麒麟勒索软件组织声称入侵乌克兰外交部
发布时间 2025-03-071. 麒麟勒索软件组织声称入侵乌克兰外交部
3月7日,麒麟勒索软件组织声称已成功入侵乌克兰外交部,这是一次重大的网络安全事件。该组织宣称窃取了包括私人通信、个人信息和官方法令在内的敏感数据,并已将部分数据出售给第三方,同时在其Tor泄密网站上发布了一系列被盗文件的图像作为证据。然而,乌克兰外交部尚未对这一数据泄露事件进行证实。此次攻击被视为俄罗斯和乌克兰持续冲突中混合战争升级的一部分,可能与克里姆林宫战略一致的黑客活动和网络犯罪集团有关。麒麟勒索软件组织自2022年起活跃,曾因攻击英国政府医疗服务提供商Synnovis而受到关注,通常采用“双重勒索”手段。最近,该组织还声称对影响数十家当地报纸的李氏企业网络攻击负责。李氏企业是一家上市的美国媒体公司,在多个州出版大量报纸和周刊。此次事件再次凸显了网络安全的重要性,以及勒索软件组织对全球企业和政府机构构成的威胁。
https://securityaffairs.com/175025/cyber-crime/qilin-ransomware-ministry-of-foreign-affairs-of-ukraine.html
2. 微软删除恶意广告活动所用GitHub存储库,近百万设备受影响
3月6日,微软在2024年12月初检测到一次大规模恶意广告活动,该活动影响了全球近一百万台设备。攻击者通过在非法盗版流媒体网站的视频中注入恶意广告重定向器,将潜在受害者重定向到他们控制的恶意GitHub存储库。这些存储库中的恶意软件会感染用户系统,执行系统发现、收集详细的系统信息,并在部署额外的第二阶段有效载荷时窃取数据。在第三阶段,攻击者会下载NetSupport远程访问木马(RAT)和其他信息窃取恶意软件,如Lumma和Doenerium,来窃取用户数据和浏览器凭据。虽然GitHub是此次活动第一阶段交付有效载荷的主要平台,但Microsoft Threat Intelligence也观察到在Dropbox和Discord上托管的有效载荷。此次攻击活动具有无差别性,影响了广泛的组织和行业,包括消费者和企业设备。微软用“Storm-0408”这个总称来追踪这一活动,并提供了有关此次复杂恶意广告活动的多阶段攻击链中攻击的各个阶段和所使用的有效载荷的详细信息。
https://www.bleepingcomputer.com/news/security/microsoft-says-malvertising-campaign-impacted-1-million-pcs/
3. Akira勒索软件团伙利用网络摄像头绕过EDR发起攻击
3月6日,Akira勒索软件团伙采用了一种不寻常的攻击方法,利用不安全的网络摄像头对受害者网络发起加密攻击,成功绕过了Windows中的端点检测和响应(EDR)工具。网络安全公司S-RM在一次事件响应中发现了这一攻击方式。Akira团伙首先通过远程访问解决方案进入公司网络,部署合法的远程访问工具AnyDesk窃取数据,并使用远程桌面协议(RDP)进行横向移动。然而,当他们在Windows上部署勒索软件负载时被EDR工具阻止。随后,Akira扫描网络寻找其他设备,发现了易受攻击的网络摄像头和指纹扫描仪。由于网络摄像头运行Linux操作系统且没有EDR代理,Akira选择利用它挂载公司其他设备的Windows SMB网络共享,并在网络摄像头上启动Linux加密器,成功加密了SMB上的网络共享文件。S-RM指出,已有针对网络摄像头漏洞的补丁,表明此次攻击是可避免的。此案例强调了EDR保护并非全面安全解决方案,物联网设备也应与敏感网络隔离并定期更新固件以修补漏洞。
https://www.bleepingcomputer.com/news/security/akira-ransomware-encrypted-network-from-a-webcam-to-bypass-edr/
4. StubHub票务员工盗售千余张音乐会门票遭起诉
3月6日,纽约检察官指控StubHub在线票务市场的两名第三方承包商工作人员涉嫌盗窃并转售近1000张高价值音乐会门票,赚取635,000美元。这些门票大多数是泰勒·斯威夫特的Eras Tour门票,以及其他知名活动如Ed Sheeran、Adele演唱会、NBA比赛和美国网球公开赛的门票。两名被告分别是20岁的泰隆·罗斯和31岁的莎玛拉·西蒙斯,他们在牙买加萨瑟兰全球服务公司工作,利用离岸票务供应商平台的漏洞拦截了约350份StubHub订单,窃取门票。他们据称通过访问StubHub计算机系统,找到后门进入网络安全区域,将已售出门票的URL重定向到同谋的电子邮件上。两人已在纽约市被捕,并面临多项刑事指控,一旦罪名成立,将面临最高15年的监禁。此次打击行动凸显了地方检察官办公室对网络犯罪的警惕性,以及与行业合作伙伴打击欺诈活动和确保消费者保护的重要性。调查仍在进行中,以确定此次行动的规模和其他潜在同谋。
https://www.bleepingcomputer.com/news/security/cybercrime-crew-stole-635-000-in-taylor-swift-concert-tickets/
5. PyPI上的以太坊私钥窃取程序被下载超过 1,000 次
3月6日,一个名为“set-utils”的恶意Python包在PyPI上被发现,该包伪装成实用的工具包,通过拦截以太坊钱包创建功能窃取私钥,并通过Polygon区块链将其泄露。自2025年1月29日提交以来,该包已被下载一千多次,主要针对区块链开发人员、基于Python的DeFi项目、支持以太坊的Web3应用程序以及使用Python自动化的个人钱包。该恶意包嵌入了攻击者的RSA公钥,用于加密被盗的私钥,并将其嵌入到以太坊交易的数据字段中,通过Polygon RPC端点发送到攻击者的帐户。这种方法相对隐蔽,不易被防火墙和防病毒工具检测到。一旦数据泄露过程完成,攻击者可以随时检索被盗数据,因为被盗信息会永久存储在区块链上。尽管该包已被从PyPI中删除,但已将其纳入项目的用户和软件开发人员应立即卸载它,并假设创建的任何以太坊钱包都已受到威胁,尽快转移资金以避免被盗风险。
https://www.bleepingcomputer.com/news/security/ethereum-private-key-stealer-on-pypi-downloaded-over-1-000-times/
6. 超过1000个WordPress网站遭恶意JavaScript代码攻击
3月6日,超过1000个由WordPress支持的网站被第三方JavaScript代码感染,该代码植入了四个独立后门,为攻击者提供多重入侵途径。这些后门包括一个名为“Ultra SEO Processor”的虚假插件,用于执行攻击者命令;向wp-config.php注入恶意JavaScript;向~/.ssh/authorized_keys添加SSH密钥以实现远程访问;以及从gsocket[.]io获取载荷以打开反向shell。为降低风险,用户被建议删除未授权SSH密钥、更换WordPress管理员密码,并监控日志。此前,已有超过35000个网站遭恶意JavaScript入侵,导致访问者被重定向至中文赌博平台。同时,名为ScreamedJungle的威胁行为者通过注入Bablosoft JS脚本,影响了115个以上的Magento网站,收集用户指纹信息。攻击者利用已知漏洞,如CVE-2024-34102和CVE-2024-20720,进行网站入侵。Group-IB指出,浏览器指纹识别技术虽常用于用户跟踪和营销策略,但也被犯罪分子用于模仿合法用户、逃避安全措施及实施欺诈。
https://thehackernews.com/2025/03/over-1000-wordpress-sites-infected-with.html
京公网安备11010802024551号