一、热点资讯
- 黑客组织对印度政府网站发起了一系列数字攻击
【标签】政府
【概述】
来自马来西亚的一个名为 DragonForce 的黑客组织对印度驻以色列大使馆、国家农业推广管理研究所和印度农业研究委员会门户网站的电子门户发起了一系列数字攻击。现在有消息称,在短短 33 小时内,来自印度的大约 70 个网站遭到了数字攻击,并警告说,如果政府不对现在被停职的 BJP 女发言人采取任何严厉行动,将会发生更多此类攻击。大多数目标是德里公立学校、Bhavans 和共生研究所等教育机构。
【参考链接】
https://ti.nsfocus.com/security-news/IlNAC
- 伊朗攻击者对以色列和美国前高级官员进行鱼叉式网络钓鱼活动
【标签】不区分行业
【概述】
研究人员揭露了最近在伊朗开展的针对前以色列官员、高级军事人员、研究机构研究员、智囊团和以色列公民的鱼叉式网络钓鱼行动。这些攻击使用定制的网络钓鱼基础设施,以及大量假冒电子邮件帐户来冒充受信任的一方。为了与新目标建立更深的信任,威胁参与者对一些受害者的收件箱进行了帐户接管,然后劫持了现有的电子邮件对话,以从目标和受信任方之间已经存在的电子邮件对话开始攻击,并以此为幌子继续对话。为了方便他们的鱼叉式网络钓鱼操作,攻击者操作了一个虚假的 URL 缩短 器 Litby[.]us来伪装网络钓鱼链接,并利用合法的身份验证服validation.com来盗取身份证件。
【参考链接】
https://ti.nsfocus.com/security-news/IlNBk
- 黑客使用新的黑客工具“PingPull”攻击电信和政府部门
【标签】企业
【概述】
一个名为 GALLIUM 的 APT 组织最近一直在使用一种新的、难以检测的远程访问木马 PingPull。威胁参与者可以使用 PingPull 访问受感染的主机,PingPull 是一个运行命令并访问反向 shell 的 Visual C++ 应用程序。在 PingPull 中,没有功能区分的三个版本,但每个版本都使用自己的一组协议与其 C2 进行通信。可能有不同的 C2 协议,因为参与者可能会根据初步侦察部署适当的变体,以规避与特定网络检测相关的特定检测方法/工具。为了解密这些命令,信标需要一对硬编码密钥来解密它们,因为它们是从 C2 以 AES 加密形式发送的。
【参考链接】
https://ti.nsfocus.com/security-news/IlNB5
- 攻击者利用Panchan僵尸网络对教育部门的Linux服务器进行网络攻击
【标签】企业
【概述】
安全研究人员发现了一个新的基于 Golang 的 P2P 僵尸网络,被跟踪为 Panchan,它的目标是自 2022 年 3 月以来一直处于活动状态的 Linux 服务器。Panchan 使用基本的 SSH 字典攻击来实现可蠕虫行为,它还收集 SSH 密钥并将其用于横向移动。该机器人使用“其内置的并发功能来最大限度地提高可传播性并执行恶意软件模块。研究人员观察到恶意软件实施了“上帝模式”,这是一个管理面板,操作员使用它来编辑挖掘配置,然后将其分发到僵尸网络的所有节点。观察到威胁参与者使用私钥访问 Godmode,以防止不必要的篡改,bot 包含与上述私钥关联的公钥,用于验证连接。管理面板是用日语编写的,这种情况表明威胁参与者可能来自日本。专家们对僵尸程序进行了逆向工程,他们还能够开发一个脚本来映射僵尸网络并提取受感染机器的完整列表。在分析时,研究人员发现了 209 名同行,其中 40 名目前处于活跃状态。大多数感染发生在亚洲 (64),其次是欧洲 (52)、北美 (45)、南美 (11)、非洲 (1) 和大洋洲(1) 。一旦感染了系统,该机器人就会对 Discord Webhook 启动 HTTPS POST 操作,运营商可能会使用该 Webhook 来监控受害者。
【参考链接】
https://ti.nsfocus.com/security-news/IlNB3
- 黑客组织通过VHD勒索软件发起金融攻击
【标签】金融
【概述】
研究人员发现,加密货币窃贼集团Lazarus似乎正在扩大其攻击范围,通过使用勒索软件来敲诈亚太地区(APAC)地区的金融机构和其他目标。而金融交易中出现的新型VHD的勒索软件菌株因为与以前恶意软件中的病毒具有相似之处,因此研究人员也将该病毒菌株与朝鲜威胁行为者(也称为Unit 180或APT35)联系起来。在过去的几年里,网络安全公司研究人员一直在跟踪研究他们所认为的朝鲜网络军队对金融机构的攻击——该网络军队通常来自于一个名为Lazarus集团的组织。该组织一直因被认为是通过洗钱计划窃取加密货币,并以此为朝鲜政府筹集相关资金而出名。
【参考链接】
https://ti.nsfocus.com/security-news/IlNAr
- FIN12利用Microsoft Exchange Server传播BlackCat 勒索软件
【标签】不区分行业
【概述】
Microsoft Exchange Server 正成为传播 BlackCat 勒索软件的目标,并且有信息表明,黑客利用系统上未修补的漏洞来引入上述文件加密恶意软件。微软已经注意到了这一情况,并怀疑这些黑客攻击是由一个与勒索软件即服务操作有关联的团伙进行的,并要求其所有交换服务器遵循 3 月 14 日发布的建议,以减轻 ProxyLogon 攻击。
【参考链接】
https://ti.nsfocus.com/security-news/IlNAR
- 俄沙虫组织利用Follina漏洞入侵乌克兰重点机构
【标签】政府
【概述】
俄罗斯黑客组织Sandworm可能正在利用名为Follina的漏洞,这是Microsoft Windows 支持诊断工具 (MSDT) 中的一个远程代码执行漏洞,编号为CVE-2022-30190,它可以通过打开或选择特制文档来触发其中的安全漏洞,威胁行为者至少自2022年4月以来一直在攻击中利用它。值得注意的是,乌克兰情报机构以中等可信度评估,认为这场恶意活动的背后是“Sandworm”黑客组织。
【参考链接】
https://ti.nsfocus.com/security-news/IlNAS
- 攻击者利用被盗的医疗记录冒充合法患者对医疗机构发起网络攻击
【标签】医疗
【概述】
总部位于马萨诸塞州的Shields医疗集团收到了可能导致数据泄露的可疑活动的通知。经过调查,发现一名威胁行为人在今年3月7日至3月21日期间非法访问了Shields系统。Shields的一位代表表示,该组织在发现入侵时通知了联邦执法部门,并将通知可能受到影响的任何个人。希尔兹向美国卫生部和公共服务民权办公室报告了此次袭击,称200万人可能受到影响。可能访问的患者数据类型包括姓名、社会保险号、出生日期、家庭地址、提供者信息、诊断、账单信息、保险号和信息、病历号、患者ID以及其他医疗或治疗信息。
【参考链接】
https://ti.nsfocus.com/security-news/IlNAt
- Kaiser Permanente披露近7万份医疗记录数据泄露
【标签】医疗
【概述】
在 6 月 3 日致受影响客户的一封信中透露,攻击者获得了华盛顿 Kaiser Foundation Health Plan 一名员工的电子邮件,其中包含“受保护的健康信息”。美国卫生与公众服务部民权办公室目前也在调查违规行为,根据其网站上的一份清单,该清单声称该事件影响了 69,589 人。
【参考链接】
https://ti.nsfocus.com/security-news/IlNAQ
- 攻击者利用Linux 恶意软件“Symbiote”攻击拉丁美洲金融业
【标签】金融
【概述】
研究人员发现了一种名为“Symbiote”的新型 Linux 恶意软件,该恶意软件正被用于针对拉丁美洲的金融机构。安全研究员上周发布了一份报告,强调了出于经济动机的活动,并指出Symbiote与其他Linux恶意软件的不同之处在于“它需要感染其他正在运行的进程才能对受感染的机器。研究人员说它不是以感染机器的一个运行文件,而不是一个共享对象(SO)库,它使用 LD_PRELOAD(T1574.006) 加载到正在运行的所有远程进程中,并寄送在运行的进程中。如果它感染了正在运行的进程,它就为攻击者提供了rootkit的功能、获取的能力和访问能力。研究人员表示,他们在 2021 年 11 月发现了 Symbiote,并解释说,一旦它感染了一台机器,它就会隐藏自己和威胁参与者使用的任何其他恶意软件,使得感染很难被发现。该恶意软件在取证调查期间很难被发现,并为威胁行为者提供了一个后门,可以使用硬编码密码以机器上的任何用户身份登录,并以最高权限执行命令。该恶意软件甚至具有隐藏受感染机器上的网络活动的功能。
【参考链接】
https://ti.nsfocus.com/security-news/IlNAE
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。