黑客利用MeduzaStealer恶意软件攻击乌克兰征兵应用用户
发布时间 2024-10-181. 黑客利用MeduzaStealer恶意软件攻击乌克兰征兵应用用户
10月16日,黑客利用MeduzaStealer恶意软件针对乌克兰潜在征兵对象发起攻击。他们通过Telegram传播该恶意软件,伪装成乌克兰新政府应用程序Reserve+的技术支持机器人,诱骗用户上传包含恶意文件的ZIP档案。一旦文件被打开,MeduzaStealer就会感染目标设备,窃取具有特定扩展名的文档,并随后自我删除。Reserve+应用允许乌克兰有义务服兵役的男性在线更新个人数据,由于收集的数据敏感,已成为黑客的攻击目标。截至7月,已有超过450万乌克兰人使用该应用更新数据。乌克兰国防部已报告发现假冒的Reserve+应用程序,可能旨在收集个人数据用于袭击或信息和心理行动。此前,与俄罗斯有关的黑客也曾滥用流行移动应用程序和通讯工具攻击乌克兰军事人员。
https://therecord.media/hackers-target-ukraine-draftees-meduzastealer-malware-telegram
2. 新型勒索软件滥用AWS窃取数据,跨平台传播难防控
10月16日,网络安全研究人员在Trend Micro的报告中揭示了一个复杂的勒索软件操作,该操作利用亚马逊网络服务(AWS)基础设施来窃取敏感数据。这种新型勒索软件模仿了臭名昭著的LockBit勒索软件家族,但实际上是一个完全不同的实体。攻击者通过AWS的S3传输加速(S3TA)功能,使用硬编码的AWS凭证在攻击者控制的Amazon S3存储桶中上传受害者数据,以实现更快的远距离数据传输。在攻击结束时,设备的壁纸会变成一张提到LockBit的图像,以增加受害者遵守赎金要求的压力。该勒索软件以Go编程语言编写,具有跨平台特性,能够针对Windows和macOS环境,使其用途广泛且难以控制。AWS已暂停此勒索软件使用的访问密钥,但Trend Micro建议组织保持警惕,更新软件,检查远程访问策略,并监控与恶意活动相关的AWS账户ID,以更好地检测和应对潜在的基于云的威胁。
https://securityonline.info/lockbit-imposter-new-ransomware-leverages-aws-for-attacks/
3. ClickFix新变种:利用Google Meet诱饵分发恶意软件
10月17日,ClickFix 是一种社会工程策略,自5月份由网络安全公司Proofpoint首次报告以来,其活动愈发频繁,尤其是在美国和日本。该策略通过冒充 Google Chrome、Microsoft Word 和 OneDrive 错误消息,诱骗用户复制并执行 PowerShell 代码,从而感染系统。受害者因此会面临多种恶意软件的攻击,如 DarkGate、Matanbuchus 等。近期,SaaS 网络安全提供商 Sekoia 指出,ClickFix 活动已发生显著变化,包括使用 Google Meet 诱饵、针对运输和物流公司的网络钓鱼邮件等。攻击者会发送看似合法的 Google Meet 邀请邮件,诱使受害者访问虚假页面。一旦进入,受害者会收到技术问题提示,若点击“尝试修复”,则会启动 ClickFix 感染过程,导致计算机被恶意软件感染。Windows 系统主要遭受 Stealc 或 Rhadamanthys 信息窃取软件的攻击,而 macOS 机器上则投放了名为“Launcher_v194”的 AMOS Stealer。此外,Sekoia 还发现了其他几个恶意软件分发渠道,包括 Zoom、PDF 阅读器、虚假视频游戏等。
https://www.bleepingcomputer.com/news/security/fake-google-meet-conference-errors-push-infostealing-malware/
4. 朝鲜IT欺诈团伙“Nickel Tapestry”利用雇佣关系窃取数据并勒索赎金
10月17日,朝鲜长期以来一直派遣IT专业人员到富裕国家的企业就职,以窃取网络数据或为该国的武器计划谋取收入。这些欺诈性的IT工作者使用虚假或偷来的身份,并通过笔记本电脑农场和美国的站点路由流量来掩盖其真实位置。他们避免使用视频通话或在视频会议期间隐藏面部,以防止被发现。据网络安全公司Secureworks的调查,一个名为“Nickel Tapestry”(Mandiant称为UNC5267)的组织负责组织和协调这些朝鲜IT工作者。在雇佣这些外部承包商后,一家公司几乎立即遭遇了数据窃取,数据通过公司的虚拟桌面基础设施传输到个人Google Drive云存储。在雇佣关系终止后,该公司开始收到勒索电子邮件,要求支付六位数的加密货币赎金以换取不公开泄露数据。Secureworks还发现,Nickel Tapestry在攻击活动中使用了Astrill VPN、住宅代理和AnyDesk等工具。研究人员警告,朝鲜的IT工作者经常相互协调,提供推荐,因此组织在雇用远程工作者时应保持警惕,并留意欺诈迹象。
https://www.bleepingcomputer.com/news/security/undercover-north-korean-it-workers-now-steal-data-extort-employers/
5. BianLian勒索软件组织声称攻击波士顿儿童健康医生并窃取数据
10月17日,BianLian勒索软件组织声称对波士顿儿童健康医生(BCHP)发动了网络攻击,该组织是一个由300多名儿科医生和专家组成的网络,在纽约和康涅狄格州的多个地点提供医疗服务。9月6日,BCHP的IT供应商遭受了网络攻击,几天后,BCHP检测到其网络上有未经授权的活动,并立即启动了事件响应协议,包括关闭系统作为保护措施。经调查确认,威胁行为者已获得对BCHP系统的未经授权的访问,并窃取了包括全名、社会保障号码、地址、出生日期、驾驶执照号码、医疗记录编号、健康保险信息、账单信息以及有限的治疗信息在内的数据。但BCHP的电子病历系统未受影响,因为它们托管在单独的网络上。确认受到影响的个人将在10月25日之前收到BCHP的信,泄露SSN和驾照的人还将获得信用监控和保护服务。BianLian勒索软件组织已宣布对此次攻击负责,并声称拥有财务和人力资源数据、电子邮件通信、数据库转储等敏感信息,但尚未泄露任何内容,也未披露最后期限,表明他们仍希望与BCHP进行谈判。
https://www.bleepingcomputer.com/news/security/bianlian-ransomware-claims-attack-on-boston-childrens-health-physicians/
6. SideWinder APT组织扩大攻击范围,采用新型复杂工具包
10月17日,一个名为SideWinder的疑似与印度有关联的高级持续性威胁(APT)行为者,近期对中东和非洲的多个知名实体和战略基础设施发动了攻击。该组织也被称为APT-C-17、Baby Elephant等多个名称。尽管其使用公开的漏洞利用程序和恶意文件作为感染媒介,看似技术水平较低,但仔细分析其行动细节后,发现其真实能力不容小觑。攻击目标包括孟加拉国、吉布提等多个国家的政府和军事实体、物流、基础设施和电信公司、金融机构等。最近,SideWinder使用多阶段感染链传递了一个名为StealerBot的后开发工具包,通过鱼叉式网络钓鱼电子邮件开始,执行一系列下载程序,最终部署恶意软件。该恶意软件能够收集系统信息、下载其他有效负载,并通过后门加载模块植入StealerBot,用于间谍活动,如窃取密码、文件、记录击键等。此外,SideWinder的地理覆盖范围不断扩大,使用了新的复杂工具包,并与据信来自巴基斯坦的威胁行为者APT36建立联系。
https://thehackernews.com/2024/10/sidewinder-apt-strikes-middle-east-and.html
京公网安备11010802024551号