首页 > 安全研究 > 安全通报 > 安全简讯

LOCKBIT 卷土重来,威胁瞄准更多政府组织

发布时间 2024-02-27

1. LOCKBIT 卷土重来,威胁瞄准更多政府组织


2月26日,在执法部门抓获 LockBit 团伙的部分成员后,LockBit 团伙卷土重来并建立了新的基础设施。NCA 及其全球合作伙伴已获得 1,000 多个解密密钥,这些密钥将允许该团伙的受害者免费恢复他们的文件。NCA 将在未来几天或几周内联系英国的受害者,提供支持以帮助他们恢复加密数据。LockBit团伙并不是试图重新启动其 RaaS 业务,而是已经建立了新的基础设施,并威胁要对政府部门进行网络攻击。该团伙在其网站上添加了 12 名受害者,其中 5 名受害者的截止日期已到。


https://securityaffairs.com/159584/cyber-crime/lockbit-gang-resumed-raas.html


2. 黑客从 Axie Infinity 联合创始人的个人账户窃取近 1000 万美元


2月24日,视频游戏 Axie Infinity 和相关 Ronin Network 的联合创始人之一的个人账户中近 1000 万美元的加密货币被盗。报道称,Jeff “Jihoz” Zirlin 的钱包被黑客入侵,损失了 3,248 个以太币,约合 970 万美元。周四晚,齐林在社交媒体上证实,他的两个账户遭到泄露。Ronin Network 是Axie Infinity的基础,Axie Infinity 拥有基于以太坊的即玩即赚经济。它在东南亚特别受欢迎。2022 年 3 月,黑客从该系统中窃取了 6 亿美元的加密货币,美国检察官随后将此次攻击归咎于朝鲜国家支持的网络犯罪组织 Lazarus Group。分析师追踪到从 Zirlin 账户被盗的资金来自 Tornado Cash 的活动,Tornado Cash 是一个旨在隐藏加密货币来源的混合器。据美国政府称,Lazarus 使用混合器洗钱 2022 年黑客攻击中的资金,并单独制裁了Tornado Cash。


https://therecord.media/hackers-steal-millions-from-axie-infinity-founder-personal-accounts?&web_view=true


3. Linux攻击中使用的Nood RAT(Gh0st RAT的变种)的分析


2月26日,AhnLab 安全情报中心 (ASEC) 最近发现 Nood RAT 被用于恶意软件攻击。Nood RAT 是在 Linux 上运行的 Gh0st RAT 的变体。尽管与 Windows 的 Gh0st RAT 相比,Linux 的 Gh0st RAT 数量较少,但 Linux 的 Gh0st RAT 案例仍在不断收集。根据代码与 Gh0st RAT [1]之前代码的相似性,Nood RAT 被归类为 Gh0st RAT 的变体。找到了最新开发中使用的构建器,并将其命名为Nood RAT,因为作者将其命名为Nood。自2018年以来,Nood RAT已被用于各种漏洞攻击。虽然最近没有发现具体的漏洞攻击案例,但根据VirusTotal网站的数据,案例正在不断发现。本文重点介绍了过去几年发现的恶意软件变体,并与构建者一起对其进行了分析。


https://asec.ahnlab.com/en/62144/


4. 加拿大皇家骑警 (RCMP) 官网遭遇网络攻击


2月25日,加拿大联邦和国家执法机构加拿大皇家骑警 (RCMP) 遭受网络攻击。皇家骑警还通知了隐私专员办公室 (OPC)。加拿大皇家骑警发言人在向加拿大广播公司新闻发表的一份声明中表示:“情况正在迅速发展,但目前,加拿大皇家骑警的行动没有受到影响,加拿大人的安全也没有受到任何已知的威胁。” “虽然如此严重的违规行为令人震惊,但快速的工作和采取的缓解策略表明加拿大皇家骑警为检测和防止此类威胁所采取的重要步骤。”皇家骑警表示,不知道对外国警察和情报部门有任何影响。加拿大执法机构没有提供有关网络攻击的详细信息。2023 年 11 月,加拿大政府在威胁行为者入侵其两名承包商后 披露了一起数据泄露事件。加拿大政府宣布,其两家承包商 Brookfield Global Relocation Services (BGRS) 和 SIRVA Worldwide Relocation & Moving Services 遭到黑客攻击,导致属于数量不详的政府雇员的敏感信息被泄露。 


https://securityaffairs.com/159568/hacking/cyber-attack-hit-royal-canadian-mounted-police.html


5. 利用 ScreenConnect 漏洞部署恶意软件


2月25日,Sophos X-Ops 重点关注了 ConnectWise ScreenConnect 安装(一种广泛使用的远程监控和管理软件)中漏洞利用的令人担忧的趋势。最近披露的ScreenConnect漏洞(CVE-2024-1709、CVE-2024-1708)需要立即采取行动。针对本地安装的广泛利用需要快速修补、主动威胁搜寻和增强的网络防御。2024 年 2 月 19 日,ConnectWise 就影响其 ScreenConnect 软件旧版本的两个严重漏洞发出警报。如果不修补这些漏洞,攻击者可能会获得执行远程代码或访问机密数据的能力。这些缺陷被指定为 CVE-2024-1709 和 CVE-2024-1708,涉及服务器软件中的身份验证绕过和路径遍历问题,对使用受影响软件版本的组织构成严重威胁。针对这些漏洞,ConnectWise已发布ScreenConnect补丁,建议所有用户升级到23.9.8或更高版本。


https://securityonline.info/screenconnect-vulnerabilities-exploited-to-deploy-malware/


6. PyPI 软件包django-log-tracker被用来传播 Nova Sentinel 恶意软件


2月23日,Python 包索引 (PyPI) 存储库上的一个休眠包在近两年后进行了更新,以传播名为 Nova Sentinel 的信息窃取恶意软件。据软件供应链安全公司 Phylum 称,该软件包名为django-log-tracker ,于 2022 年 4 月首次发布到 PyPI,该公司于 2024 年 2 月 21 日检测到该库的异常更新。虽然链接的 GitHub 存储库自 2022 年 4 月 10 日以来一直没有更新,但恶意更新的引入表明属于开发人员的 PyPI 帐户可能受到损害。Django-log-tracker迄今为止已被下载 3,866 次,其中流氓版本 (1.0.4) 在发布之日下载了 107 次。该软件包不再可以从 PyPI 下载。


https://thehackernews.com/2024/02/dormant-pypi-package-compromised-to.html?&web_view=true

上一篇 下一篇