Medusa勒索软件将NASCAR列入受害者名单
发布时间 2025-04-091. Medusa勒索软件将NASCAR列入受害者名单
4月8日,Medusa勒索软件团伙近日将NASCAR(全美运动汽车赛车协会)列入受害者名单,在其暗网泄密网站上要求NASCAR支付400万美元赎金,否则将公布内部数据。该组织还声称McFarland Commercial Insurance Services、Bridgebank Ltd和Pulse Urgent Care也遭攻击。黑客已发布37张与NASCAR相关的文档图片作为证据,其中包含公司品牌材料、设施地图、员工联系方式及内部笔记和照片。对泄露文件的快速分析显示,其中包含赛道详细地图、电子邮件地址、员工姓名和职务及凭证相关信息,表明NASCAR的运营和后勤数据已受损。NASCAR尚未回应、承认或否认这些指控,但考虑到其每年数亿美元的收入,成为网络犯罪分子的目标并不奇怪。2025年3月13日,美国联邦调查局和网络安全与基础设施安全局发布联合公告,敦促各组织加强安全措施,特别建议启用双因素身份验证和监控系统以查找未经授权的证书使用迹象。
https://hackread.com/medusa-ransomware-claims-nascar-breach-latest-attack/
2. 威胁行为者滥用SourceForge分发伪造Office插件窃取加密货币
4月8日,威胁行为者正利用合法软件托管平台SourceForge分发伪造的Microsoft插件,在受害者计算机上安装恶意软件以挖掘和窃取加密货币。SourceForge.net是一个受欢迎的开源项目托管和分发平台,尽管其开放的项目提交模型为滥用提供了空间,但恶意软件传播情况较少见。然而,卡巴斯基发现的新活动已影响超过4,604个系统,主要位于俄罗斯。恶意项目“officepackage”冒充Office插件开发工具集合,其描述和文件是GitHub上合法Microsoft项目的副本。当用户搜索办公插件时,会得到指向“officepackage.sourceforge.io”的结果。点击下载按钮后,受害者会收到一个ZIP文件,其中包含受密码保护的存档和一个带有密码的文本文件。运行存档中的MSI文件会释放多个文件,并执行一个Visual Basic脚本,该脚本从GitHub获取并执行批处理脚本,以建立持久性并下载额外有效载荷。这些有效载荷包括加密货币挖矿程序和剪切程序,前者劫持机器的计算能力为攻击者挖掘加密货币,后者监视并替换剪贴板中的加密货币地址。攻击者还通过Telegram API接收受感染系统的信息,并可引入额外有效载荷。
https://www.bleepingcomputer.com/news/security/fake-microsoft-office-add-in-tools-push-malware-via-sourceforge/
3. RansomEXX勒索软件团伙利用Windows零日漏洞进行攻击
4月8日,微软近日披露,RansomEXX勒索软件团伙利用Windows通用日志文件系统中的高严重性零日漏洞(CVE-2025-29824)获取受害者系统权限。该漏洞因使用后释放问题导致,允许低权限本地攻击者通过低复杂度攻击获得系统权限。尽管微软已发布受影响Windows版本的安全更新,但针对Windows 10 x64和32位系统的补丁将尽快发布。微软指出,攻击目标涵盖美国IT和房地产行业、委内瑞拉金融行业、西班牙软件公司及沙特阿拉伯零售业。尽管Windows 11版本24H2用户不受影响,微软仍敦促用户尽快应用更新。据悉,RansomEXX勒索软件团伙在攻击中首先安装PipeMagic后门恶意软件,用于部署漏洞利用、勒索软件负载及勒索信。自2023年3月起,PipeMagic还被用于部署针对Windows Win32内核子系统的零日漏洞(CVE-2025-24983)的漏洞利用。该恶意软件由卡巴斯基于2022年发现,可收集敏感数据、提供远程访问权限,并允许攻击者部署额外恶意负载进行横向移动。
https://www.bleepingcomputer.com/news/security/microsoft-windows-clfs-zero-day-exploited-by-ransomware-gang/
4. CrushFTP漏洞遭黑客利用,敏感数据面临勒索威胁
4月9日,联邦网络安全官员和网络公司事件响应人员发出警告,黑客正在利用流行文件传输工具Crush中的漏洞进行攻击。CrushFTP于3月21日首次向客户发出警告,敦促更新系统以修复CVE-2025-31161漏洞,该漏洞由Outpost24研究人员发现。尽管Outpost24计划等待90天才公开披露,但其他研究人员也发现了该漏洞并提交了自己的CVE编号,导致关键信息被公开,攻击者趁机利用。过去两周内,防御者们持续警告黑客正在利用该漏洞。周一,Kill勒索软件团伙声称已通过该漏洞获取了大量敏感数据,并威胁将立即开始勒索受害者。多家事件响应公司证实,组织正通过该漏洞受到攻击,Shadowserver和Censys均表示互联网上有数百个暴露的CrushFTP实例。CrushFTP发言人表示,公司已敦促客户尽快更新系统,并指出虽然有一些变通方法可以缓解该漏洞,但不会在互联网扫描中显示,可能会影响未修补服务器数量的统计。Huntress的事故响应人员表示,他们已经发现四家不同公司利用了该漏洞,涉及多个行业。
https://therecord.media/crushftp-vulnerability-exploited
5. 美国财政部货币监理署遭黑客入侵,敏感信息面临风险
4月8日,2023年6月,身份不明的攻击者入侵了美国财政部下属的独立机构货币监理署(OCC),获取了超过150,000封电子邮件。OCC负责监管银行和联邦储蓄协会,确保其合规运营。据彭博社报道,威胁行为者在侵入电子邮件系统管理员账户后,获得了监控员工电子邮件的能力。OCC当时向美国网络安全和基础设施安全局报告了此次攻击,称其为涉及其电子邮件系统和多个电子邮件账户的“网络安全事件”,并表示对金融部门无影响。然而,后续调查显示,攻击者访问的电子邮件账户数量远超此前认知,涉及约100个银行监管机构的电子邮件。2025年4月8日,OCC向美国国会通报了2月11日发现的“重大信息安全事件”,并表示受损的系统管理账户已于2月12日被禁用。OCC补充称,攻击者未经授权访问了其多名高管和员工的电子邮件,这些邮件包含高度敏感的联邦监管金融机构财务状况信息。
https://www.bleepingcomputer.com/news/security/hackers-lurked-in-treasury-occs-systems-since-june-2023-breach/
6. Hudson Rock揭HellCat新攻势:Jira凭证成勒索突破口
4月8日,Hudson Rock的网络安全研究人员发现,HellCat勒索软件组织对美国和欧洲的四家公司发起新一轮网络攻击,目标包括Asseco Poland、HighWire Press、Racami和LeoVegas集团。攻击的共同特征是,信息窃取恶意软件在实际攻击发生前窃取了Jira凭证。这些恶意软件变种如StealC、Raccoon、Redline和Lumma Stealer,早在几个月甚至几年前就收集了受感染员工机器上的登录信息。一旦获得凭证,HellCat便登录Atlassian Jira环境,进而进入内部系统,窃取敏感数据并启动勒索软件流程。HellCat此前曾使用相同方法入侵多家知名公司,其策略包括在信息窃取者日志中查找凭证,访问Jira,窃取数据,然后索要赎金。Jira作为许多公司的主要系统,与开发工作流、客户数据、内部文档和系统访问控制紧密相关,因此成为高价值目标。研究人员指出,信息窃取恶意软件感染用户设备并窃取已保存的登录信息、cookie、会话令牌等,这些数据要么在暗网市场上出售,要么被HellCat等组织直接使用。
https://hackread.com/hellcat-ransomware-firms-infostealer-stolen-jira-credentials/
京公网安备11010802024551号