Mallox Linux 1.0”,代表了Mallox勒索软件对Linux系统的直接威胁。Kryptina最初在2023年底被推出为一个低成本的勒索软件即服务(RaaS)平台,针对Linux系统,价格在500至800美元之间。尽管它未能在网络犯罪社区中获得广泛关注,但在2024年2月,Kryptina的管理员“Corlys”在黑客论坛上免费泄露了其源代码,这可能吸引了希望获得现成Linux勒索软件的攻击者。
SentinelLabs的研究人员在Mallox关联者因操作失误暴露工具后,发现Kryptina的源代码已被Mallox项目采用,用于构建重新品牌的Mallox有效载荷。这一发现最初由安全研究员Efstratios Lontzetidis在2024年5月底做出,他找到了这种新Mallox变种的多个样本。“Mallox Linux 1.0”加密器使用了Kryptina的核心源代码,包括相同的AES-256-CBC加密机制、解密程序、命令行构建器和配置参数。Mallox关联者主要修改了外观和名称,去除了勒索信、脚本和文件中对Kryptina的引用,并将现有文档简化,而核心功能则保持不变。在攻击者的服务器上,SentinelLabs还发现了多种其他工具,包括合法的卡巴斯基密码重置工具、针对Windows 10和11的权限提升漏洞利用工具、权限提升PowerShell脚本、基于Java的Mallox有效载荷投递器、包含Mallox有效载荷的磁盘映像文件,以及14个潜在受害者的数据文件夹。
目前,尚不清楚Mallox Linux 1.0变种是被单个关联者、多个关联者使用,还是所有Mallox勒索软件操作者都在使用,以及它是否与之前报告中讨论的Linux变种一起使用。
参考链接:
https://www.bleepingcomputer.com/news/security/new-mallox-ransomware-linux-variant-based-on-leaked-kryptina-code/
Vanilla Tempest网络犯罪组织首次使用INC勒索软件针对美国医疗行业
微软威胁情报团队最近揭露,一个以经济利益为动机的威胁行为者,被追踪为Vanilla Tempest(前身为DEV-0832),首次使用INC勒索软件针对美国医疗行业展开网络攻击。
Vanilla Tempest组织在攻击中使用了INC勒索软件,这是他们首次采用这种恶意软件。该组织自2022年7月以来一直很活跃,他们的目标包括教育、医疗保健、IT和制造业等多个行业的组织。在以往的攻击中,该组织使用了多种勒索软件有效载荷,包括BlackCat、Quantum Locker、Zeppelin和Rhysida。
微软安全研究员在X上写道:“Vanilla Tempest组织从Gootloader感染中接收由Storm-0494攻击者传递的数据,然后部署像Supper后门程序、合法的AnyDesk远程监控和管理(RMM)工具,以及MEGA数据同步工具等。”该组织使用远程桌面协议(RDP)进行横向移动,并通过Windows管理 Instrumentation Provider Host部署INC勒索软件有效载荷。
参考链接:
https://securityaffairs.com/168633/uncategorized/vanilla-tempest-used-inc-ransomware.html
往期推荐
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...