8000 多个值得信赖的品牌域名被劫持并大规模发送垃圾邮件
发布时间 2024-02-282月26日,Guardio Labs 正在跟踪协调的恶意活动,该活动至少自 2022 年 9 月以来一直在持续,名为 SubdoMailing。属于合法品牌和机构的 8,000 多个域名和 13,000 个子域名已被劫持,作为垃圾邮件扩散和点击货币化的复杂分发架构的一部分。这家以色列安全公司将此次活动归因于一个名为ResurrecAds的威胁行为者,众所周知,该行为者会复活大品牌或附属于大品牌的死域名,最终目标是操纵数字广告生态系统以获取非法收益。这些子域名属于或隶属于 ACLU、eBay、Lacoste、Marvel、McAfee、MSN、Pearson、PwC、Swatch、Symantec、The Economist、UNICEF 和 VMware 等大品牌和组织。
https://thehackernews.com/2024/02/8000-subdomains-of-trusted-brands.html
2. Booking.com 冒充活动:Agent Tesla 恶意软件分析
2月26日,该活动利用 Booking.com 的品牌声誉来传播 Agent Tesla,这是一种多功能远程访问木马 ( RAT )。攻击者利用与 Booking.com 相关的信任,制作看似合法退款通知的网络钓鱼电子邮件。包含 PDF 附件会要求收件人检查所附 PDF 中的卡对账单。这一精心设计的计划的最终结果是部署了Agent Tesla恶意软件。该对手开始采取恶意行动窃取凭证和个人数据,将其不义之财传输到私人 Telegram 聊天室。它并不止于此;该恶意软件通过额外的 PowerShell 脚本确保其持久性,并不断改进其策略以在受感染的系统中保持立足点。
https://securityonline.info/booking-com-impersonation-campaign-agent-tesla-malware-analysis/
3. ALPHV/BlackCat 对 Change Healthcare 网络攻击负责
2月26日,据报道,ALPHV/BlackCat 勒索软件团伙对 Change Healthcare 大规模网络攻击负责,该攻击自上周以来已经扰乱了美国各地的药店。据路透社援引“两名知情人士”的话称,臭名昭著的勒索软件即服务操作是联合健康旗下企业发起攻击的幕后黑手。Register尚未独立确认 ALPHV 参与了此次入侵。Change Healthcare 为医疗机构提供广泛的 IT 服务,包括让药房检查患者用药资格并确定保险范围的软件。其客户包括美国两家最大的药店——CVS 和沃尔格林——这两家药店都感受到了停电的不良影响。这家健康科技公司于 2 月 21 日首次披露了这一漏洞,并因此关闭了部分 IT 系统。周五,美国药剂师协会表示,由于网络攻击,全国各地的药房无法传送保险索赔。
https://www.theregister.com/2024/02/26/alphv_healthcare_unitedhealth/
4. UAC-0184 使用 Remcos RAT 针对芬兰境内的乌克兰实体
2月27日,被追踪为 UAC-0184 的威胁行为者一直在使用隐写术技术,通过名为 IDAT Loader 的相对较新的恶意软件向位于芬兰的乌克兰目标传送 Remcos 远程访问木马 (RAT)。尽管对手最初针对的是乌克兰境内的实体,但防御措施阻碍了有效载荷的交付。根据 Morphisec 威胁实验室今天的分析,这导致了随后对替代目标的搜索。虽然 Morphisec 因客户机密而没有透露活动细节,但研究人员指出 Dark Reading据称与 UAC-0148 进行的并行活动有关,该活动使用电子邮件和鱼叉式网络钓鱼作为初始访问媒介,并以乌克兰军事人员为目标,以提供咨询为诱饵。以色列国防军 (IDF) 的角色。其目标是网络间谍活动:网络犯罪分子使用 Remcos(“远程控制和监视”的缩写)RAT 来未经授权访问受害者的计算机、远程控制受感染的系统、窃取敏感信息、执行命令等。
https://www.darkreading.com/cyberattacks-data-breaches/uac-0184-targets-ukrainian-entity-finland-remcos-rat
5. 俄罗斯黑客团伙通过休眠帐户瞄准云基础设施
2月26日,美国、加拿大、英国、澳大利亚和新西兰的网络安全和执法机构发布联合警报,呼吁紧急关注与 APT29/Cozy Bear/Midnight Blizzard(一个臭名昭著的黑客组织)相关的最新策略、技术和程序 (TTP)。俄罗斯情报部门(SVR)。据观察,SVR 参与者并没有利用软件漏洞来攻击本地基础设施,而是发起暴力破解和密码喷射攻击来破坏服务帐户,以及针对前员工的休眠帐户来访问目标组织的环境。此外,还发现臭名昭著的 APT 组织使用令牌访问受害者帐户,并使用一种称为“MFA 轰炸”或“MFA 疲劳”的技术绕过多重身份验证 (MFA)。初次访问后,攻击者通常会将自己的设备注册到受害者的网络,并部署复杂的攻击后工具。此外,黑客还依靠住宅代理来隐藏其恶意活动,使流量看起来像是来自住宅宽带客户的 IP 地址。
https://www.securityweek.com/russian-cyberspies-targeting-cloud-infrastructure-via-dormant-accounts/
6. Anonymous 苏丹推广新的 DDoS 僵尸网络Skynet-GodzillaBotnet
2月26日,据了解,一个名为“匿名苏丹”的组织正在积极推广一种名为“Skynet-GodzillaBotnet”的新型分布式拒绝服务 (DDoS) 僵尸网络服务。网上流传的一则广告展示了带有“SKYNET”字样的红龙标志。该服务被宣传为执行DDoS 攻击的强大工具,该组织声称通过将其权力与另一个实体合并来增强其功能。《每日暗网》中发现的广告明确指出,它提供僵尸网络的访问权限,价格为一天 100 美元、一周 600 美元、一个月 1700 美元。Anonymous 苏丹以其激进的 Web DDoS 攻击而闻名,其中包括交替的 UDP 和 SYN 洪水攻击。这些攻击从数以万计的唯一源 IP 地址发起,UDP 流量高达 600Gbps,HTTPS 请求洪水峰值可达每秒数百万个请求。
https://gbhackers.com/anonymous-sudan-new-ddos-botnet-warning/
京公网安备11010802024551号