CoralRaider恶意软件活动利用CDN缓存传播信息窃取程序
发布时间 2024-04-254月24日,研究人员发现一种新的持续恶意软件活动正在分发三种不同的窃取程序,例如托管在内容交付网络 (CDN) 缓存域上的CryptBot、LummaC2和Rhadamanthys 。思科 Talos 将此次活动归因于被追踪为CoralRaider的威胁行为者,该组织疑似源自越南,于近期曝光。该活动的目标涵盖各个地区的各个商业垂直领域,包括美国、尼日利亚、巴基斯坦、厄瓜多尔、德国、埃及、英国、波兰、菲律宾、挪威、日本、叙利亚和土耳其。攻击链涉及用户通过网络浏览器下载伪装成电影文件的文件,从而增加了大规模攻击的可能性。该活动值得注意的是,它利用了 CryptBot 的更新版本,其中包含新的反分析技术,并且还捕获密码管理器应用程序数据库和身份验证器应用程序信息。
https://thehackernews.com/2024/04/coralraider-malware-campaign-exploits.html
2. Change Healthcare最终支付赎金将面临数据泄露的风险
4月24日,在勒索软件崩溃开始两个多月后,勒索软件的影响堪称网络安全史上最严重的一次,医疗公司 Change Healthcare 终于证实了网络犯罪分子、安全研究人员和比特币区块链已经说得很清楚的事情:它确实做到了向二月份袭击该公司的黑客支付赎金。然而,它仍然面临着丢失大量客户敏感医疗数据的风险。Change Healthcare 似乎已于 3 月 1 日支付了赎金,并指出一笔 350 比特币(约合 2200 万美元)的交易被发送到与 AlphV 黑客相关的加密钱包中。这笔交易首先在名为 RAMP 的俄罗斯网络犯罪论坛上的一条消息中得到强调,其中一位据称被 AlphV 抛弃的合作伙伴抱怨说,他们没有收到 Change Healthcare 付款中的分成。
https://news.hitb.org/content/change-healthcare-finally-admits-it-paid-ransomware-hackers-and-still-faces-patient-data
3. 西班牙重新启动对 Pegasus 间谍软件案件的调查
4月23日,西班牙国家法院法官表示,有理由相信法国提供的新信息可以“让调查取得进展”。这两项调查均涉及涉嫌使用以色列 NSO 集团开发的 Pegasus 间谍软件。间谍软件会悄悄地渗透到手机或其他设备中以收集数据并可能监视其所有者。NSO 声称,它仅提供给政府用于打击恐怖主义和其他安全威胁。根据安全研究人员和 2021 年全球媒体调查,Pegasus 已被用来攻击 50 个国家的 1,000 多人,其中包括活动人士和记者。西班牙于 2022 年 5 月宣布,首相佩德罗·桑切斯及其三名部长,包括国防部长和内政部长,已成为Pegasus 间谍软件的目标。由此产生的司法调查因未能取得结果而暂时搁置。
https://www.securityweek.com/spain-reopens-a-probe-into-a-pegasus-spyware-case-after-a-french-request-to-work-together/
4. 黑客劫持防病毒更新以分发后门和挖矿GuptiMiner
4月23日,朝鲜黑客一直在利用 eScan 防病毒软件的更新机制在大型企业网络上植入后门,并通过 GuptiMiner 恶意软件传播加密货币矿工。研究人员将 GuptiMiner 描述为高度复杂的威胁,它可以向攻击者的 DNS 服务器执行 DNS 请求,从图像中提取有效负载,对其有效负载进行签名,并执行 DLL 侧面加载。GuptiMiner 背后的威胁行为者具有中间对手 (AitM) 的地位,可以劫持正常的病毒定义更新包,并将其替换为名为“updll62.dlz”的恶意包。该恶意文件包含必要的防病毒更新以及名为“version.dll”的 DLL 文件形式的 GuptiMiner 恶意软件。eScan 更新程序正常处理该包,解压并执行它。在此阶段,DLL 由 eScan 的合法二进制文件旁加载,从而赋予恶意软件系统级权限。
https://www.bleepingcomputer.com/news/security/hackers-hijack-antivirus-updates-to-drop-guptiminer-malware/
5. 与朝鲜有关联的 APT 组织瞄准韩国国防承包商
4月23日,韩国国家警察厅警告称,与朝鲜有关的威胁行为者正以国防工业实体为目标,窃取国防技术信息。据韩国国家警察厅报道,与朝鲜有关联的 APT 组织Lazarus、Andariel和Kimsuky攻击了韩国多家国防相关的公司。警察厅和国防采购计划管理局(DAPA)对目标组织的环境进行了一系列特别检查。联合检查于1月15日至2月16日进行,受影响组织实施了防护措施。警方表示,这些袭击是以全面战争的形式进行的,多个 APT 组织参与其中。政府专家警告说,攻击者采用了复杂的黑客技术。韩国国家警察厅提供了不同 APT 组织实施的多次攻击的详细信息。
https://securityaffairs.com/162193/apt/north-korea-south-korean-defense-contractors.html
6. 美国财政部和国务院以及多家机构的系统遭到黑客攻击
4月23日,四名伊朗黑客在曼哈顿联邦法院被起诉,被指控针对美国政府部门、国防承包商和私营公司开展复杂的网络间谍活动。目前仍在逃的被告被指控针对美国财政部和国务院以及十几家能够获取国防相关信息的美国私营公司的关键系统进行攻击。司法部指责黑客使用额外的社会工程技术,包括冒充女性来获取受害者的信任。根据未密封的起诉书,该黑客组织的攻击的受害者主要是经过许可的国防承包商,这些公司已获得美国国防部的安全许可,可以访问、接收和存储机密信息。该组织还被指控针对一家总部位于纽约的会计师事务所和一家总部位于纽约的酒店公司。在起诉书启封的同时,美国国务院还宣布悬赏 1000 万美元,奖励提供线索抓获他们,财政部还对涉案个人实施了制裁。
https://www.securityweek.com/10-million-bounty-on-iranian-hackers-for-cyber-attacks-on-us-gov-defense-contractors/
京公网安备11010802024551号