新勒索团伙Red CryptoApp采用激进策略羞辱受害者
发布时间 2024-04-074月4日,Netenrich 的网络安全研究人员发现了一个名为 Red Ransomware Group (Red CryptoApp) 的新勒索组织。该组织的运作方式与典型的勒索软件组织不同,他们的勒索策略有所不同。与大多数隐藏其操作的勒索软件组织不同,Red CryptoApp 似乎采取了激进的方法。据 Netenrich 称,该组织建立了“耻辱墙”,并公布了他们成功瞄准的公司名称。这种策略旨在羞辱受害者并迫使他们支付赎金以删除他们的名字。研究人员注意到该组织撰写的一份勒索软件笔记与 2020 年 Maze 勒索软件团伙有一些相似之处。这可能是巧合,也可能是巧合。因此,尚不清楚 Red Ransomware Group 是否是 Maze 团伙的衍生品,Maze 团伙于 2020 年 11 月关闭了其业务。Red CryptoApp 勒索软件团伙的耻辱墙,美国是主要目标,其次是丹麦、印度、西班牙、意大利、新加坡和加拿大等其他国家。就目标行业而言,软件和制造业成为最常见的目标行业,教育、建筑、酒店和 IT 行业也受到关注。
https://www.hackread.com/red-ransomware-group-red-cryptoapp-wall-of-shame/?web_view=true
2. CoralRaider黑客团伙瞄准整个亚洲的金融行业
4月5日,思科 Talos 的研究人员发现了一系列名为 CoralRaider 的黑客活动,利用渗透恶意软件攻击印度、中国、韩国、孟加拉国、巴基斯坦、印度尼西亚和国内目标。Talos 非常有信心地将该组织的起源归因于越南,并指出黑客在其 Telegram 命令和控制通道中使用越南语,并将越南语单词硬编码到有效负载二进制文件中。其IP地址可追溯到河内。黑客使用 RotBot(一种定制的远程访问工具( Quasar RAT的变体))下载信息窃取程序,该程序会查找包含支付卡等数据的商业社交媒体帐户。当用户打开恶意 Windows 快捷方式文件时,CoralRaider 攻击就会开始,从而触发感染链。塔洛斯表示,目前尚不清楚威胁者如何将文件传递给受害者。激活的LNK文件会下载一个HTML应用程序文件,该文件执行Virtual Basic脚本,该脚本又在内存中执行PowerShell脚本“解密并顺序执行其他三个PowerShell脚本,这些脚本执行反虚拟机和反分析检查,绕过用户访问控制、禁用受害者机器上的 Windows 和应用程序通知,最后下载并运行 RotBot。
https://www.govinfosecurity.com/vietnamese-threat-actor-targeting-financial-data-across-asia-a-24796?&web_view=true
3. 新的 Latrodectus 恶意软件取代了网络漏洞中的 IcedID
4月4日,一种名为 Latrodectus 的相对较新的恶意软件被认为是 IcedID 加载程序的演变,该加载程序自 2023 年 11 月以来一直在恶意电子邮件活动中出现。Proofpoint和 Team Cymru的研究人员发现了该恶意软件 ,他们共同记录了其功能,但这些功能仍然不稳定且处于实验阶段。IcedID 是一个于 2017 年首次发现的恶意软件家族,最初被归类为模块化银行木马,旨在从受感染的计算机中窃取财务信息。随着时间的推移,它变得更加复杂,增加了逃避和命令执行功能。近年来,它充当了加载程序的角色,可以将其他类型的恶意软件(包括勒索软件)传送到受感染的系统上。从 2022 年开始,多个 IcedID 活动展示了 多样化的传递策略,但主要的分发方式仍然是恶意电子邮件。2022 年末, 该恶意软件的新变种 被用于攻击,并尝试了各种规避技巧和新的攻击集。
https://www.bleepingcomputer.com/news/security/new-latrodectus-malware-replaces-icedid-in-network-breaches/?&web_view=true
4. Visa 警告针对金融机构的新 JSOutProx 恶意软件变体
4月4日,Visa 警告称,针对金融机构及其客户的新版本 JsOutProx 恶意软件检测数量激增。该活动针对南亚和东南亚、中东和非洲的金融机构。JsOutProx 于 2019 年 12 月首次遇到,是一种远程访问木马 (RAT) 和高度混淆的 JavaScript 后门,允许其操作者运行 shell 命令、下载额外的负载、执行文件、捕获屏幕截图、在受感染的设备上建立持久性并控制键盘和鼠标。Visa 警报中写道:“虽然 PFD 无法确认最近发现的恶意软件活动的最终目标,但该网络犯罪组织之前可能曾针对金融机构进行欺诈活动。”该警报提供了与最新活动相关的妥协指标 (IoC),并建议采取多项缓解措施,包括提高对网络钓鱼风险的认识、启用 EMV 和安全接受技术、保护远程访问以及监控可疑交易。
https://www.bleepingcomputer.com/news/security/visa-warns-of-new-jsoutprox-malware-variant-targeting-financial-orgs/?&web_view=true
5. 温尼伯大学数千名教职员工和学生的敏感数据被盗
4月5日,加拿大温尼伯大学证实,黑客在上个月末发生的一起事件中窃取了该机构的敏感信息,影响了以前和现在的学生和教职员工。这所拥有 18,000 多名学生和 800 名教职员工的大学在周四的一份声明中表示,“被盗的信息可能包括当前和以前的学生和员工的个人信息。”这起网络事件于 3 月 25 日首次宣布,当时该机构下线了一系列服务。几天后,该大学校长托德·蒙多尔博士表示,温尼伯遭受了“针对大学网络的有针对性的网络攻击”。该大学表示,调查正在进行中,“可能需要时间,可能是几个月”,目前该大学认为攻击者能够访问文件服务器。该网络事件的性质尚未得到证实,但该大学表示“盗窃事件很可能发生在 3 月 24 日之前的一周。”该大学表示,将为受影响的个人提供为期两年的信用监控服务,并鼓励所有受影响的人注册,并指出它还为随后成为欺诈者目标的任何人提供保险条款。
https://therecord.media/university-of-winnipeg-cyberattack
6. 黑客利用 Facebook 广告和劫持页面推广虚假人工智能服务
4月5日,这些恶意广告活动是通过劫持 Facebook 个人资料创建的,这些个人资料冒充流行的人工智能服务,假装提供新功能的预览。被广告欺骗的用户成为欺诈性 Facebook 社区的成员,威胁行为者在其中发布新闻、人工智能生成的图像和其他相关信息,以使页面看起来合法。然而,社区帖子经常提倡限时访问即将推出且备受期待的 AI 服务,诱骗用户下载恶意可执行文件,这些可执行文件会利用 Rilide、Vidar、IceRAT 和 Nova 等信息窃取恶意软件感染 Windows 计算机。信息窃取恶意软件专注于从受害者的浏览器窃取数据,包括存储的凭据、cookie、加密货币钱包信息、自动完成数据和信用卡信息。然后,这些数据会在暗网市场上出售,或被攻击者用来破坏目标的在线帐户,以促进进一步的诈骗或进行欺诈。Facebook 等社交媒体网络规模庞大,加上监管不足,使得这些活动能够长期持续,从而促进恶意软件不受控制的传播,从而导致恶意软件感染造成广泛损害。
https://www.bleepingcomputer.com/news/security/fake-facebook-midjourney-ai-page-promoted-malware-to-12-million-people/
京公网安备11010802024551号