网络犯罪分子瞄准AWS环境,利用配置错误推送钓鱼活动
发布时间 2025-03-041. 网络犯罪分子瞄准AWS环境,利用配置错误推送钓鱼活动
3月3日,据Palo Alto Networks Unit 42的调查,网络犯罪分子正针对亚马逊网络服务(AWS)环境,向目标推送网络钓鱼活动。一个名为TGR-UNK-0011的活动集群(与JavaGhost组织有重叠)自2019年以来一直活跃,历史上专注于网站篡改,但自2022年起转向发送网络钓鱼邮件以谋取经济利益。这些攻击并未利用AWS漏洞,而是利用受害者环境中AWS访问密钥的配置错误,通过滥用SES和WorkMail服务发送钓鱼消息,从而绕过电子邮件保护。攻击者一旦获得对AWS账户的访问权限,就会生成临时凭证和登录URL,隐藏身份并查看账户资源。他们还利用SES和WorkMail建立钓鱼基础设施,创建新用户并设置SMTP凭证发送邮件。JavaGhost创建了多种IAM用户,其中未使用的用户似乎作为长期持久性机制。此外,他们还创建了一个新IAM角色,允许从另一个控制的AWS账户访问目标账户。Unit 42指出,该组织在攻击过程中留下相同标记,通过创建名为Java_Ghost的EC2安全组,组描述为“我们存在但不可见”,这些安全组不包含任何安全规则。
https://thehackernews.com/2025/03/hackers-exploit-aws-misconfigurations.html
2. 帕劳卫生部遭麒麟勒索软件攻击后迅速恢复
3月4日,太平洋岛国帕劳的卫生部近期遭受了一次由知名犯罪团伙Qilin发起的勒索软件攻击。此次攻击导致帕劳卫生与公众服务部(MHHS)的IT系统被入侵,部分文件被窃取。帕劳国家医院作为该国关键医疗机构,其运营因此受到威胁。然而,在帕劳、澳大利亚网络安全专家和财政部官员的协助下,政府迅速查明事件真相,并在48小时内恢复了医院的正常运营。同时,美国网络司令部“前沿防御”小组也在现场进行取证收集和分析。麒麟黑客威胁要公布窃取的数据,但帕劳官员并未试图协商赎金。尽管部分被盗信息已被公布,包括患者账单摘要等个人信息,但MHHS认为这些信息泄露不会对帕劳个人的安全造成重大影响,但仍建议民众保持警惕,防范潜在的欺诈和网络钓鱼邮件。此外,麒麟勒索软件团伙近期还针对其他医疗机构、地方政府和大型公司展开了攻击,引起了广泛关注。
https://therecord.media/palau-health-ministry-ransomware-recover
3. 假技术支持使用电话和Microsoft Teams诱骗用户安装勒索软件
3月3日,网络安全研究人员发出警告,一种新的骗局正在肆虐,网络犯罪分子假扮成技术支持人员,通过发送大量电子邮件并利用 Microsoft Teams 或电话诱骗受害者登录,进而获取远程访问权限。他们使用合法的Windows程序Quick Assist来提供远程技术支持,但实则在安装名为BackConnect的后门恶意软件,使攻击者能够完全控制受感染的系统。这一骗局与臭名昭著的Black Basta勒索软件组织紧密相关,该组织曾在2024年因类似手法被标记,并据报道在2023年从受害者那里赚取了超过1亿美元。此外,一些Black Basta成员已经转向Cactus勒索软件团伙,最近的Cactus攻击中使用的方法与Black Basta惊人地相似。这些攻击主要针对北美的制造业、金融、投资咨询和房地产行业,自2024年10月以来尤为活跃。攻击者利用社交工程和滥用正版软件和云服务相结合的方式,使恶意行为看起来像正常的计算机活动。网络安全不仅在于拥有正确的软件,更在于意识到犯罪分子如何试图欺骗人们。因此,Microsoft Teams用户应保持警惕,避免受到此类骗局的侵害。
https://hackread.com/fake-it-support-calls-microsoft-teams-users-install-ransomware/
4. 俄罗斯电信巨头Beeline再遭DDoS攻击
3月3日,俄罗斯电信公司Beeline遭受了定向分布式拒绝服务(DDoS)攻击,导致部分用户互联网中断,这是近几周内针对该公司的第二次重大攻击。此次攻击影响了Beeline的移动应用程序、网站和互联网服务,用户在访问时遇到困难,莫斯科和周边地区的用户纷纷投诉连接问题。Beeline已采取措施稳定服务,但未提供更多细节。今年2月,Beeline也曾遭受类似攻击,导致大面积服务中断。此次攻击与1月俄罗斯电信巨头MegaFon遭受的攻击相似,均由大规模DDoS攻击造成,被认为是针对电信行业的严重黑客活动主义网络攻击之一。Beeline之前归荷兰公司Veon所有,Veon在入侵乌克兰后开始剥离其俄罗斯业务。此次攻击是俄罗斯电信行业一系列网络事件之一,包括Rostelecom疑似遭受网络攻击、乌克兰网络联盟声称对俄罗斯互联网提供商Nodex的攻击负责,以及Rapporto报告其基础设施遭受网络攻击等。
https://therecord.media/russian-telecom-beeline-outages-cyber
5. 新的ClickFix攻击通过Microsoft Sharepoint部署Havoc框架
3月3日,新发现的ClickFix网络钓鱼活动诱骗受害者执行恶意PowerShell命令,以部署Havoc后利用框架来远程访问受感染设备。ClickFix 是去年出现的一种社会工程策略,威胁行为者通过创建显示虚假错误的网站或附件,提示用户单击按钮修复错误。单击后,恶意PowerShell命令会被复制到剪贴板,然后提示用户粘贴到命令提示符中,实际上执行的是远程站点上的恶意脚本,下载并安装恶意软件。在最近的一次ClickFix活动中,威胁行为者利用Microsoft云服务,发送钓鱼邮件声称有“限制通知”,诱使用户打开HTML文档后显示假的错误提示,引导用户执行PowerShell命令。该命令启动托管在威胁行为者SharePoint服务器上的脚本,检查设备是否在沙盒环境中,然后修改注册表、安装Python解释器,并下载并执行Python脚本以部署Havoc框架。Havoc框架允许攻击者远程控制设备,通过Microsoft Graph API与威胁行为者的服务通信,混入常规网络通信以逃避检测。ClickFix攻击越来越受欢迎,被用于部署各种恶意软件,威胁行为者还不断改进技术,利用社交媒体平台诱骗用户。
https://www.bleepingcomputer.com/news/security/new-clickfix-attack-deploys-havoc-c2-via-microsoft-sharepoint/
6. 波兰航天局遭网络攻击,太空机构成黑客新目标
3月3日,波兰航天局(POLSA)周日宣布其遭受了网络攻击,并已断开与互联网的连接进行调查,同时其网站截至周一仍无法访问。国家网络安全服务部门已检测到对POLSA IT基础设施的未经授权访问,并正在保护受影响的系统,同时努力识别攻击者。目前尚不清楚此次攻击是由勒索软件组织还是政治动机的黑客发起,也未透露黑客入侵系统的具体细节。POLSA是波兰负责太空活动的政府机构,也是欧洲航天局成员,其可能成为黑客的诱人目标,因为与军事和情报机构的合作可能暴露敏感的国防相关信息、卫星运营或机密研究,危及国家安全。波兰已成为亲俄黑客的主要目标,今年网络攻击数量翻倍,为此波兰已投资7.6亿美元加强网络安全。
https://therecord.media/poland-space-cyberattack-agency-investigate
京公网安备11010802024551号