Bling Libra策略转变:从数据盗窃到云勒索
发布时间 2024-08-298月27日,Unit 42网络安全团队揭示,臭名昭著的Bling Libra威胁组织已显著转变其策略,从以往通过地下市场贩卖窃取数据,转变为针对云环境实施勒索攻击。这一变化尤为令人担忧,因为Bling Libra已成功利用AWS凭证入侵多家企业的云账户,特别是通过Amazon S3资源。他们精心策划的入侵行动,包括细致的数据探索和隐蔽的活动追踪,使得攻击初期难以被察觉。利用S3浏览器和WinSCP等工具,Bling Libra不仅绘制了受害者的存储桶结构,还删除了关键数据,进一步加剧了损失。更甚者,在完成破坏后,该组织创建了嘲讽性的新S3存储桶,并发起勒索邮件,要求支付赎金以恢复数据和停止攻击。Unit 42的报告深入分析了这些工具的使用方式,为防御者提供了识别恶意活动的线索。鉴于云服务的普及,报告强调组织应采纳最小特权原则和强化安全措施,如利用IAM访问分析和AWS服务控制策略,以有效抵御此类高级威胁。
https://securityonline.info/bling-libras-tactical-evolution-exploiting-cloud-misconfigurations-for-extortion/
2. Poortry工具集进化:从EDR杀手到全面擦除者
8月27日,Sophos X-Ops最新报告揭示了恶意工具集Poortry的最新进展,该工具旨在针对Windows系统上的端点检测和响应(EDR)软件发起攻击。自2022年被Mandiant发现以来,Poortry通过其加载程序“Stonestop”成为多个勒索软件组织的关键工具,不断进化以逃避检测。最新版本的Poortry不仅限于禁用EDR软件,更能从磁盘中彻底清除安全软件的关键组件,从而为其背后的勒索软件攻击扫清道路。Poortry的核心策略是利用Windows内核模式驱动程序的广泛权限,通过解除挂钩和终止保护进程来绕过安全机制。其开发者利用多种方法绕过代码签名验证,包括滥用泄露的证书、伪造时间戳以及尝试直接通过Microsoft的WHQL证明签名流程获取合法证书。尽管面临微软和Sophos的曝光与封堵,Poortry依然通过灵活调整策略保持活跃。尤为值得关注的是,Poortry在2024年7月的一次事件中首次展示了其删除EDR组件的新能力,这显著增加了组织面临的风险。
https://securityonline.info/poortry-edr-killer-evolves-now-wipes-security-software-from-windows-systems/
3. Park'N Fly遭黑客入侵,百万客户数据泄露
8月27日,Park'N Fly是加拿大知名机场外停车服务提供商,近期遭遇严重数据泄露事件,约100万客户的个人信息被黑客非法获取。威胁者利用窃取的VPN凭证,在7月中旬侵入公司网络,并在7月11日至13日期间实施了未授权访问。泄露的信息包括客户全名、电子邮件、住址、航班号及民航局号码,但幸运的是,财务和支付卡信息未被波及。Park'N Fly迅速采取行动,五天内恢复了受影响的系统,并加强了安全措施以防止未来类似事件的发生。公司CEO卡罗·马雷洛向客户及合作伙伴致歉,并承诺将全力保护用户信息。受影响的客户在社交媒体上表达了对数据泄露的担忧,并对公司数据保留政策提出质疑。Park'N Fly提醒所有受影响的客户保持高度警惕,防范潜在的网络钓鱼攻击。
https://www.bleepingcomputer.com/news/security/parkn-fly-notifies-1-million-customers-of-data-breach/
4. 利用Atlassian Confluence漏洞CVE-2023-22527进行加密劫持
8月28日,Trend Micro 研究人员揭示了针对 Atlassian Confluence 数据中心和服务器版本的严重漏洞(CVE-2023-22527)的广泛加密劫持活动。该漏洞于2024年1月16日由Atlassian公开,其CVSS评分为满分10,表明其极高危害性。该漏洞通过模板注入机制,允许未授权攻击者远程执行代码,控制服务器。自2024年6月中旬起,利用此漏洞的加密货币挖掘攻击急剧增加,主要由三个威胁行为者主导,他们采用不同策略部署XMRig挖矿机,盗用计算资源以牟利。其中一个行为者直接利用ELF文件负载部署挖矿机,而另一行为者则采用复杂手段,通过SSH脚本渗透系统,清除竞争挖矿进程,禁用云安全服务,并收集敏感信息以扩大攻击范围。这些行为者还通过创建多个cron作业来维持对受感染服务器的控制,确保挖矿活动持续进行,并消除潜在的安全障碍。为应对此威胁,管理员应立即更新Confluence至最新版本,并强化安全措施。
https://www.trendmicro.com/en_us/research/24/h/cve-2023-22527-cryptomining.html
5. BlackByte 勒索软件新攻势:利用VMware ESXi漏洞与VPN访问
8月29日,BlackByte 勒索软件组织正借助新发现的 VMware ESXi 漏洞及VPN访问途径,对全球企业发起新一轮猛烈攻击。思科Talos 团队揭露了其攻击策略,BlackByte 不仅利用CVE-2024-37085漏洞绕过身份验证,还通过VPN等远程访问机制隐秘渗透,以低可见性方式扩大感染范围。该组织还擅长利用窃取的Active Directory凭据自我传播,加剧了其破坏力。尽管其公开数据泄露网站仅展示部分攻击案例,但Talos 研究显示其实际活动远超预期。制造业、运输/仓储、专业服务、信息技术及公共行政成为其重点攻击目标。为应对此威胁,组织需紧急修补VMware ESXi等系统,实施MFA,审核VPN配置,并限制关键网络访问。同时,禁用或限制NTLM使用,部署高效的端点检测和响应系统,并构建全面的安全策略,融合主动威胁情报与事件响应能力,以全面抵御BlackByte等勒索软件的侵害。
https://hackread.com/blackbyte-ransomware-vmware-flaw-vpn-based-attacks/
6. 伊朗APT33利用Tickler恶意软件攻击美国政府和国防等机构
8月28日,伊朗黑客组织APT33,别名Peach Sandstorm和Refined Kitten,近年来频繁发动网络攻击,其最新手段涉及使用新型Tickler恶意软件,重点针对美国和阿联酋的政府、国防、卫星、石油及天然气部门的组织。2024年4月至7月间,该组织通过Microsoft Azure基础设施实施命令与控制(C2),利用欺诈性Azure订阅进行情报收集。此前,APT33已成功利用密码喷洒攻击侵入国防、航天、教育及政府部门,尤其是通过教育行业盗用账户来获取Azure资源。此外,APT33在2023年还采用类似策略,利用FalseFont后门恶意软件攻击全球国防承包商。微软对此类攻击保持高度警惕,指出APT33自2023年2月以来,已对全球数千个组织进行了大规模密码喷洒攻击,威胁领域进一步扩展到制药业。为应对这一威胁,微软宣布自10月15日起,所有Azure登录尝试均需通过多重身份验证(MFA),旨在显著增强账户安全性。
https://www.bleepingcomputer.com/news/security/APT33-Iranian-hacking-group-uses-new-tickler-malware-to-backdoor-us-govt-defense-orgs/
京公网安备11010802024551号