德克萨斯州律师协会遭INC勒索软件攻击导致数据泄露
发布时间 2025-04-081. 德克萨斯州律师协会遭INC勒索软件攻击导致数据泄露
4月3日,美国第二大律师协会——德克萨斯州律师协会遭遇重大数据泄露事件,波及超10万名执业律师。该协会承担执业许可监管、继续教育管理、职业道德监督等核心职能,其网络系统于2025年1月28日至2月9日间遭未经授权访问,但直至2月12日方被察觉。根据协会向受影响成员发布的通知,攻击者窃取了包含全名的敏感信息,具体泄露范围尚未明确。值得注意的是,INC勒索软件团伙公开宣称对此次攻击负责,并于3月9日将该协会列入暗网勒索名单,同时披露了部分据称为法律案件文件的被盗数据样本。协会已采取应对措施,为受影响成员提供有效期至7月31日的免费信用及身份盗窃监控服务(由Experian提供支持),并建议成员通过激活码注册该服务。此外,协会强烈建议成员考虑启动信用冻结或在信用档案中设置欺诈警报,以最大限度降低潜在风险。
https://www.bleepingcomputer.com/news/security/texas-state-bar-warns-of-data-breach-after-inc-ransomware-claims-attack/
2. Everest勒索软件团伙暗网泄密网站遭未知攻击下线
4月7日,近日,Everest 勒索软件团伙的暗网泄密网站遭遇未知攻击者袭击,目前已下线。攻击者将网站内容替换为讽刺信息:“不要犯罪,犯罪是坏事,来自布拉格。”目前,该网站显示“未找到洋葱网站”错误,无法加载。尽管攻击者如何进入网站或网站是否被黑客攻击尚不明确,但安全专家指出,Everest 使用的 WordPress 模板可能存在潜在漏洞,该漏洞或被利用来破坏勒索软件操作的泄漏网站。自 2020 年出现以来,Everest 勒索软件行动策略已发生变化,从仅窃取数据、勒索企业转变为在攻击中加入勒索软件,加密受害者系统。此外,Everest 运营商还因充当其他网络犯罪团伙和威胁行为者的初始访问权限经纪人而出名,出售被攻破的公司网络访问权限。在过去 5 年中,Everest 的暗网泄密网站增加了 230 多名受害者,成为双重勒索攻击的一部分,勒索软件团伙试图以发布敏感信息为威胁,迫使受害者支付赎金。
https://www.bleepingcomputer.com/news/security/everest-ransomwares-dark-web-leak-site-defaced-now-offline/
3. VSCode恶意扩展现身微软市场,借XMRig挖矿牟利
4月7日,近日,ExtensionTotal研究员Yuval Ronen发现,2025年4月4日,微软门户上悄然发布了九个伪装成合法开发工具的VSCode扩展。这些扩展以“Discord Rich Presence for VS Code”“Rojo – Roblox Studio Sync”等名称示人,安装量超30万次,但数字可能被人为夸大,旨在营造合法假象。一旦安装激活,这些恶意扩展便从外部源获取并执行PowerShell脚本,同时安装其模仿的合法扩展以掩人耳目。恶意软件会创建伪装成“OnedriveStartup”的计划任务,并在Windows注册表中注入脚本,确保系统启动时自动运行。它还会关闭关键Windows服务,如Windows Update,并将自身添加到Windows Defender的排除列表中,以逃避检测。若未以管理员权限执行,恶意软件会模仿系统二进制文件,使用恶意MLANG.dll执行DLL劫持,提升权限并执行有效负载。该可执行文件采用base64编码格式,由PowerShell脚本解码后连接到辅助服务器,下载并运行XMRig加密货币矿工。目前,尽管ExtensionTotal已向微软报告这些恶意扩展,但它们仍可用。
https://www.bleepingcomputer.com/news/security/malicious-vscode-extensions-infect-windows-with-cryptominers/
4. 黑客冒充乌机构发动攻击,窃密恶意软件威胁加剧
4月8日,根据政府最新研究,黑客正利用窃取信息的恶意软件对乌克兰关键部门发动攻击。自2月以来,乌克兰计算机应急响应小组(CERT-UA)一直在追踪这一活动,其幕后威胁者被追踪为UAC-0226,但尚未归咎于任何已知黑客组织。黑客从被入侵的账户发送带有恶意文档附件的电子邮件,文件名或主题行涉及地雷清除、行政罚款、无人机生产或财产损失赔偿等话题,以感染乌克兰武装部队、执法机构和地方政府机构等目标。截至4月,黑客已部署两种恶意软件,一种基于GitHub公开代码,另一种名为GiftedCrook,可窃取浏览器数据并发送到Telegram泄露。此外,3月份还发现了至少三起利用新型间谍恶意软件Wrecksteel的网络攻击,黑客通过被盗账户发送包含公共文件共享服务链接的消息,执行PowerShell脚本后,可提取多种文件并截取屏幕截图。CERT-UA提供了网络钓鱼电子邮件示例,以警示公众注意此类攻击。
https://therecord.media/hackers-impersonate-drone-companies-state-agencies-spy-ukraine
5. WK Kellogg Co遭Clop利用Cleo漏洞实施数据盗窃攻击
4月7日,美国食品巨头WK Kellogg Co近日警告员工和供应商,公司数据在2024年Cleo数据盗窃攻击中遭窃取。Cleo软件是一款托管文件传输实用程序,去年年底,Clop勒索软件团伙利用两个零日漏洞CVE-2024-50623和CVE-2024-55956,集体攻击了该软件,使威胁行为者能够入侵服务器并窃取数据。WK Kellogg于2025年2月27日获悉此事,并立即展开调查。经联系Cleo后得知,一名未经授权的人于2024年12月7日访问了Cleo为WK Kellogg托管的服务器。尽管WK Kellogg未具体提及Clop或数据盗窃攻击,但报告事件的日期与2024年12月发生的一波攻击相吻合。此外,Clop勒索软件团伙在将WK Kellogg列入其数据泄露勒索网站后不久,就发布了违规通知。泄露的数据包括个人的姓名和社会保险号。WK Kellogg已与Cleo密切合作,确定了为解决违规行为并防止将来发生类似事件而实施的安全措施。此次事件使WK Kellogg成为受到Clop的Cleo零日攻击影响的众多公司中的最新受害者。
https://www.bleepingcomputer.com/news/security/food-giant-wk-kellogg-discloses-data-breach-linked-to-clop-ransomware/
6. 新型Neptune RAT变种威胁加剧,窃密与破坏能力升级
4月7日,近日,一种新的Neptune RAT变种通过YouTube和Telegram等社交平台广泛传播,对Windows用户构成严重威胁。该恶意软件虽声称用于“教育和道德目的”,但实际功能却远非如此。Neptune RAT能够窃取用户凭证、替换加密货币钱包地址,甚至使用勒索软件功能锁定文件,使攻击者能够全面控制受感染的系统。该恶意软件在社交平台上免费分发,隐藏了可执行文件,并使用阿拉伯字符和表情符号替换部分字符串,增加了分析难度。其免费版本会自动生成PowerShell命令,下载并运行其他恶意组件。Neptune RAT包含多种攻击模块,如凭证盗窃、剪贴板劫持、勒索软件和系统损坏等,能够协同攻击Windows计算机。为逃避检测,该恶意软件会修改注册表值、添加到Windows任务计划程序中,并检查是否在虚拟环境中运行。此外,附加的DLL文件增加了更多功能,包括绕过用户帐户控制、窃取数据和实时屏幕监控等。
https://hackread.com/neptune-rat-variant-youtube-steal-windows-passwords/
京公网安备11010802024551号