RustDoor通过Justice AV Solutions JAVS Viewer进行传播
发布时间 2024-05-271. RustDoor通过Justice AV Solutions JAVS Viewer进行传播
5月26日,Rapid7 的研究人员警告称,威胁行为者在 Justice AV Solutions JAVS Viewer 软件的安装程序中添加了后门。攻击者能够在从 JAVS 服务器分发的 JAVS Viewer v8.3.7 安装程序中注入后门。Justice AV Solutions (JAVS) 是一家总部位于美国的公司,为法庭环境和其他环境(包括监狱、议会和演讲室)提供数字视听录制解决方案。JAVS Viewer 在全球拥有超过 10,000 个安装。研究人员提供的后门允许攻击者完全控制受感染的系统。Rapid7 专家建议重新映像受影响的系统,重置相关凭据,并安装最新版本的 JAVS Viewer(v8.3.8 或更高版本)。研究人员注意到,JAVS Viewer Setup 8.3.7.250-1.exe 的安装程序使用意外的 Authenticode 签名进行数字签名,并包含一个名为 fffmpeg.exe 的二进制文件。该二进制文件执行编码的 PowerShell 脚本,Rapid7 将 fffmpeg.exe 与GateDoor / Rustdoor恶意软件联系起来,该恶意软件已被安全公司 S2W 识别。
https://securityaffairs.com/163683/hacking/supplay-chain-attack-javs-viewer.html
2. SlashNext发布2024年上半年网络钓鱼状况报告
5月24日,报告称,过去六个月中恶意网络钓鱼链接、商业电子邮件入侵 (BEC)、二维码和基于附件的威胁增加了 341%。该数据来自 SlashNext 的年中《2024 年网络钓鱼状况》报告 ,该报告还发现,在过去 12 个月中,恶意电子邮件和消息威胁增加了 856%。自 2022 年 11 月推出 ChatGPT 以来,恶意网络钓鱼消息激增了 4151%。Keeper Security 首席执行官兼联合创始人 Darren Guccione 警告称:不良行为者可以通过多种方式利用 ChatGPT,包括创建令人信服的网络钓鱼电子邮件。这些工具不仅可以帮助不法分子创建可信的网络钓鱼电子邮件或勒索软件攻击的恶意代码等内容,而且他们可以快速轻松地完成这些操作。防御能力最弱的组织将特别容易受到攻击,因为攻击量可能会继续增加。报告还发现,在过去六个月中,凭证窃取网络钓鱼攻击增加了 217%,BEC 攻击增加了 29%。基于 CAPTCHA 的攻击也在增加,攻击者使用 CloudFlare 的 CAPTCHA 来隐藏凭证收集表格。此外,网络犯罪分子正在利用 Microsoft SharePoint、AWS 和 Salesforce 等可信服务来隐藏网络钓鱼和恶意软件。基于二维码的攻击现在占所有恶意电子邮件的 11%,通常集成到合法基础设施中。
https://www.infosecurity-magazine.com/news/341-rise-advanced-phishing-attacks/?&web_view=true
3. ShrinkLocker 劫持 BitLocker 针对企业发起攻击
5月25日,卡巴斯基实验室的专家已经确定使用一种名为 ShrinkLocker 的新勒索软件程序对企业设备进行攻击,该程序利用了 BitLocker。BitLocker 是 Windows 中的一项安全功能,可通过加密保护数据。这些攻击的目标包括工业和制药公司以及政府机构。攻击者使用 VBScript 编写了一个恶意脚本。该脚本会检查设备上安装的 Windows 版本并激活相应的 BitLocker 功能。ShrinkLocker 可以感染新旧版本的操作系统,最高可感染 Windows Server 2008。该脚本会修改操作系统的启动参数,然后尝试使用 BitLocker 加密硬盘分区。创建一个新的启动分区,以便稍后加载加密的计算机。攻击者还会删除用于保护 BitLocker 加密密钥的安全工具,阻止用户恢复它们。随后,恶意脚本将受感染计算机上生成的系统信息和加密密钥发送到攻击者的服务器。然后,它会通过删除日志和各种可能有助于调查攻击的文件来“掩盖其踪迹”。
https://meterpreter.org/new-ransomware-threat-shrinklocker-hijacks-bitlocker-for-corporate-attacks/
4. APT36利用Linux间谍软件攻击印度的国防组织
5月25日,一个与巴基斯坦利益相符的、出于政治动机的黑客组织正与印度军方同步放弃 Windows 操作系统,并将重点放在为 Linux 编码的恶意软件上。该网络间谍组织利用电子邮件作为鱼叉式网络钓鱼攻击的载体,还利用 Telegram、Discord、Slack 和 Google Drive 等流行网络服务来存储和分发诱饵和恶意软件。每次攻击的时机都是有策略性的,这表明黑客在发动每次攻击时都进行了详细的规划,并有特定的目标。自研究人员开始跟踪 APT36 行动以来,该组织首次使用 ISO 映像作为攻击媒介。在印度政府宣布招标购买战斗机和升级数十架苏霍伊 30MKI 战斗机之际,该组织还在鱼叉式网络钓鱼电子邮件中使用 ISO 映像来攻击印度空军官员。黑莓称,该间谍组织模仿印度国防和战略智库及政府机构的网站域名,诱骗受害者下载恶意诱饵文件。这些组织包括位于新德里的独立智库陆战研究中心、印度计算机应急响应小组和陆军福利教育协会。
https://www.bankinfosecurity.com/pakistani-aligned-apt36-targets-indian-defense-organizations-a-25296?&web_view=true
5. 假冒 Pegasus 间谍软件病毒充斥即时通讯平台和暗网
5月25日,CloudSEK 发现,假冒 Pegasus 间谍软件的源代码正在表层网络、暗网和即时通讯平台上出售。继苹果公司最近发出有关“雇佣型间谍软件”攻击的警告后,云安全提供商 CloudSEK 对明网和暗网中与间谍软件相关的威胁进行了调查。该公司分析了大约 25,000 条 Telegram 帖子,发现许多帖子声称出售 Pegasus 的真实源代码。Pegasus 是由以色列公司 NSO Group 商业化的间谍软件。这些帖子大多遵循提供非法服务的通用模板,其中经常提到 Pegasus 和 NSO 工具。通过与 150 多名潜在卖家互动,研究人员深入了解了各种样本和指标,包括所谓的 Pegasus 源代码、现场演示、文件结构和快照。在分析了来自暗网源的 15 个源代码样本和 30 多个指标后,CloudSEK 发现几乎所有样本都是欺诈性的且无效的。威胁行为者创建了自己的工具和脚本,并以 Pegasus 的名义分发,利用其恶名获取经济利益。这一趋势在多个地下论坛中也有所体现,犯罪者在这些论坛上营销和分发样本,利
用 Pegasus 的名义获取金钱利益,并在地表网络代码共享平台上传播与 Pegasus 虚假关联的随机生成的源代码。
https://www.infosecurity-magazine.com/news/fake-pegasus-spyware-dark-web/
6. Cencora数据泄露导致11家制药公司的美国患者信息被泄露
5月25日,全球一些最大的制药公司披露了数据泄露事件,原因是 2024 年 2 月对其制药和商业服务合作伙伴 Cencora 发起的网络攻击。Cencora(前身为 AmerisourceBergen)是一家专门从事药品分销、专业药房、咨询和临床试验支持的医药服务提供商。该公司总部位于宾夕法尼亚州,业务遍及 50 个国家,拥有 46,000 名员工,2023 年营收为 2620 亿美元。2024 年 2 月,Cencora 在向美国证券交易委员会提交的 8-K 表格中披露了数据泄露事件 ,称未经授权的各方访问了其信息系统并窃取了个人数据。当时,该公司选择不分享有关该事件及其对客户的潜在影响的任何其他信息。此外,没有任何勒索软件组织承认对此次攻击负责。今天,加州总检察长办公室公布了美国一些最大的制药公司在过去几天提交的多份数据泄露通知样本,这些公司均将其数据泄露归咎于 2 月份的 Cencora 事件。数据泄露通知警告称,Cencora 的内部调查于 2024 年 4 月 10 日结束,调查证实以下信息已被泄露:全名、地址、健康诊断、药物和处方。信中指出,截至目前,没有证据表明窃取的信息已在互联网上公开披露或被用于欺诈目的。为了应对受影响个人面临的较高风险,Cencora 将通过 Experian 为受助者提供两年的免费身份保护和信用监控服务,受助者可以使用这些服务直到 2024 年 8 月 30 日。
https://www.bleepingcomputer.com/news/security/cencora-data-breach-exposes-us-patient-info-from-11-drug-companies/
京公网安备11010802024551号