新 APT Lotus Bane是最近针对越南金融行业的攻击的幕后黑手
发布时间 2024-03-083月6日,越南的一家金融实体是先前未记录的名为Lotus Bane 的威胁行为者的目标,该行为者于 2023 年 3 月首次被发现。Lotus Bane 使用的技术与OceanLotus的技术重叠,OceanLotus 是一个与越南结盟的威胁组织,也称为 APT32、Canvas Cyclone(以前称为 Bismuth)和 Cobalt Kitty。这源于使用 PIPEDANCE 等恶意软件进行命名管道通信。值得注意的是, Elastic Security Labs 于 2023 年 2 月首次记录了PIPEDANCE ,该事件与 2022 年 12 月下旬针对一个未透露姓名的越南组织的网络攻击有关。过去一年,亚太地区 (APAC)、欧洲、拉丁美洲 (LATAM) 和北美的金融组织已成为Blind Eagle和Lazarus Group等多个高级持续威胁组织的目标。另一个著名的出于经济动机的威胁组织是 UNC1945,据观察,该组织以 ATM 交换机服务器为目标,目的是用名为 CAKETAP 的自定义恶意软件感染它们。
https://thehackernews.com/2024/03/new-apt-group-lotus-bane-behind-recent.html
2. RA World 勒索软件攻击拉丁美洲的医疗保健行业
3月6日,勒索软件组织 RA World(也称为 RA Group)发起了新一波活动。该组织于 2023 年 4 月发起恶意行动,在其任期内对众多组织发起了攻击,主要是美国、德国、印度和台湾的医疗保健和金融领域的组织。研究人员发现,RA World 的最新攻击针对拉丁美洲的多家医疗机构。这些攻击是分阶段执行的,以最大限度地提高成功行动的总体机会。初始访问阶段从黑客通过域控制器渗透计算机系统开始。在这里,组策略对象 (GPO) 的编辑起着至关重要的作用,使犯罪者能够在受害者的系统中强加他们的规则。此外,该恶意软件还可以以特殊的安全模式重新启动系统,以逃避防病毒软件的检测。它还消除了攻击后其存在的痕迹,使研究人员的分析工作变得更加复杂。
https://meterpreter.org/ra-world-ransomware-strikes-latin-american-healthcare/
3. 黑客使用武器化日历邀请安装 MacOS 恶意软件
3月6日,黑客使用武器化的日历邀请来利用电子邮件系统中的漏洞,诱骗用户点击恶意链接或下载伪装成活动附件的恶意软件。通过利用对日历邀请的信任,威胁行为者增加了成功进行网络钓鱼攻击和未经授权访问敏感信息的可能性。Malwarebytes 的网络安全研究人员最近发现,黑客正在积极利用武器化日历邀请来安装macOS 恶意软件。威胁行为者通过 Telegram DM 联系目标,通过提供通话或会议的机会来引诱目标。感兴趣的目标会收到虚假的会议邀请。当受害者尝试加入时,链接会失败。诈骗者将此归咎于区域访问限制,并建议运行脚本来修复它。
https://gbhackers.com/malware-weaponized-calendar-invites/
4. 黑客滥用 QEMU 硬件模拟器进行隐秘 C2 通信
3月6日,QEMU 是一个开源平台,提供安全且私有的虚拟化空间,用于在自己的环境中尝试恶意代码、漏洞利用和攻击。这个受控的测试场最大限度地降低了被发现和法律问题的风险。此外,QEMU 允许黑客开发可以在不同硬件架构和操作系统上运行的恶意软件。卡巴斯基实验室的网络安全研究人员最近发现,黑客正在滥用 QEMU 硬件模拟器来秘密窃取被盗数据。攻击者喜欢使用正版工具以避免检测,同时也减少恶意软件支出。数据泄露、驱动器加密、远程执行和内存转储是可信软件支持的一些网络扫描活动。预安装的恶意软件或模仿员工的 RDP/ VPN访问充当受感染系统的立足点。网络隧道和端口转发实用程序使用户能够绕过 NAT 和防火墙,从而进入内部系统。有许多工具可用于在系统之间创建网络隧道,其中一些是直接的,另一些则使用代理来掩盖攻击者 IP。
https://gbhackers.com/hackers-qemu-data-exfiltration/
5. 加拿大的反洗钱机构因网络攻击而关闭
3月6日,加拿大金融交易和报告分析中心 (FINTRAC) 宣布,作为预防措施,一次“网络事件”迫使其公司系统下线。FINTRAC 是加拿大的一个政府机构,作为该国的金融情报机构运作。它从事洗钱调查,每年追踪数百万笔可疑交易,并向警方披露数千起非法资金流向。该机构在其网站上发表了一份简短的新闻声明,指出该中心的情报或机密系统未被访问,因此与其核心任务相关的敏感信息和操作能力仍然安全。FINTRAC 与包括加拿大网络安全中心在内的联邦合作伙伴合作,恢复运营并加强防御,以防止未来发生事件。该网络事件发生在周末,此后没有分享进一步的更新。BleepingComputer 尚未发现任何勒索软件或数据勒索威胁组织对 FINTRAC 的攻击负责,因此威胁行为者仍然未知。自今年年初以来,加拿大在网络安全方面经历了充满挑战的时期,出现了多起引人注目的受害者和事件。
https://www.bleepingcomputer.com/news/security/canadas-anti-money-laundering-agency-offline-after-cyberattack/
6. 基于网络的 PLC 恶意软件将重新定义工业网络安全威胁
3月4日,佐治亚理工学院的研究人员提出了一种开发可编程逻辑控制器 (PLC) 恶意软件的新方法,该方法被证明比当前策略更灵活、更有弹性和更有影响力。该方案允许恶意软件使用管理门户网站公开的合法 Web 应用程序接口 (API) 秘密攻击底层的现实世界机器。此类攻击包括伪造传感器读数、禁用安全警报以及操纵物理执行器。研究小组的调查表明,他们提出的攻击将对每个主要制造商生产的 PLC 起作用。此外,该方法比现有的 PLC 恶意软件技术(控制逻辑和固件)具有显着优势,例如平台独立性、易于部署和更高级别的持久性。研究人员还表明,工业控制环境中网络技术的出现带来了 IT 领域或消费物联网设备中不存在的新安全问题。与普遍看法相反,固件和控制逻辑并不是 PLC 计算的唯一级别。现代 PLC 现在包含一个可编程嵌入式网络服务器,其中自定义客户端 JavaScript 代码使用日益强大的 API 来监视和控制物理过程。这种环境提供了一个新的、令人惊讶的理想平台来运行 PLC 恶意软件,这对工业控制系统构成了新的威胁。
https://industrialcyber.co/industrial-cyber-attacks/georgia-tech-researchers-warn-of-stuxnet-style-web-based-plc-malware-redefining-industrial-cybersecurity-threats/?web_view=true
京公网安备11010802024551号