一、 威胁通告
- 伪装更新补丁的Magniber 勒索新变种分析
【发布时间】2022-10-25 13:00:00 GMT
【概述】
Magniber是一款臭名昭著的勒索软件,与常见的Hive及LockBit等勒索家族相比,Magniber更倾向于对个人进行勒索而非企业。由于面向的是个人用户所以通常要求的赎金也不会过高,一般在2500美元左右,且Magniber不具备自动化传播和上传用户文件的功能,因此目前其勒索还停留在仅加密文件这一阶段。
【链接】
https://nti.nsfocus.com/threatWarning
二、 热点资讯
- 疑似统一团伙的两个新勒索组织正针对全球多家公司发起网络攻击
【标签】不区分行业
【概述】
据可靠消息,两个名为TommyLeaks和SchoolBoys的新网络勒索组织正把攻击目标瞄准全球多家公司,但经过调查,背后是系同一团伙所为。前者通过侵入破坏公司网络窃取数据,并索要赎金。相关安全研究院了解到的赎金要求从 40 万美元到 70 万美元不等。后者将窃取数据并加密受害者设备作为勒索攻击的一部分。而该研究院后来发现了一个 SchoolBoys 勒索软件加密器样本,并确认它由泄露的 LockBit 3.0 构建器创建。虽然这两个组织没有公开数据泄露站点,但他们都使用相同的 Tor 聊天系统作为谈判网站,且该聊天系统以前只被卡拉库特勒索小组使用过,这不得不让人怀疑二者背后存在关联。根据相关安全研究院的调查显示:该组织将受害者试图强迫受害者支付赎金。值得注意是是,目前尚不清楚他们为何在运营中使用两个不同的名称,但这一做法与之前Conti 使用Karakurt这一马甲名称相类似。据该研究院的相关消息透露,当 Conti 的勒索软件加密器在攻击中被阻止时,攻击者会使用 Karakurt继续进行攻击。
【参考链接】
https://ti.nsfocus.com/security-news/IlO1n
- 俄罗斯联邦储蓄银行遭遇史上最大规模DDoS攻击
【标签】金融机构
【概述】
根据相关安全新闻报道,俄罗斯最重要的银行之一俄罗斯储蓄银行(Sberbank)遭遇网络攻击。该银行的副总裁在电视台中的发言表示,这是银行遭遇史上最大规模DDoS攻击并且攻击持续了24小时零7分钟。DDoS攻击是一种拒绝服务攻击,涉及至少104000名黑客,他们在不同国家拥有至少30000台电脑。相关的高级管理人员强调,尽管在这种条件下工作非常复杂,但该银行启动了先进的安全协议,并继续不受干扰地运营。该银行高管解释说,他们的团队找到了成功阻止网络攻击的必要资源。值得注意的是,该银行的副总裁表示,从今年到现在,Sberbank的系统至少遭遇了470次网络攻击,超过了过去七年中检测到的所有攻击。
【参考链接】
https://ti.nsfocus.com/security-news/IlO2L
- 澳大利亚健康保险公司Medibank遭受泄露泄露了390万客户数据
【标签】健康保险行业
【概述】
据悉,澳大利亚健康保险公司Medibank披露,在最近的勒索软件攻击之后,其所有客户的个人信息都被未经授权访问。在对这一事件正在进行的调查的更新中,该公司表示,攻击者可以访问大量健康索赔数据以及属于其ahm健康保险子公司和国际学生的个人数据。他们有证据表明,犯罪分子已经删除了其中一些数据,现在很可能犯罪分子窃取了进一步的个人和健康索赔数据。因此,该公司预计受影响的客户数量可能会大幅增长。该公司还表示,它正在继续进行调查,以确定在攻击中窃取了哪些特定数据,并将直接通知受影响的客户此事。这一发展正值该事件成为澳大利亚联邦警察(AFP)调查的主题之际,该公司承认,一名声称已经抽取了200GB数据的犯罪分子已经与它联系。在另一份公告显示,该公司表示已加强其监控能力,以防止将来发生此类攻击并且还估计网络犯罪事件的成本在2500万至3500万澳元之间。值得注意的是,他们的客户被建议对任何网络钓鱼或诈骗诈骗保持警惕,该公司承诺为那些由于这种犯罪而处于独特脆弱地位的人提供免费的身份监控服务和财务支持。
【参考链接】
https://ti.nsfocus.com/security-news/IlO2R
- GuLoader恶意软件伪装成Word文件在韩国分发
【标签】互联网
【概述】
有消息称,相关安全研究院的分析团队发现,GuLoader恶意软件正在分发给韩国企业用户。GuLoader是一个下载器,自过去以来一直稳定分发,下载各种恶意软件。分发的网络钓鱼邮件如下所示,并附加了一个 HTML 文件,而当用户打开附加的 HTML 文件时,将从下面的 URL 下载压缩文件。值得注意的是,下载器恶意软件GuLoader不断被修改和分发以绕过检测 。该安全研究团队建议用户一定要小心谨慎,因为它针对的是韩国用户,用户不应打开来自未知来源的电子邮件中的附件,AhnLab 的反恶意软件产品V3使用以下别名检测并阻止恶意软件。
【参考链接】
https://ti.nsfocus.com/security-news/IlO0T
- 未知的攻击者正在部署Romcom RAT来瞄准乌克兰军方
【标签】军事
【概述】
据观察,新鱼叉式网络钓鱼活动的一部分已经开始,相关安全研究团队观察到名为RomCom RAT的远程访问木马背后的威胁行为者针对乌克兰军事机构。这一发展标志着攻击者的作案手法发生了转变,这此前一直归因于欺骗高级IP扫描仪和pdfFiller等合法应用程序,以在受感染的系统上放置后门。最初的高级IP扫描仪活动发生在2022年7月23日,对于此活动该团队表示,一旦受害者安装了特洛伊木马捆绑包,它就会将RomCom RAT拖放到系统中。虽然该活动之前的迭代涉及使用特洛伊木马化的高级IP扫描仪,但身份不明的敌对集体已切换到pdfFiller,这表明部分对手积极尝试改进战术并阻止检测。这些相似的网站托管一个流氓安装程序包,导致部署RomCom RAT,该RAT能够收集信息和捕获屏幕截图,所有这些都导出到远程服务器。对手针对乌克兰军方的最新活动是一个背离,因为它使用带有嵌入式链接的网络钓鱼电子邮件作为初始感染媒介,导致一个虚假网站丢弃下一阶段的下载器。值得注意的是,除乌克兰军方外,该活动的其他目标还包括美国,巴西和菲律宾的IT公司,食品经纪人和食品制造实体。
【参考链接】
https://ti.nsfocus.com/security-news/IlO2h
- 威胁组织使用新的WarHawk后门来攻击巴基斯坦的实体
【标签】军事
【概述】
据悉,有一个名叫响尾蛇的威胁组织是一个多产的民族国家行为者,主要以针对巴基斯坦军事实体而闻名,它破坏了国家电力监管局(NEPRA)的官方网站,以提供一种名为WarHawk的定制恶意软件。相关安全研究院的研究人员表示:新发现的WarHawk后门包含各种提供钴打击的恶意模块,并结合了新的TTP,如内核CallBackTable注入和巴基斯坦标准时区检查,以确保胜利的战役。该威胁组织也被称为APT-C-17,响尾蛇和剃刀虎,被怀疑是印度国家赞助的团体。就其本身而言,WarHawk伪装成合法的应用程序,如华硕更新设置和Realtek高清音频管理器,以引诱毫无戒心的受害者执行,导致系统元数据泄露到硬编码的远程服务器,同时还从URL接收额外的有效载荷。这包括一个命令执行模块,它负责在从命令和控制服务器接收的受感染机器上执行系统命令,一个文件管理器模块,它递归枚举不同驱动器中存在的文件,以及一个上传模块,它将感兴趣的文件传输到服务器。使用上述命令执行模块作为第二阶段有效载荷部署的还有钴打击加载程序,它验证主机的时区以确认其与巴基斯坦标准时间(PKT)匹配,否则进程将终止。如果所有反分析检查都成功通过,加载程序将使用称为 KernelCallbackTable 进程注入的技术将外壳代码注入记事本.exe进程中,恶意软件作者一篇技术文章中获取源代码,然后,外壳代码解密并加载Beacon。根据相关安全研究院的说法,攻击活动与SideWinder APT的连接源于网络基础设施的重用,该网络基础设施已被确定为该组织在先前针对巴基斯坦的间谍活动中使用的网络基础设施。
【参考链接】
https://ti.nsfocus.com/security-news/IlO1v
- 伊朗核机构称电子邮件服务器遭到黑客攻击
【标签】军工业
【概述】
据悉,伊朗媒体于10月23日星期日报道:该国的原子能组织宣布,属于其子公司之一的电子邮件服务器已被外国政府机构黑客入侵,其信息在网上发布。黑客组织Black Reward在相关平台上发表的一份声明中表示:它已经发布了与伊朗核活动有关的黑客信息。他们宣布这一行动是对伊朗抗议者的支持。他们的声明以代表Mahsa Amini和妇女,生命,自由结束。这是对他上个月在道德警察拘留期间死亡所引发的抗议活动的支持。据相关消息称,发布的信息包括布什尔发电厂各部分的管理和运营时间表、在那里工作的伊朗和俄罗斯专业工人的护照和签证,以及与国内外合作伙伴的原子开发合同和协议。原子能组织公共外交事务和信息总部淡化了所发布信息的重要性,称此举是为了吸引公众关注。值得注意的是,用户电子邮件中的内容包含定期和最新的日常技术和交流信息。根据官方媒体报道,该黑客组织在发表的一份声明中威胁说,除非当局释放政治犯和在骚乱期间被捕的人,否则将在24小时内发布被入侵的信息。
【参考链接】
https://ti.nsfocus.com/security-news/IlO0P
- 医疗保健系统倡导者 Aurora 健康数据泄露可能影响3,000,000患者
【标签】医疗
【概述】
据悉,医疗保健系统倡导者Aurora Health(AAH)披露了一起数据泄露事件,该数据泄露了3,000,000名患者的个人数据。医疗保健系统在威斯康星州和伊利诺伊州运营着26家医院。数据泄露的根本原因是在组织网站上不当使用Meta Pixel。元像素是 JavaScript 代码的一个片段,允许管理员跟踪其网站上的访问者活动。受感染的网站包含患者输入的敏感个人和医疗信息。隐私专家指出,Meta Pixel代码也被许多其他医院使用,它将敏感数据发送到Meta,后者将其用于营销目的。倡导者Aurora Health假设所有拥有该系统MyChart帐户的患者(包括LiveWell应用程序的用户)以及在该系统平台上使用调度小部件的任何患者都可能受到影响。值得注意的是,用户可能受到影响的方式取决于多种因素,例如他们选择的浏览器、浏览器的配置、Cookie的管理以及他们是否有Facebook或谷歌帐户。而医疗保健系统已在所有网站和应用程序上禁用了Pixel跟踪器,并正在评估如何降低未来数据泄露的风险。倡导者Aurora Health建议患者阻止或删除 Cookie 或使用支持隐私保护操作的浏览器。
【参考链接】
https://ti.nsfocus.com/security-news/IlO0R
- 新的加密劫持活动kissa-dogtop瞄准码头工人和库伯内特斯
【标签】不区分行业
【概述】
有消息称,攻击者正在瞄准易受攻击的Docker和Kubernetes基础设施。该活动被称为kissa-dogtop,即亲吻狗活动。该活动利用主机装载从容器中逃脱。这是加密矿工打破容器的常用技术,并且通常很成功,因为它相对容易针对暴露于互联网的Docker表面。根据相关安全研究人员的说法表示,大约有 10,000 个暴露在互联网上的 Docker 实例。在Kiss-a-dog中,攻击者使用二吗啡和libprocesshide根基来隐藏用户的过程。这些 rootkit 可以对用户隐藏处理器。他们的主要动机是挖掘加密货币并使用内核和用户模式根工具包来逃避检测。为此,攻击者依赖于XMRig挖矿软件。此活动背后的另一个目标是针对尽可能多的易受攻击的 Docker 和 Redis 实例。攻击者在受感染的容器上下载/编译网络扫描程序,如大规模扫描、pnscan 和 zgrab。这些工具随机扫描互联网上的IP范围,以检测易受攻击的Docker和Redis服务器实例。
【参考链接】
https://ti.nsfocus.com/security-news/IlO2l
- 批发巨头METRO证实遭受网络攻击导致IT基础设施中断
【标签】批发运输业
【概述】
有消息称,批发巨头METRO遭到网络攻击,导致IT基础设施中断。Metro在全球拥有681家门店,员工人数超过95,000人,其中大部分在德国,2020年的销售额达到248亿欧元。METRO中断影响了全球商店,因为他们含有巨额国际现金和运输业务。该公司在官方声明中证实了网络攻击,它正在相关安全研究院的帮助下调查这一事件:METRO目前正经历部分IT基础设施中断,因为多项技术服务。麦德龙的IT团队与外部专家一起,立即展开了彻底的调查,以确定服务中断的原因。分析的最新结果证实,对METRO系统的网络攻击是IT基础设施中断的原因。这家批发巨头通知了有关当局,并警告客户,由于服务中断,可能会发生延误。为了应对中断,商店中的团队建立了离线系统来处理付款。值得注意的是,目前,该公司没有提供有关攻击的技术细节,但METRO面临的问题表明它是勒索软件攻击的受害者。
【参考链接】
https://ti.nsfocus.com/security-news/IlO0N
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。