DragonForce勒索软件借SimpleHelp漏洞攻破MSP
发布时间 2025-05-281. DragonForce勒索软件借SimpleHelp漏洞攻破MSP
5月27日,DragonForce勒索软件团伙成功攻破一家托管服务提供商,并利用其SimpleHelp远程监控和管理(RMM)平台实施了一系列恶意活动。Sophos公司受命调查此次攻击,发现威胁行为者利用了SimpleHelp的较旧漏洞,包括CVE-2024-57727、CVE-2024-57728和CVE-2024-57726,来破坏系统。SimpleHelp作为一种商业远程支持和访问工具,常被MSP用于管理系统和部署软件,此次却成为攻击者的利用对象。攻击者首先利用SimpleHelp对客户系统进行侦察,收集设备名称、配置、用户和网络连接等信息。随后,他们试图窃取数据并在客户网络上部署加密器,部分网络因使用Sophos端点保护而拦截了解密器,但其他客户则不幸中招,设备被加密,数据被窃取,并用于双重勒索攻击。Sophos已分享与此次攻击相关的IOC,以帮助组织加强网络防护。长期以来,托管服务提供商一直是勒索软件团伙的重点攻击目标,因一次入侵可能导致多家公司受损。一些勒索软件联盟专门研究MSP常用工具,如SimpleHelp,这导致了如REvil对Kaseya的大规模勒索软件攻击等毁灭性事件。
https://www.bleepingcomputer.com/news/security/dragonforce-ransomware-abuses-simplehelp-in-msp-supply-chain-attack/
2. 俄罗斯网络间谍组织“洗衣熊”涉嫌入侵荷兰警方
5月27日,一个此前不为人知的俄罗斯支持的网络间谍组织“洗衣熊”(Laundry Bear)被追踪到与2024年9月荷兰警方安全漏洞事件有关。荷兰国家警察局去年透露,攻击者窃取了多名警官的工作联系信息,荷兰情报和安全总局(AIVD)与荷兰国防情报和安全局(MIVD)在周二的联合警告中,将“洗衣熊”与此次入侵事件联系起来,并警告称该组织很可能也入侵了其他荷兰组织。调查显示,“洗衣熊”于2024年9月访问了一名荷兰警察雇员的账户,并通过全球地址列表窃取了与工作相关的联系信息,攻击者可能使用了“传递 Cookie”攻击,利用窃取的Cookie冒充所有者,无需用户名或密码即可访问信息。MIVD主管彼得·里斯克表示,该黑客组织成功获取了全球大量组织和公司的敏感信息,对欧盟和北约国家特别感兴趣。“洗衣熊”也被微软称为Void Blizzard,至少自2024年4月以来一直活跃,专注于针对乌克兰和北约成员国发动与俄罗斯战略目标一致的攻击,其策略包括使用窃取的凭证和鱼叉式网络钓鱼电子邮件来突破目标防御,并从受害者的受感染系统中收集和窃取文件和电子邮件。
https://www.bleepingcomputer.com/news/security/russian-void-blizzard-cyberspies-linked-to-dutch-police-breach/
3. 黑客伪造杀毒网站以传播Venom RAT并窃取加密钱包
5月27日,网络安全研究人员近日披露了两起新型恶意活动。其一,攻击者仿冒Bitdefender杀毒软件下载网站“bitdefender-download[.]com”,诱导用户下载含VenomRAT远程访问木马的恶意程序。用户点击该仿冒网站“Download for Windows”按钮后,会触发文件下载流程,但目前相关Bitbucket账户已被封禁。下载的ZIP压缩包中包含整合了VenomRAT木马配置、开源后期利用框架SilentTrinity及StormKitty信息窃取器的可执行文件。VenomRAT作为Quasar RAT变种,具有数据收集与持久化远程控制能力。DomainTools情报团队指出,该钓鱼网站基础设施与多个仿冒加拿大皇家银行、微软服务的恶意域名有关联,这些域名此前已被用于窃取登录凭证的钓鱼活动。攻击技术链显示,VenomRAT、StormKitty与SilentTrinity各司其职,共同完成攻击。研究人员强调,此次活动采用模块化开源组件构建恶意软件体系,提升了攻击效率与隐蔽性。同期,另一起ClickFix式攻击活动也被曝光。攻击者伪造谷歌Meet页面,利用虚假错误提示诱导用户执行特定PowerShell命令,部署混淆批处理脚本实现远程控制。此外,针对Meta的大规模钓鱼活动借助谷歌AppSheet无代码开发平台,绕过邮件安全协议,通过动态生成唯一案例ID规避传统检测系统,伪装成Facebook支持团队诱骗用户点击链接,窃取双因素认证代码。
https://thehackernews.com/2025/05/cybercriminals-clone-antivirus-site-to_4.html
4. Everest Group勒索软件团伙入侵Mediclinic并要求赎金
5月26日,勒索软件团伙Everest Group声称入侵了价值50亿美元的医疗帝国Mediclinic,并威胁除非获得赎金,否则将泄露敏感数据。Mediclinic成立于1983年,在多国运营医院,年收入高达54亿美元。据暗网5月26日通告,该勒索软件团伙窃取了1000名公司员工个人数据及4GB内部机密数据,并要求公司在五天内与其联系并达成协议,否则将释放被盗数据。目前,涉嫌数据泄露的具体范围尚不清楚,但鉴于Mediclinic从事医疗业务,这些数据可能高度敏感,一旦证实,将危及受影响的个人及公司运营。研究人员指出,泄露内部机密文件对员工尤为危险,攻击者可能利用窃取的数据进行身份盗窃、欺诈或网络钓鱼攻击,甚至可能引发对基础设施的进一步攻击或法律行动。Everest Group勒索软件团队据称与俄罗斯的BlackByte集团有联系,自2021年中期以来一直在活动,本月还袭击了跨国软饮料生产商可口可乐,窃取了员工数据及机密文件,并策划了2022年10月针对AT&T的攻击。
https://cybernews.com/security/mediclinic-everest-ransomware-attack/
5. Rhysida勒索团伙声称窃取巴西汽车经销商Carrera的数据
5月26日,近日,与俄罗斯有关联的Rhysida勒索软件团伙声称窃取了巴西知名汽车经销商Carrera的敏感数据,包括护照、合同等,并索要100万美元赎金以掩盖真相。该团伙在暗网发布声明,以典型方式威胁该公司,要求在6月1日前支付巨额赎金,否则将公开数据。Carrera公司总部位于圣保罗,经营多个汽车品牌销售及相关服务。此次勒索攻击可能给公司带来巨额损失,包括资源分配、法律告知、客户赔偿及罚款等,罚款金额可能高达近300万美元。此外,护照复印件泄露可能导致身份盗窃和欺诈,受影响客户可能起诉公司要求赔偿。除经济处罚外,公司还可能遭受声誉损害,影响业务绩效。Rhysida组织以双重勒索手段闻名,已渗透到教育、医疗保健等多个领域,自2023年5月成立以来已造成超过202名受害者。不过,2024年韩国互联网安全局的研究小组已破解该团伙的加密代码,并在其网站上分享了免费的Rhysida解密工具和手册。
https://cybernews.com/security/carrera-chevloret-brazil-ransomware-attack/
6. 黑客声称AT&T重大泄密事件暴露了3100万条记录
5月26日,攻击者近日声称数千万条AT&T记录被泄露至网上,但研究人员认为缺乏足够证据支撑。该事件详情发布于一知名黑客论坛,攻击者称数据集含多达3100万条敏感用户记录,包括客户全名、性别、出生日期、税号、设备ID、CookieID、IP地址、完整地址、电话号码及电子邮件地址等。研究团队调查发现,样本仅含单个用户详细信息,无法验证完整数据库是否真有3100万条记录。不过,假设每个用户暴露信息量相同,则超300万AT&T用户个人信息可能已泄露。研究人员强调,若信息真有3100万行,将是严重用户隐私泄露。尽管目前无法确认泄露事件,但攻击者5月非常活跃,发布了数十条含各种数据的帖子。若AT&T数据泄露被证实,将对受影响个人构成严重网络安全和隐私风险,这些数据足以引发金融欺诈、账户盗用和社会工程攻击。AT&T作为全球最大电信公司之一,年营收超1220亿美元,其庞大规模使其成为黑客攻击目标,去年4月该公司就曾表示客户数据被从第三方云平台非法下载,几乎所有客户都受影响。
https://cybernews.com/security/att-data-breach-millions-records-claimed/
京公网安备11010802024551号