越南网络犯罪团伙 CoralRaider意外泄露其财务数据
发布时间 2024-04-104月9日,一个与越南有关的新网络犯罪组织以亚洲的个人和组织为目标,试图窃取社交媒体帐户信息和用户数据。CoralRaider 于 2023 年底首次出现,思科 Talos 威胁情报小组的威胁研究人员在 CoralRaider 的最新分析中指出,该组织也犯了一些新手错误,例如无意中感染了自己的系统,从而暴露了他们的活动。CoralRaider 活动通常从 Windows 快捷方式 (.LNK) 文件开始,通常使用 .PDF 扩展名,试图欺骗受害者打开文件。CoralRaider 组织使用 Telegram 服务上的自动化机器人作为命令和控制通道,并从受害者的系统中窃取数据。然而,网络犯罪组织似乎已经感染了他们自己的一台机器,因为思科研究人员发现了发布到该频道的信息的屏幕截图。
https://www.darkreading.com/vulnerabilities-threats/vietnamese-cybercrime-group-coralraider-nets-financial-data
2. 卡巴斯基2023年报告数据窃取恶意软件事件激增
4月8日,卡巴斯基报告显示,2023 年,数据窃取恶意软件事件激增,针对近 1000 万台设备,网络犯罪分子平均在每台受感染设备上提取 50.9 个登录凭据。这些凭证被用于恶意目的,例如策划网络攻击或在暗网论坛和 Telegram 频道上出售它们。被盗凭证涵盖范围广泛,从社交媒体登录到网上银行服务、加密钱包和企业在线平台登录。该报告强调 .com 域名是被盗帐户的重点,紧随其后的是与巴西 (.br)、印度 (.in)、哥伦比亚 (.co) 和越南 (.vn) 相关的域名区域。来自卡巴斯基数字足迹情报的数据显示,过去三年中恶意软件数量激增 643%。这突显了恶意软件对全球个人消费者和企业构成的日益严重的威胁。根据该报告,过去五年来,全球有 443000 个网站面临凭据泄露问题。
https://securityboulevard.com/2024/04/10-million-devices-were-infected-by-data-stealing-malware-in-2023/
3. 美国环保局调查黑客泄露其数据的安全事件
4月9日,美国环境保护署正在调查黑客泄露了该机构关键基础设施承包商数据库中的大量联系信息的指控。被称为 USDoD 的威胁行为者在一个可公开访问的黑客论坛上发布了他所说的 500 MB 的联系信息和 EPA 数据库中的其他数据。信息安全媒体集团证实,截至周一下午,该帖子仍在论坛上发布,其中包含声称包含从全名、电子邮件地址到代理承包商实际地址信息等所有信息的压缩文件。帖子中写道:“大家好,Breachforums,这是你们最喜欢的 TA,今天我很自豪地说,我正在发布 epa.gov 联系人列表数据库。这是他们 [关键基础设施] 的全部联系人,不仅针对该机构发言人表示,该机构对据称泄露的数据进行了“初步分析”,发现这些记录似乎包含已向公众公开的商业联系信息,“以提供环境影响的全面情况” ”。
https://news.hitb.org/content/us-epa-investigates-alleged-data-breach-government-hacker
4. unit42恶意软件发起的漏洞扫描呈上升趋势
4月8日,我们的遥测数据表明,越来越多的威胁参与者正在转向恶意软件发起的扫描攻击。本文回顾了攻击者如何使用受感染的主机对其目标进行基于恶意软件的扫描,而不是使用更传统的直接扫描方法。威胁行为者长期以来一直在使用扫描方法来查明网络或系统中的漏洞。一些扫描攻击源自良性网络,可能是由受感染计算机上的恶意软件驱动的。当攻击者发起网络请求以试图利用目标主机的潜在漏洞时,就会发生扫描。目标主机通常是良性的,并且可能容易受到攻击者针对的 CVE 的攻击。通过跟踪来自多个网络的流量日志,我们发现对大量目的地的请求具有看似良性的路径。许多扫描案例,其中攻击者嵌入了以前未见过的 URL,用于有效负载传输或 C2 以及漏洞利用请求。这降低了后续有效负载或 C2 URL 被安全供应商阻止的可能性。由于这些有效负载传送或 C2 URL 对于安全供应商来说是新的,因此检测和阻止此类初始扫描请求至关重要,因为供应商不太可能阻止后续请求。
https://unit42.paloaltonetworks.com/malware-initiated-scanning-attacks/
5. 勒索团伙RansomHub 从 Change Healthcare 窃取4TB数据
4月9日,据报道,Change Healthcare 正面临另一次攻击,这次是勒索软件团伙 RansomHub 发起的攻击,而就在几周前,该组织成为ALPHV/BlackCat 网络攻击的受害者。RansomHub 要求为其从该公司窃取的 4TB 数据敲诈勒索;否则,它会威胁在 12 天内将数据出售给出价最高者。被盗信息包含美国军事人员和患者的敏感数据,以及医疗记录和财务信息等。这使得联合医疗保健公司的子公司 Change Healthcare 陷入了一个困境,因为它刚刚从上次的攻击中恢复过来,必须决定支付赎金是否是最好的选择。尽管人们对 ALPHV 是否更名为 RansomHub,或者是否存在任何联系存在重大猜测,但沃克表示,目前还没有得到证实,因为现在下结论还为时过早。
https://www.darkreading.com/cyberattacks-data-breaches/round-2-change-healthcare-targeted-second-ransomware-attack
6. AGENT TESLA 恶意软件窃取 Chrome 和 Firefox 的登录凭据
4月8日,研究人员调查了最近针对美国和澳大利亚组织的 Agent Tesla 恶意软件活动,该活动使用带有虚假采购订单的网络钓鱼电子邮件来诱骗受害者点击恶意链接。单击后,受 Cassandra Protector 保护的混淆的 Agent Tesla 样本就会被下载并执行,从而窃取击键和登录凭据。调查发现了两名网络犯罪分子 Bignosa(主要威胁)和 Gods,他们使用大型电子邮件数据库和多个服务器进行 RDP 连接和恶意软件活动。该恶意软件活动在分发恶意垃圾邮件之前涉及多个步骤的准备阶段。Bignosa 使用 Agent Tesla 进行了网络钓鱼攻击,而 Gods 指导 Bignosa 也曾进行过网络钓鱼攻击。他们通过 Jabber 和TeamViewer进行通信,而 Bignosa 使用 RDP 连接到 VDS 服务器并分发 Agent Tesla。
https://gbhackers.com/agent-tesla-malware-steals-login-credentials-from-chrome-firefox/
京公网安备11010802024551号