印度黑客组织CyberVolk:新兴勒索软件威胁全球网络安全
发布时间 2024-09-061. 印度黑客组织CyberVolk:新兴勒索软件威胁全球网络安全
9月5日,印度黑客组织CyberVolk作为网络犯罪领域的新秀,以其复杂的勒索软件迅速崛起并引发关注。该组织自2024年7月推出其勒索软件以来,凭借其先进的加密技术和迅速扩散的能力,迅速在网络犯罪界声名狼藉。CyberVolk勒索软件不仅功能强大,还以勒索软件即服务(RaaS)形式流通,任何人均可租用并发动攻击,极大地扩大了其威胁范围。该软件的加密算法不断升级,采用包括ChaCha20-Poly1305、AES及抗量子技术在内的多重加密手段,确保数据难以解密,即便面对量子计算挑战亦不例外。CyberVolk勒索软件最为独特之处在于其无需C2服务器即可独立运行,增强了隐蔽性与破坏性。一旦加密启动,将迅速锁定文件,并设置严格赎金期限与惩罚机制,如输入错误密钥则自动销毁数据,迫使受害者就范。此外,该软件还具备逃避检测、蠕虫式传播等能力,严重威胁企业及个人信息安全。尽管CyberVolk勒索软件设计精妙,但网络安全研究机构ThreatMon仍发现了其漏洞,如可通过PowerShell命令终止加密、修改时间文件延长赎金支付期限等,为应对攻击提供了可能性。然而,CyberVolk勒索软件的财务收益激增,显示出其活动的广泛影响与危害。
https://securityonline.info/cybervolk-ransomware-a-new-and-evolving-threat-to-global-cybersecurity/
2. 警惕冒充Netflix的钓鱼邮件泛滥
9月2日,AhnLab 安全情报中心(ASEC)近期揭示了针对知名OTT平台Netflix的网络钓鱼邮件活动。随着OTT平台普及和用户基数的扩大,此类钓鱼攻击日益猖獗。攻击者精心伪造Netflix订阅付款失败的邮件,诱导用户点击链接更新付款方式,邮件设计逼真,甚至使用看似无害的“netflix-team[.]com”域名。然而,这并非Netflix官方地址,而是专为钓鱼设计的域名。邮件中嵌入的“帮助中心”和“联系方式”链接指向官方,但关键的“立即更新帐户”按钮则导向已关闭的钓鱼网站URL,尽管该网站无法进一步分析,但通过分析域名和子URL中发现的知名平台CSS文件,推测攻击者可能构建了多个类似钓鱼站点。此案例凸显了钓鱼邮件的隐蔽性和复杂性,攻击者利用公众对OTT平台的熟悉感降低戒备。为防范此类攻击,用户需提升安全意识,仔细检查邮件中的URL,并在点击前通过官方渠道验证信息真伪。
https://asec.ahnlab.com/en/82969/
3. FBI警告朝鲜黑客瞄准加密货币领域,社会工程攻击频发
9月3日,美国联邦调查局近日发出紧急警告,指出朝鲜黑客组织正积极针对加密货币领域发起高度复杂的社会工程攻击,旨在窃取加密资产。这些攻击极具隐蔽性,即便是网络安全专家也难以轻易察觉。朝鲜黑客事先对加密货币交易所交易基金(ETF)及相关个人进行详尽调研,显示出其对潜在目标的深入了解和周密准备。他们不仅瞄准加密货币公司,还针对处理大量加密资产的组织发起网络入侵,企图盗取资金。FBI强调,朝鲜黑客擅长通过精心策划的社会工程手段,伪装成招聘人员或知名行业人士,利用诱人的就业和投资机会诱骗员工上钩。他们使用流利的英语、专业的加密货币知识及伪造的身份信息,极大提升了攻击的可信度。此外,黑客还擅长构建看似合法的网站和盗用图片,以混淆视听。为应对这一威胁,FBI列出了朝鲜社会工程活动的潜在迹象,并为加密货币行业及其员工提供了防范建议,包括仔细核查邮件来源、避免点击不明链接、通过官方渠道验证信息等。
https://www.bleepingcomputer.com/news/security/fbi-warns-crypto-firms-of-aggressive-social-engineering-attacks/?&web_view=true
4. BlindEagle利用BlotchyQuasar攻击哥伦比亚保险业
9月5日,Zscaler ThreatLabz近期检测到BlindEagle(也被称为AguilaCiega、APT-C-36和APT-Q-98)这一高级持续性威胁(APT)行为者的新活动。BlindEagle主要将目标锁定在南美洲,特别是哥伦比亚和厄瓜多尔的政府和金融部门组织及个人。其通过精心设计的网络钓鱼电子邮件获取初始访问权限,随后利用商品化的.NET远程访问木马(RAT)如AsyncRAT、RemcosRAT及定制变体BlotchyQuasar窃取银行服务提供商的凭据。此次攻击特别针对哥伦比亚保险业,威胁行为者伪装成哥伦比亚税务机关(DIAN)发送紧急通知,声称因未付税款而发出扣押令,迫使受害者立即行动。受害者被诱导下载并运行一个受密码保护的ZIP存档,该存档包含BlotchyQuasar恶意软件。BlotchyQuasar具有强大的功能,如键盘记录、监控银行服务窗口标题以及执行shell命令,从而窃取支付相关数据。ThreatLabz认为此次攻击高度可信地由BlindEagle发起,因其符合该组织已知的作案手法和目标特征。
https://www.zscaler.com/blogs/security-research/blindeagle-targets-colombian-insurance-sector-blotchyquasar
5. LiteSpeed Cache漏洞导致600万个WordPress网站面临账户接管风险
9月5日,WordPress加速插件LiteSpeed Cache近期曝出严重安全漏洞CVE-2024-44000,影响超600万WordPress网站安全。该漏洞属于未经身份验证的帐户接管问题,源于插件的调试日志功能不当处理用户会话cookie。当该功能启用时,所有HTTP响应头(含敏感cookie)被写入未受保护的日志文件,攻击者通过访问该文件可窃取cookie,进而冒充管理员控制网站。LiteSpeed Technologies迅速响应,发布6.5.0.1版本修复漏洞,包括将日志移至专用文件夹、随机化文件名、移除cookie记录选项及增设保护文件。用户被建议清除旧日志文件并设置.htaccess规则防止直接访问,以防潜在攻击。此外,该插件近期已多次被曝出安全漏洞,包括未验证跨站脚本和权限升级漏洞,黑客活动频繁,过去24小时内攻击次数高达34万次,凸显了及时更新和加固安全措施的重要性。WordPress社区和用户需密切关注并采取相应防护措施,以确保网站安全。
https://www.bleepingcomputer.com/news/security/litespeed-cache-bug-exposes-6-million-wordpress-sites-to-takeover-attacks/
6. 黑客陷阱:伪造OnlyFans工具暗藏Lumma恶意软件
9月5日,黑客们近期采用了一种狡猾的策略,利用伪造的OnlyFans账户检查工具作为诱饵,目标直指其他黑客群体。这些工具声称能验证并窃取OnlyFans账户,实则暗藏Lumma信息窃取恶意软件,通过GitHub等渠道传播。Lumma作为一种高级的MaaS(恶意软件即服务),不仅具备强大的信息窃取能力,还能加载其他恶意负载,对受害者的系统造成深度侵害。此次事件中,黑客们精心设计了陷阱,使威胁行为者在尝试验证OnlyFans账户时,不知不觉中感染了Lumma,进而暴露了自身的敏感信息。Lumma还通过其灵活的传播方式,如恶意广告、社交媒体评论等,不断扩大其影响范围。值得注意的是,该恶意软件不仅能窃取密码、信用卡信息等传统数据,还能恢复过期的Google会话令牌,显示出其高度的技术复杂性和危害性。此次攻击不仅限于OnlyFans账户,还扩展到Disney+、Instagram等多个平台,甚至包括Mirai僵尸网络构建器的传播,显示了攻击者广泛而多样的目标选择。此外,攻击者还利用GitHub等开源平台托管恶意负载,进一步增加了隐蔽性和传播效率。
https://www.bleepingcomputer.com/news/security/hacker-trap-fake-onlyfans-tool-backstabs-cybercriminals-steals-passwords/
京公网安备11010802024551号