每周安全事件报告 2023-03-13 第 11 周
黑客利用 Adobe Acrobat Sign 传播 Redline 信息窃取恶意软件
日期: 2023-03-19
标签: 信息技术, 网络犯罪, Adobe, Google, PayPal, RedLine Stealer, Emotet
网络犯罪分子正在利用在线文档签名服务 Adobe Acrobat Sign 诱骗用户下载窃取其个人信息的恶意软件。 为了绕过安全措施并欺骗用户相信他们收到的电子邮件是合法的,该服务被滥用来发送看似来自软件业务的恶意电子邮件。Adobe Acrobat Sign 是一种基于云的电子签名服务,允许用户免费发送、签名、跟踪和管理电子签名。威胁参与者注册该服务并使用它向某些电子邮件地址发送消息,其中包含指向 Adobe 服务器上发布的文档的链接(“eu1.documents.adobe.com/public/”)。 这些文件包括一个网站链接,该网站要求访问者完成验证码,以便在向他们提供包含 Redline 信息窃取程序副本的 ZIP 存档之前增加真实性。Redline 是一种危险的间谍软件,可以从受感染的设备中窃取帐户凭据、加密货币钱包、信用卡和其他数据。
详情
http://urlqh.cn/n16sy
http://urlqh.cn/n16sy
美国*发布LockBit 3.0勒索软件内幕资料
日期: 2023-03-19
标签: 信息技术, 网络犯罪, LockBit Black, BianLian, LockBit 3.0, Hive, Conti, BlackCat, StealBit, LockBit
2023年3月中旬,美国*机构发布了一份联合网络安全咨询,详细介绍了与臭名昭著的LockBit 3.0 勒索软件相关的妥协指标 (IoC) 以及策略、技术和程序 (TTP) 。当局表示: “LockBit 3.0 勒索软件的运作类似于勒索软件即服务 (RaaS) 模型,是勒索软件、LockBit 2.0 和 LockBit 先前版本的延续。”该警报由美国联邦调查局 (FBI)、网络安全和基础设施安全局 (CISA) 以及多州信息共享与分析中心 (MS-ISAC) 提供。自 2019 年底出现以来,LockBit 攻击者投入了大量技术来开发和微调其恶意软件,发布了两个主要更新——2021 年年中发布的 LockBit 2.0 和2022 年 6 月发布的LockBit 3.0。这两个版本是也分别称为 LockBit Red 和 LockBit Black。该勒索软件还旨在仅感染那些语言设置与排除列表中指定的语言设置不重叠的机器,其中包括罗马尼亚语(摩尔多瓦)、阿拉伯语(叙利亚)和鞑靼语(俄罗斯)。
详情
http://urlqh.cn/n2S19
http://urlqh.cn/n2S19
BianLian 勒索软件团伙将重点转移到纯粹的数据勒索
日期: 2023-03-16
标签: 信息技术, 网络犯罪, BianLian, donut_injector, Karakurt, RansomHouse
BianLian 勒索软件组织已将其重点从加密受害者的文件转移到仅泄露在受感染网络上发现的数据并将其用于勒索。网络安全公司Redacted报告了 BianLian 的这一业务发展 ,他们已经看到威胁组织试图制定勒索技巧并增加受害者压力的迹象。BianLian 是一种勒索软件操作,于2022 年 7 月首次在野外出现 ,成功破坏了多个知名组织。BianLian 运营商保持其初始访问和横向移动技术不变,并继续部署基于 Go 的自定义后门,使他们能够远程访问受感染的设备,尽管它的版本略有改进。威胁行为者会在勒索网站遭到破坏后 48 小时内以蒙面形式发布他们的受害者,给他们大约十天的时间来支付赎金。截至 2023 年 3 月 13 日,变链在其勒索门户网站上列出了总共 118 个受害组织,其中绝大多数 (71%) 是美国公司。
详情
http://urlqh.cn/n4tMf
http://urlqh.cn/n4tMf
卡巴斯基发布基于Conti源代码的勒索软件解密器
日期: 2023-03-16
标签: 信息技术, 网络犯罪, Kaspersky Lab, Meow, Conti
2023年3月16日,网络安全公司卡巴斯基发布了一个解密器,可以帮助数据被 Conti 勒索软件锁定的受害者。卡巴斯基表示,该工具可用于在整个 2022 年 12 月感染数十家“公司和国家机构”的恶意软件变种。卡巴斯基没有透露变种的名称,但专家表示,它被追踪为 Meow 勒索软件,它基于 Conti 泄露的代码。2022 年 3 月,在一家心怀不满的附属公司对该集团支持俄罗斯入侵乌克兰提出异议后, Conti 的源代码被公开。总部位于俄罗斯的卡巴斯基实验室没有回应关于大多数受害者所在位置的评论请求。该公司的专家设法获得了勒索软件的私钥——提供给勒索软件受害者的工具,使他们能够解锁文件。“2023 年 2 月下旬,卡巴斯基专家发现了论坛上发布的一部分新泄露数据,”该公司表示。“在对包含 258 个私钥、源代码和一些预编译解密器的数据进行分析后,卡巴斯基发布了新版本的公共解密器,以帮助遭受这种修改的 Conti 勒索软件的受害者。”
详情
http://urlqh.cn/mYX4q
http://urlqh.cn/mYX4q
FakeWalls Android恶意软件以新的方式在手机上隐藏
日期: 2023-03-16
标签: 信息技术, Fakecalls
Android 恶意软件“FakeCalls”再次在韩国流行,模仿 20 多家金融机构的电话,并试图欺骗银行家泄露他们的信用卡详细信息。特定的恶意软件并不新鲜,因为卡巴斯基在 一年前发布了一份关于它的报告。然而,Check Point 研究人员现在报告说,更新的版本已经实施了多种规避机制,这在以前的样本中是看不到的。“我们发现了 2500 多个 FakeCalls 恶意软件样本,这些样本使用了各种模仿金融组织的组合并实施了反分析技术。恶意软件开发人员特别注意保护他们的恶意软件,使用了我们以前在野外从未见过的几种独特的规避方法。”” CheckPoint 的报告中表示。
详情
http://urlqh.cn/n5dHk
http://urlqh.cn/n5dHk
Adobe Acrobat Sign 被滥用来推送 Redline 信息窃取恶意软件
日期: 2023-03-16
标签: 信息技术, 网络犯罪, Google, Adobe, PayPal, Emotet, RedLine Stealer
网络罪犯滥用在线文档签名服务 Adobe Acrobat Sign 向毫无戒心的用户分发信息窃取恶意软件。Adobe Acrobat Sign 是一种免费试用的基于云的电子签名服务,允许用户发送、签名、跟踪和管理电子签名。威胁行为者注册该服务并滥用它向目标电子邮件地址发送消息,这些电子邮件地址链接到 Adobe 服务器上托管的文档(DOC、PDF 或 HTML)(“eu1.documents.adobe.com/public/”)。
该服务被滥用来发送来自软件公司的恶意电子邮件,以绕过安全保护并诱使收件人信任收到的电子邮件。滥用合法服务的策略并不新鲜。最近看到的类似案例包括滥用 PayPal 发票、 Google Docs 评论等。Avast的研究人员报告了网络犯罪的这一新趋势 ,他们警告说它在绕过安全层和欺骗目标方面的有效性。
详情
http://urlqh.cn/n2q0M
http://urlqh.cn/n2q0M
GoatRAT Android 银行木马以移动自动支付系统为目标
日期: 2023-03-16
标签: 金融业, 信息技术, 网络犯罪, 移动安全, Nubank, GoatRAT
一种能够进行即时未经授权汇款的 Android 银行木马正以巴西银行为目标,这是威胁参与者利用拉丁美洲新的自动支付系统的增长趋势的一部分。
Cyble 的研究人员在一篇博客文章中透露,新的 GoatRAT——就像之前的BraxDex、Senomorphy 和PixPirate——窃取了它所针对的移动设备的 Pix 密钥,以便从受感染的账户中进行即时支付GoatRAT 背后的攻击者使用该密钥访问 Pix 支付平台,该平台由巴西*银行创建和运营,用户可以使用各种银行在拉丁美洲进行即时移动支付。到目前为止,Cyble 研究人员已经观察到 RAT——他们说 RAT 首先是作为 Android 远程管理工具创建的,用于控制受害者的设备——针对三个巴西银行:NUBank、Banco Inter 和 PagBank。根据调查结果,进行自动传输似乎是该木马的唯一目标,与类似的恶意软件不同,该木马不包括窃取身份验证代码或传入的 SMS 消息的能力。Cyble 研究人员写道,该恶意软件是过去六个月威胁参与者创建更复杂的银行恶意软件的一个增长趋势的一部分,其中包括自动转账系统 (ATS) 框架,“允许攻击者在受感染的设备上进行未经授权的汇款” .
详情
http://urlqh.cn/n3ne0
http://urlqh.cn/n3ne0
伊朗国家黑客组织OilRig继续以中东*组织为目标
日期: 2023-03-15
标签: 信息技术, 网络犯罪, Saitama Backdoor, Karkoff, Shark, Marlin, OilRig, CHRYSENE, Cleaver
作为利用新后门泄露数据的网络间谍活动的一部分,名为OilRig的伊朗民族国家黑客组织继续以中东的*组织为目标。趋势科技研究人员 Mohamed Fahmy、Sherif Magdy 和 Mahmoud Zohdy 表示:“该活动滥用合法但已泄露的电子邮件帐户,将窃取的数据发送到攻击者控制的外部邮件帐户。 ”虽然这项技术本身并非闻所未闻,但这一发展标志着 OilRig 首次在其剧本中采用它,表明其绕过安全保护的方法在不断发展。高级持续性威胁 (APT) 组织,也称为 APT34、Cobalt Gypsy、Europium 和 Helix Kitten,至少从 2014 年开始就在中东进行有针对性的网络钓鱼攻击。众所周知,该组织与伊朗情报和安全部 (MOIS) 有关联,在其行动中使用多种工具集,最近在 2021 年和 2022 年的攻击中使用了 Karkoff、Shark、Marlin 和 Saitama 等后门程序来窃取信息。
详情
http://urlqh.cn/n1qxr
http://urlqh.cn/n1qxr
LockBit 勒索软件攻击 Essendant 导致其网络中断
日期: 2023-03-14
标签: 信息技术, 网络犯罪, Dish Network, IHG Hotels & Resorts, Essendant, Holiday Inn, LockBit
LockBit 勒索软件声称对办公产品批发分销商 Essendant 发起了网络攻击,此前“重大”且持续的中断导致该公司的运营中断。正如BleepingComputer早些时候报道的那样,Essendant 大范围的网络中断一直在阻止在线订单的下达或履行,并影响了公司的客户和供应商。货运公司也被告知在另行通知之前暂缓取件。自发布我们的报告以来,BleepingComputer 收到了来自 Essendant 员工和/或客户的多条提示,其中一些人声称这是勒索软件攻击。长时间的中断导致 Essendant 的客户猜测“黑客攻击”,其中一些客户无法完成他们的工作。截至 3 月 14 日,LockBit 勒索软件团伙已声称对 Essendant 的网络攻击负责。
详情
http://urlqh.cn/n3UNi
http://urlqh.cn/n3UNi
“FakeWalls”安卓恶意软件针对韩国金融公司
日期: 2023-03-14
标签: 信息技术, 网络犯罪, Fakecalls
一种新的 Android 钓鱼(语音网络钓鱼)恶意软件工具被发现通过冒充该地区 20 家领先的金融机构来针对韩国的受害者。被Check Point Research (CPR) 团队称为“FakeCalls”的恶意软件以虚假贷款诱骗受害者,要求他们确认信用卡号码,然后信用卡号码被盗。CPR 网络安全研究员 Alexander Chailytko 表示:“FakeCalls 恶意软件具有瑞士军刀的功能,不仅能够执行其主要目标,还能从受害者的设备中提取私人数据。”在 CPR 2023年3月14日发布的一份报告中,该公司证实它发现了 2500 多个 FakeCalls 恶意软件样本,这些样本结合了模仿金融组织和实施的规避技术。此外,该团队表示,恶意软件开发人员付出了额外的努力来保护他们的恶意软件免受防病毒程序的侵害,实施了 CPR 以前未在野外观察到的几种独特的规避技术。
详情
http://urlqh.cn/n29o3
http://urlqh.cn/n29o3
新的 GoBruteforcer 恶意软件针对 phpMyAdmin、MySQL、FTP、Postgres
日期: 2023-03-13
标签: 信息技术, 网络犯罪, GoBruteforcer
一种新发现的基于 Golang 的僵尸网络恶意软件会扫描并感染运行 phpMyAdmin、MySQL、FTP 和 Postgres 服务的 Web 服务器。据 Palo Alto Networks 的 Unit 42 研究人员称,该恶意软件与 x86、x64 和 ARM 架构兼容,他们首先在野外发现了它并将其命名为 GoBruteforcer。GoBruteforcer 将暴力破解具有弱密码或默认密码的帐户以侵入易受攻击的 *nix 设备。研究人员说:“为了成功执行,样本需要受害者系统具备特殊条件,例如使用特定参数和已经安装目标服务(使用弱密码) 。”
对于每个目标 IP 地址,恶意软件开始扫描 phpMyAdmin、MySQL、FTP 和 Postgres 服务。在检测到接受连接的开放端口后,它将尝试使用硬编码凭据登录。进入后,它会在受感染的 phpMyAdmin 系统上部署一个 IRC 机器人,或者在运行其他目标服务的服务器上部署一个 PHP web shell。
详情
http://urlqh.cn/n1GsD
http://urlqh.cn/n1GsD
Dark Pink APT集团针对南亚实体部署KamiKakaBot
日期: 2023-03-13
标签: 信息技术, Pink, KamiKakaBot, Dark
被称为 Dark Pink 的威胁行为者与 KamiKakaBot 恶意软件的部署有关,该恶意软件针对东盟(东南亚国家联盟)国家的多个*实体。EclecticIQ的威胁研究人员在上周发表的一篇博客文章中讨论了这些发现,解释了观察到的攻击发生在 2 月份。报告解释说:“在这次新的活动中,欧洲和东盟国家之间的关系很可能以社会工程的形式被利用,以针对东南亚国家的军事和*实体进行引诱。 ” “虽然研究人员缺乏确定该组织国籍所需的确凿证据,但攻击者的目标和一些模式表明 Dark Pink 组织可能是中国 APT 组织。”该团队补充说,恶意活动与Group-IB之前发现的活动几乎相同。“2023 年 1 月,威胁行为者使用 ISO 映像交付 KamiKakaBot,这是使用 DLL 侧载技术执行的,”EclecticIQ 文章中写道。“2 月份活动的主要区别在于恶意软件的混淆程序已经改进,可以更好地规避反恶意软件措施。”安全研究人员建议用户在防御此类攻击时要保持警惕,避免打开不明来源的电子邮件或附件。用户还应该定期更新操作系统和软件,这有助于修复其他潜在漏洞,提高系统安全性。对于个人和组织而言,进行有意义的培训和提升安全意识也同样重要。由于黑粉组织的攻击目标通常在*别,因此*和企业应该采用更严格的安全措施,防止黑客入侵其网络和系统。
详情
http://urlqh.cn/n6NfE
http://urlqh.cn/n6NfE