Turla APT滥用MSBuild分发TinyTurla后门
发布时间 2024-05-235月22日,一个与俄罗斯有关的高级持续性威胁 (APT) 组织一直在滥用 PDF 和 MSBuild 项目文件,利用社交工程电子邮件将 TinyTurla 后门作为无文件负载进行传播。研究人员表示,该活动的无缝传播程序在复杂性方面取得了显著的进步。Cyble 研究人员和情报实验室 (CRIL) 的研究人员发现了这一活动,该活动使用电子邮件和邀请人权研讨会或提供公共咨询的文件作为诱饵,以感染 TinyTurla 用户。他们在昨天发布的有关该活动的博客文章中表示,攻击者还冒充合法当局,以引诱受害者上当。研究人员指出,TinyTurla 后门与俄罗斯资助的长期威胁组织Turla有关,该组织通常针对非政府组织,“特别是那些与支持乌克兰有联系的组织”。帖子称,他们认为该组织是恶意攻击活动的幕后黑手。
https://www.darkreading.com/cyberattacks-data-breaches/russia-turla-apt-msbuild-tinyturla-backdoor
2. CISA 警告利用Mirth Connect漏洞的攻击活动
5月21日,Mirth Connect 是一种广泛使用的跨平台界面引擎,医疗保健组织将其用于信息管理。影响开源产品的漏洞 CVE-2023-43208 是一个数据反序列化问题,可导致未经身份验证的远程代码执行。4.4.1 版发布时已推出补丁。该漏洞于 2023 年 10 月曝光,当时网络安全公司 Horizon3.ai 警告称该漏洞可能对医疗保健公司造成影响。CVE-2023-43208 是 CVE-2023-37679 的一个变体,Mirth Connect 开发人员之前已在 4.4.0 版发布时对该漏洞进行了修补。Horizon3.ai 当时将该漏洞描述为易于利用,并警告称“攻击者很可能利用此漏洞进行初始访问或破坏敏感的医疗数据”。该安全公司还指出,发现了 1,200 多个暴露在互联网上的 NextGen Mirth Connect 实例。
https://www.securityweek.com/cisa-warns-of-attacks-exploiting-nextgen-healthcare-mirth-connect-flaw/
3. 黑客团伙利用勒索软件攻击菲律宾政府
5月22日,黑客正在利用泄露的勒索软件构建者对菲律宾的关键基础设施发起攻击——这是出于政治动机的团体的趋势的一部分,他们越来越多地试图扰乱这个东南亚国家的生活。网络安全公司 SentinelOne的研究人员表示,一个名为“Ikaruz Red Team”的组织是少数几个针对菲律宾政府目标的黑客组织之一。该行动利用了多种勒索软件构建者——包括 LockBit、Vice Society、Clop 和 AlphV——发起“小规模”攻击。它还在网上宣传菲律宾多个组织的数据泄露情况。SentinelOne 表示,受害者的便条几乎全部抄袭自原始 LockBit 模板,顶部的名字除外。未提供联系信息。
https://therecord.media/philippines-hacktivist-groups-leaked-versions-ransomware
4. GhostEngine 挖矿攻击利用易受攻击的驱动
5月22日,已发现代号为“REF4578”的恶意加密货币挖掘活动部署了名为 GhostEngine 的恶意负载,该负载使用易受攻击的驱动程序来关闭安全产品并部署 XMRig 挖矿程序。Elastic Security Labs 和 安天的研究人员 在单独的报告和共享的检测规则中强调了这些加密货币挖掘攻击的异常复杂性,以帮助防御者识别和阻止它们。然而,两份报告均未将该活动归咎于已知的威胁行为者,也未分享有关目标/受害者的详细信息,因此该活动的起源和范围仍然未知。虽然尚不清楚服务器最初是如何被破坏的,但威胁行为者的攻击从执行名为“Tiworker.exe”的文件开始,该文件伪装成合法的 Windows 文件。该可执行文件是 GhostEngine 的初始登台有效负载,GhostEngine 是一个 PowerShell 脚本,可下载各种模块以在受感染的设备上执行不同的行为。
https://www.bleepingcomputer.com/news/security/ghostengine-mining-attacks-kill-edr-security-using-vulnerable-drivers/
5. 西悉尼大学遭到黑客攻击部分学生数据泄露
5月21日,在威胁行为者破坏了其 Microsoft 365 和 Sharepoint 环境后,西悉尼大学 (WSU) 已向学生和学术人员通报了数据泄露事件。WSU 是澳大利亚的一所教育机构,提供跨学科的广泛本科、研究生和研究课程。它拥有 47,000 名学生和 4,500 多名正式和季节性员工,运营预算为 6 亿美元。西悉尼大学网站今日发布公告,警告称黑客已访问其 Microsoft Office 365 环境,包括电子邮件帐户和 SharePoint 文件。所暴露的数据因人而异,具体取决于电子邮件通信的内容以及大学 SharePoint 环境中存储的文档。
https://www.bleepingcomputer.com/news/security/western-sydney-university-data-breach-exposed-student-data/#google_vignette
6. Void Manticore瞄准以色列和阿尔巴尼亚
5月22日,该组织名为 Void Manticore (Storm-0842),在不同国家以各种化名开展活动。最著名的别名包括针对阿尔巴尼亚袭击的“国土正义”和针对以色列行动的“因果报应”。针对不同的区域,针对每个目标采用独特的方法。该组织的活动与另一个伊朗组织 Scarred Manticore 的活动重叠,这表明协调和系统的受害者选择是他们为伊朗情报和安全部 (MOIS) 工作的一部分。专家警告说,虚空蝎狮对任何反对伊朗利益的人构成重大威胁。该组织利用复杂的假名网络、战略协作和复杂的攻击方法。该组织以其双重网络攻击方式而闻名,将物理数据破坏与心理压力相结合。Void Manticore 使用五种不同的方法,包括针对 Windows 和 Linux 的自定义擦除器,通过删除文件和操纵共享磁盘来破坏系统。
https://meterpreter.org/void-manticore-iranian-state-sponsored-hackers-target-israel-albania/
京公网安备11010802024551号