2024年4月,全球网络安全领域面临多起恶意软件和勒索软件的重大事件,以下是本月关键动态的总结:
DragonForce勒索软件:研究揭示DragonForce勒索软件可能基于泄露的LOCKBIT Black构建器生成,显示了恶意软件间的代码复用和技术扩散。
Cactus勒索软件攻击:数千台Qlik Sense服务器遭受Cactus勒索软件攻击,表明即使在漏洞被警告后,许多组织仍未能及时修补,导致持续受到威胁。
Electron恶意程序:研究人员发现利用Electron框架制作的恶意程序,通过NSIS安装程序传播,实施窃密行为,显示了攻击者利用广泛使用的开发工具进行恶意活动的趋势。
Megazord勒索软件:针对医疗和政府机构的Megazord勒索软件利用Rust语言编写,采用高级攻击手段,如鱼叉式网络钓鱼和漏洞利用,显示了对关键基础设施的针对性威胁增加。
npm包诈骗:社会工程活动通过伪造的npm包针对软件开发人员,利用求职面试的幌子植入Python后门,突显了供应链攻击的新策略。
Brokewell安卓恶意软件:Brokewell恶意软件的出现,展示了针对安卓设备的持续威胁,具备远程控制和数据窃取能力,通过虚假更新页面传播。
Skanlog勒索软件攻击:瑞典饮料供应商Skanlog遭受勒索软件攻击,导致物流中断,影响了全国酒精饮料供应,凸显了供应链中断的潜在风险。
此外,本月还出现了诸如MadMxShell后门、Redline窃密木马的创新传播方式、Cherry Health医疗保健供应商的勒索软件攻击、网络钓鱼平台LabHost的关闭、HelloKitty勒索组织更名与数据泄露、针对Atlassian服务器的Cerber勒索软件攻击、以及多种针对移动设备和社交媒体用户的恶意软件活动,如SoumniBot、eXotic Visit间谍软件、SecTopRAT、以及通过YouTube和社交媒体传播的多种信息窃取恶意软件等。这些事件共同描绘出2024年4月网络安全威胁环境的高度复杂性和多样性,强调了加强防护措施、提高用户意识以及及时响应的重要性。
本月勒索软件动态详细信息如下:
1、DragonForce勒索软件可能由泄露的LockBit构建器生成
https://cyble.com/blog/lockbit-blacks-legacy-unraveling-the-dragonforce-ransomware-connection
DragonForce勒索组织于2023年11月开始进行勒索攻击活动,并针对受害者采用双重勒索策略。研究人员最近发现了一个基于LOCKBIT Black勒索软件的DragonForce勒索软件样本。LOCKBIT Black是LOCKBIT勒索软件的第三种变体。研究人员对使用泄露的LOCKBIT勒索软件构建器生成的二进制文件和DragonForce勒索软件进行了比较,发现两者在代码结构和功能上存在很大的相似之处。研究人员认为,DragonForce勒索软件背后的攻击者很可能利用泄露的LOCKBIT Black构建器来生成他们的勒索软件。
2、数千台Qlik Sense服务器受Cactus 勒索软件攻击
https://www.freebuf.com/news/399688.html
在安全研究人员警告 Cactus 勒索软件团伙利用 Qlik Sense 数据分析和商业智能 (BI) 平台中的三个漏洞的近五个月后,许多组织仍在面临该勒索团伙的威胁。
3、研究人员发现利用Electron制作的恶意程序
https://asec.ahnlab.com/en/64445
研究人员发现了一种由Electron制成的窃密木马样本。Electron应用程序使用NSIS安装程序,攻击者利用Electron将恶意程序打包在NSIS安装程序中。研究人员发现两种案例:一种是攻击者将恶意代码添加至JS脚本中,由于Electron通过node.js与操作系统交互,因此攻击者利用这一点执行恶意代码,窃取用户的信息;第二种则是恶意程序伪装成TeamViewer相关文件并将收集到的用户信息上传到gofile中,上传的数据包括系统信息、浏览器历史记录以及保存的ID和密码信息。
4、Megazord勒索软件针对医疗和政府机构进行攻击
https://cybersecuritynews.com/megazord-ransomware-attacks
Megazord是一种针对医疗保健、教育和政府机构、使用Rust开发的勒索软件。其传播通常始于鱼叉式网络钓鱼以及漏洞利用。其攻击者使用RDP和IP扫描器来检测受害者内部网络并横向移动,入侵后会在加密本地数据存储和文件之前终止进程和服务。该勒索软件对加密的文件添加“POWERRANGES”扩展名,并在每个受影响的文件夹中写入一个名为“powerranges.txt”的勒索信。该勒索信指示受害者使用唯一的Telegram频道链接通过TOX联系攻击者。此外,Megazord与Akira有几处相似代码,因此它被认为可能与Akira勒索软件存在关联。
5、伪造的npm 包用于诱骗软件开发人员安装恶意软件
https://thehackernews.com/2024/04/bogus-npm-packages-used-to-trick.html
一项正在进行的社会工程活动针对软件开发人员,以求职面试为幌子,使用伪造的 npm 软件包来诱骗他们下载 Python 后门。
6、研究人员发现一种名为“Brokewell”的新型安卓恶意软件
https://www.threatfabric.com/blogs/brokewell-do-not-go-broke-by-new-banking-malware
安全研究人员发现了一种新的安卓恶意软件,并将其命名为Brokewell。Brokewell仍在积极开发中,并具有设备接管和远程控制功能。研究人员在一个虚假的Chrome更新页面中发现了Brokewell,该页面将会诱导用户下载安装Brokewell。Brokewell的主要功能是窃取数据并为攻击者提供远程控制。研究人员称,Brokewell背后的开发人员是一个自称Baron Samedit的人。
7、瑞典饮料供应商Skanlog遭受勒索软件攻击
https://cybernews.com/news/skanlog-ransomware-sweden-alcohol-supplier
瑞典饮料供应商Skanlog最近遭到勒索软件攻击。这次攻击影响了该公司的IT系统,导致3个大型饮料仓库无法将货物运送到Systembolaget的零售店。Systembolaget是一家国有连锁酒类商店,是瑞典唯一一家允许销售酒精含量超过3.5%的酒精饮料的连锁店。根据Systembolaget的声明,Skanlog的供应中断影响了该零售商四分之一的销售额。虽然目前不存在饮料短缺,但整体情况将取决于Skanlog恢复运营的速度。该供应商无法确定何时能够恢复运输。
8、攻击者滥用Autodesk Driver托管恶意PDF文件
https://www.netcraft.com/blog/autodesk-hosting-pdf-files-used-in-microsoft-phishing-attacks
Autodesk Drive是一个数据共享平台,供组织在云中共享文档和文件。研究人员近期发现一个攻击活动,该活动滥用Autodesk Driver平台来托管恶意PDF文件,从而对受害者进行网络钓鱼攻击。攻击者针对目标用户发送钓鱼邮件,当受害者单击这些电子邮件中的Autodesk Driver链接时,他们将看到链接中的PDF文档,该文档中嵌入了另一个网络钓鱼链接,该链接指向一个虚假的微软登录页面中,旨在窃取受害者的用户名及密码。
9、PlugX又有新变种,感染250万个服务器
https://www.freebuf.com/news/399440.html
bleepingcomputer网站消息,近日,网络安全公司Sekoia的研究人员成功接管了一个PlugX恶意软件变种的命令和控制(C2)服务器,六个月内监测到超过250万个独立IP地址的连接。自去年9月Sekoia公司捕获了与特定C2服务器相关联的唯一IP地址以来,这个服务器每天都会收到来自超过170个国家感染主机的9万多个请求。
10、MuddyWater组织利用RMM工具传播恶意软件
https://harfanglab.io/en/insidethelab/muddywater-rmm-campaign/
研究人员表示,至少至2021年以来,MuddyWater组织一直依赖合法的远程监控和管理(RMM)软件进行网络攻击活动,包括ScreenConnect、Syncro、SimpleHelp、RemoteUtilies以及最近的Atera Agent。近期MuddyWater组织在攻击活动中利用Atera的免费试用版本。在此活动中看到的Atera Agent使用了受感染的商业和私人电子邮件账户进行注册。研究人员认为攻击者可能通过各种方法获取这些帐户,例如密码喷射、利用重复使用的密码、利用数据泄露的凭据,甚至购买这些账户。该组织使用免费的文件托管平台来托管RMM安装程序,并利用鱼叉式网络钓鱼电子邮件进行传播。这些电子邮件包含指向各种文件共享网站的链接,这些网站要么托管Atera Agent安装程序,要么提供对安装程序本身的直接访问。
11、GitHub曝漏洞,可被黑客利用伪装成“微软”分发恶意软件
https://www.ithome.com/0/763/606.htm
GitHub 目前已经删除了部分恶意软件链接,对尚未完全修复该漏洞。对于开发者而言,现阶段没有足够有效的方法阻止这种滥用,唯一的方案就是完全禁用 comment。
12、研究人员披露一种名为Sharpil RAT的恶意软件
https://www.gdatasoftware.com/blog/2024/04/37894-sharp-info-stealer
Sharpil RAT由C#编写,运行后立即尝试与Telegram bot建立连接。攻击者利用Telegram bot与恶意软件进行通信,发送命令以收集系统信息以及计算机中已安装的浏览器信息(如Google Chrome、Yandex、Brave、Edge、Slimjet、Comodo和UR浏览器)。此外,它还从Minecraft游戏服务器“Vime World”收集受害者的地理位置和用户信息。该恶意软件中使用的Telegram bot指向一个使用俄语的攻击者,该攻击者以10美元(租金)和30美元(永久买断)的价格对恶意软件进行出售。该Telegram频道创建于2024年4月3日,并发布了两条带有小更新的消息。
13、黑客利用eScan更新机制中的缺陷传播GuptiMiner
研究人员发现并分析了一个恶意软件活动,该活动劫持了反病毒产品eScan的更新机制中的缺陷,通过执行中间人攻击投放后门和挖矿程序。GuptiMiner是一种长期存在的恶意软件,可以追溯到2018年或者更早的时间。研究人员发现,通过观察Kimsuky使用的键盘记录器与GuptiMiner中部分操作之间的相似之处,GuptiMiner可能与APT组织Kimsuky存在联系。
14、UnitedHealth已向勒索组织支付赎金
UnitedHealth集团已确认向网络犯罪分子支付赎金,以保护在2月下旬勒索软件攻击期间被盗的敏感数据。该公司称,此次网络攻击造成了8.72亿美元的经济损失。研究人员检查了RansomHub勒索组织的数据泄露网站,可以确认攻击者已将UnitedHealth从其受害者名单中删除。该公司向患者保证,只有22张被盗文件的屏幕截图被发布在暗网上,其中一些包含个人身份信息,目前没有发现该事件中泄露的其他数据。
115、LockBit声称从Tyler Technologies窃取数据
https://www.securityweek.com/ransomware-gang-leaks-data-allegedly-stolen-from-government-contractor
LockBit勒索组织声称从政府承包商Tyler Technologies窃取了数据。该勒索组织声称拥有800Gb与DISB、美国证券交易委员会(SEC)、特拉华州银行机构和其他金融机构相关的数据,并威胁说除非支付赎金,否则将会泄露这些数据。这些数据似乎是在3月下旬从DISB的STAR系统客户端窃取的,当时该组织对公共部门的软件和服务提供商Tyler Technologies进行了网络攻击。在4月19日的公告中,Tyler证实据称从STAR系统窃取的信息已在网上泄露,但表示尚未确定数据泄露的全部范围。该承包商表示,可能泄露的信息可能包括姓名、出生日期、社会安全号码、驾驶执照号码和其他信息。
16、CoralRaider 利用 CDN 缓存传播恶意软件
https://www.freebuf.com/news/399090.html
近日,有研究人员发现,在针对美国、英国、德国和日本系统的攻击活动中,有黑客使用了网络缓存来传播恶意软件。研究人员认为,该活动的幕后黑手是 CoralRaider。该组织曾发起过多次窃取凭证、财务数据和社交媒体账户的攻击活动。此外该黑客还提供 LummaC2、Rhadamanthys 和 Cryptbot 信息窃取程序,这些信息窃取程序可在恶意软件即服务平台的地下论坛上获得,但需要支付订阅费。
17、医疗实验室Synlab Italia遭受勒索软件攻击
Synlab Italia遭受勒索软件攻击,并已暂停其所有医疗诊断和测试服务。该公司称在4月18日凌晨发生了安全事件,这迫使其关闭了所有计算机以限制网络攻击活动。受此事件影响,所有化验分析及样本采集服务均已暂停,恢复时间将另行通知。建议客户使用电话联系Synlab,因为其电子邮件通信服务处于离线状态。该公司在最新更新的公告中称,他们已开始逐步重新启动一些服务,包括专科门诊就诊和物理治疗。同时,正在努力确保IT基础设施中不再存在恶意软件,并从备份中恢复系统。目前还没用勒索组织宣称发起此次攻击。
18、Octapharma Plasma遭受BlackSuit勒索软件攻击
https://www.theregister.com/2024/04/18/ransomware_octapharma_plasma
由于遭受网络攻击,Octapharma Plasma在美国各地的150多个中心的网络系统持续关闭。一位知情人士表示,Octapharma Plasma遭受的是BlackSuit勒索软件攻击,攻击者通过入侵该公司的VMware系统投放该勒索软件。BlackSuit是一种相对较新的勒索软件,它与Royal共享代码,甚至可能是该勒索组织的重塑。
19、Akira 勒索软件肆虐,250 多家机构惨遭毒手
https://www.freebuf.com/news/398648.html
据美国联邦调查局(FBI)和其他当局称,在不到一年的时间里,以多重勒索策略著称的 "Akira "勒索软件团伙已从250多个受影响的组织中获得了约 4200 万美元的勒索软件收益。
20、OfflRouter 恶意软件在乌克兰躲避检测近十年
https://www.anquanke.com/post/id/295771
OfflRouter 的作案手法几乎保持不变,VBA 宏嵌入的 Microsoft Word 文档会删除名为“ctrlpanel.exe”的 .NET 可执行文件,然后该文件会感染系统和其他设备上发现的具有 .DOC(而非 .DOCX)扩展名的所有文件。
21、攻击者通过虚假的游戏作弊器传播Redline窃密木马
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/redline-stealer-a-novel-approach/
研究人员称,新的Redline窃密木马利用Lua字节码来规避检测,将恶意软件注入合法进程,并利用即时(JIT)编译。攻击者通过虚假的“Cheat Lab”和“Cheater Pro”的游戏作弊工具传播Reline窃密木马。该恶意软件以ZIP文件的形式进行传播,其中包含一个MSI安装程序,该安装程序在启动时解压缩两个文件(compiler.exe和lua51.dll),并释放一个包含恶意Lua字节码的“readme.txt”文件。此外,该恶意程序还会弹出弹窗以诱导用户将恶意安装程序分享给好友。安装后,compiler.exe程序编译存储在readme.txt 文件中的Lua字节码并执行,然后通过创建计划任务来设置持久性。
22、研究人员披露一种名为“MadMxShell”的后门
https://www.zscaler.com/blogs/security-research/malvertising-campaign-targeting-it-teams-madmxshell
从2024年3月开始,研究人员发现攻击者利用一组伪装成合法IP扫描软件的网站,传播一种未曾发现的后门。攻击者使用拼写错误的手段注册了多个相似的域名,并利用Google广告将这些恶意域名推送到针对特定搜索关键字的搜索引擎结果顶部,从而引诱受害者访问这些网站。此次新发现的后门使用了多种技术,例如DLL侧加载、滥用DNS协议与命令和控制(C2)服务器通信、以及规避内存取证。研究人员将此后门命名为“MadMxShell”,因为它使用DNS MX查询进行C2通信,并且C2请求之间的间隔非常短。
23、美国医疗保健供应商Cherry Health遭受勒索软件攻击
https://cybernews.com/news/cherry-health-ransomware-attack/
在2024年4月16日的数据泄露通知信中,Cherry Health表示,他们经历了一起涉及患者个人数据的数据泄露事件。Cherry Health遭受了勒索软件攻击,勒索组织渗透受害者的网络、窃取和加密数据,然后要求支付赎金以换取失窃数据。涉及的数据包括名字和姓氏以及以下一个或多个数据元素的组合:名字、地址、电话号码、出生日期、健康保险信息、健康保险身份证号码、患者 ID 号、提供程序名称、服务日期、诊断/治疗信息、处方信息、财务账户信息、社会安全号码。
24、网络钓鱼即服务平台LabHost被执法部门关闭,37人被捕
https://cybernews.com/news/labhost-seized-by-law-enforcement/
网络钓鱼即服务平台LabHost已被执法部门关闭,并有37名嫌疑人被逮捕。根据欧洲刑警组织的说法,LabHost曾经是全球网络犯罪分子的重要工具,因为网络犯罪即服务已成为犯罪世界中发展最快的商业模式之一。通过按月订阅,LabHost提供了网络钓鱼工具包、用于托管页面的基础设施、用于与受害者互动的交互式功能以及活动概述服务。在2024年4月14日至17日期间,37名嫌疑人被确认并被逮捕。
25、HelloKitty勒索组织更名为HelloGookie
HelloKitty勒索组织声称他们将名称更改为“HelloGookie”,并公开了以前窃取的CD Projekt源代码、思科网络信息和一些解密密钥。发布该公告的攻击者名为“Gookee/kapuchin0”,声称是现已解散的HelloKitty勒索组织的原创始人。攻击者同时发布了4个可用于解密旧攻击活动中加密文件的解密密钥、2022年从思科窃取的内部信息,以及2021年从游戏公司CD Projekt窃取的Gwent、Witcher 3和Red Engine的源代码。
26、攻击者针对存在漏洞的Atlassian服务器部署Cerber勒索软件
https://www.cadosecurity.com/blog/cerber-ransomware-dissecting-the-three-heads
攻击者正在针对存在漏洞的Atlassian服务器部署Cerber(又名C3RB3R)勒索软件的Linux变种。这些攻击利用了CVE-2023-22518(CVSS 评分:9.1),这是一个影响Atlassian Confluence数据中心和服务器的严重安全漏洞,允许未经身份验证的攻击者重置Confluence并创建管理员帐户。研究人员称,已观察到出于经济动机的网络犯罪组织滥用新创建的管理员帐户来安装Effluence Web shell插件并在主机上执行任意命令,攻击者使用这个Web shell下载并运行Cerber勒索软件。
27、研究人员披露名为SoumniBot的新型安卓恶意软件
https://securelist.com/soumnibot-android-banker-obfuscates-app-manifest/112334
研究人员近期发现一种名为“SoumniBot”的新安卓恶意软件,使用一种不太常见的混淆方法,该方法使SoumniBot能够规避安卓手机中的标准安全措施并执行信息窃取操作。清单文件(“AndroidManifest.xml”)位于每个应用的根目录中,包含有关组件(服务、广播接收器、内容提供商)、权限和应用数据的详细信息。恶意APK可以使用Zimperium的各种压缩技巧来欺骗安全工具并规避分析,但研究人员发现,SoumniBot使用了三种不同的方法,涉及操纵清单文件的压缩和大小,以绕过解析器检查。该恶意软件启动后,从硬编码的服务器地址请求其配置参数,并发送受感染设备的分析信息,包括编号、运营商等。接下来,它会启动一个恶意服务,如果停止,该服务每16分钟重新启动一次,并每15秒传输一次来自受害者的被盗数据,窃取的详细信息包括IP地址、联系人列表、帐户详细信息、短信、照片、视频和网上银行数字证书。
28、Cerber 勒索软件的 Linux 变体针对 Atlassian 服务器
https://securityaffairs.com/161962/cyber-crime/cerber-ransomware-cve-2023-22518-atlassian.html
威胁参与者正在利用 Atlassian 服务器中的 CVE-2023-22518 缺陷来部署 Cerber(又名 C3RB3R)勒索软件的 Linux 变体
29、Muddled Libra将勒索攻击的重点转向SaaS和云计算
https://thehackernews.com/2024/04/muddled-libra-shifts-focus-to-saas-and.html
该威胁行为者战术演变的关键方面是利用侦察技术识别管理用户,伪装成技术支持人员通过电话获取其密码时进行定位。
30、Daixin勒索组织声称攻击Omni Hotels
https://www.bleepingcomputer.com/news/security/daixin-ransomware-gang-claims-attack-on-omni-hotels
Daixin Team勒索组织声称最近对Omni Hotels & Resorts进行了网络攻击,并威胁受害者支付赎金。尽管Daixin Team现在已将这家连锁酒店添加到他们的数据泄漏站点,但攻击者尚未发布能够证实他们说法数据样本,只是称他们将很快泄露据从Omni Hotels服务器中窃取的信息。该团伙还声称窃取的数据中包括敏感数据,包括从2017年至今所有访客的记录。
31、iOS 间谍软件LightSpy 再次针对南亚开展间谍活动
https://securityaffairs.com/161908/intelligence/ios-spyware-lightspy-asia.html
研究人员警告称,苹果 iOS 间谍软件 LightSpy 将再次针对南亚用户发起网络间谍活动。这种复杂的移动间谍软件在沉寂几个月后重新出现,新版本的 LightSpy 被称为“F_Warehouse”,支持具有广泛间谍功能的模块化框架。
32、勒索软件组织声称从芯片制造商Nexperia窃取了大量数据
https://www.securityweek.com/ransomware-group-claims-theft-of-data-from-chipmaker-nexperia/
Dark Angels (Dunghill) 勒索软件组织声称从 Nexperia 窃取了 1 Tb 数据,目前 Nexperia 正在调查该事件。芯片制造商 Nexperia 已确认成为黑客的目标,此前一个已知的勒索软件组织声称从该公司的系统中窃取了大量数据。
33、乌克兰使用破坏性ICS恶意软件“Fuxnet”攻击俄基础设施
工业和企业物联网网络安全公司 Claroty 对 Fuxnet 进行了分析,Fuxnet 是乌克兰黑客最近在针对俄罗斯地下基础设施公司的攻击中使用的一款工业控制系统 (ICS) 恶意软件。
34、攻击者通过WSF脚本文件传播Raspberry Robin恶意软件
https://threatresearch.ext.hp.com/raspberry-robin-now-spreading-through-windows-script-files
Raspberry Robin于2021年底首次被发现,是一种Windows蠕虫。研究人员发现攻击者传播Raspberry Robin的方式发生了变化。该恶意软件现在通过Windows脚本文件(WSF)进行传播。这些脚本经过高度混淆处理,并使用了一系列反分析技术,使恶意软件能够逃避检测。感染后,该恶意软件通过Tor与其命令和控制(C2)服务器进行通信。Raspberry Robin能够下载和执行额外的载荷文件,该恶意软件已被用于投递SocGholish、Cobalt Strike、IcedID、BumbleBee和Truebot等恶意软件。
35、TA547使用Rhadamanthys窃密木马针对德国企业进行攻击
研究人员发现TA547针对德国组织开展了钓鱼邮件攻击活动,以传播Rhadamanthys窃密木马。这是研究人员首次观察到TA547使用Rhadamanthys,这是一种被多个攻击者所使用的窃密木马。 此外,TA547使用了恶意的PowerShell脚本,研究人员认为该脚本是由 ChatGPT、Gemini、CoPilot等大型语言模型(LLM)生成的。
37、德国数据库公司Genios确认遭受勒索软件攻击
https://therecord.media/genios-germany-ransomware-attack
GBI Genios是一家被德国众多媒体机构使用的数据库公司,该公司称其服务器遭受黑客攻击,并证实该事件是勒索软件攻击。这家总部位于慕尼黑的公司是“法兰克福汇报”和德国商报媒体集团的子公司。除媒体实体外,该公司的数据库还被大学和图书馆广泛使用。“法兰克福汇报”的一位发言人表示,其系统及其子公司没有受到影响。目前受害公司尚未针对此事透露更多细节。
38、研究人员称LockBit勒索组织可能更名为DarkVault
https://cybernews.com/news/lockbit-dark-vault-rebrand
研究人员称,LockBit勒索组织似乎正计划更名为DarkVault。研究人员在查看DarkVault最近推出的网站时,发现其网站的一些部分存在与LockBit网站相似的元素,这可能是由于攻击者的失误而导致。在某一时刻,LockBit一定意识到了这个错误,现在DarkVault网站中与Lockbit相似的元素都已经消失了。目前DarkVault网站中尚未列出受害者列表。
39、8220挖矿组织利用ScrubCrypt加载器传播VenomRAT
https://www.fortinet.com/blog/threat-research/scrubcrypt-deploys-venomrat-with-arsenal-of-plugins
研究人员最近发现一个由攻击者分发的包含恶意SVG文件的网络钓鱼电子邮件。该电子邮件引诱受害者点击附件,该附件会下载一个ZIP文件,其中包含使用BatCloak工具混淆的Batch文件,然后使用ScrubCrypt加载器投放最终有效载荷VenomRAT,同时保持与命令和控制(C2)服务器的连接,以在受害者的环境中下载执行其他恶意软件,包括其他版本的VenomRAT、Remcos、XWorm、NanoCore和专门用于窃取加密钱包信息的木马。
40、攻击者利用恶意Visual Studio项目传播Keyzetsu恶意软件
攻击者正在滥用GitHub自动化功能和恶意Visual Studio项目来传播“Keyzetsu”剪贴板劫持器的新变种以窃取加密货币。该恶意软件活动使用了多个以热门主题和项目命名的GitHub存储库,攻击者利用GitHub Actions修改日志文件并进行微小的随机更改,以非常高的频率自动更新这些存储库。这样做是为了让存储库在按“最近更新”排序的搜索结果中排名靠前。另一个潜在的自动化过程是创建虚假的GitHub帐户,在这些存储库上添加虚假的星星,以营造一种虚假的受欢迎程度和可信度。这些相关恶意项目最终投放的都是Keyzetsu剪贴板劫持器的变种,它会将Windows剪贴板的内容替换为攻击者自己的数据。
41、研究人员披露Pikabot恶意软件使用的混淆手段
https://www.zscaler.com/blogs/security-research/automating-pikabot-s-string-deobfuscationes/
Pikabot是一种恶意软件加载器,最初于2023年初出现,其突出功能之一是代码混淆,用以规避检测并阻止安全人员进行逆向分析。Pikabot采用混淆手段来加密二进制字符串,包括命令和控制(C2)服务器的地址。研究人员发现,在2024年初出现的Pikabot新变种中,混淆手段出现了变化:以前版本的Pikabot使用由AES-CBC和RC4 算法组合的加密技术,而这些技术已被更简单的算法所取代。
42、新的勒索组织Muliaka针对俄罗斯企业进行攻击
https://therecord.media/muliaka-ransomware-group-targeting-russian-businesses-conti
一个以前不为人知的勒索组织在使用Conti黑客组织泄露的源代码,使用勒索软件攻击俄罗斯企业。研究人员将该组织称为“Muliaka”,意为“浑水”,其攻击留下的痕迹很少,但可能至少自2023年12月以来就一直活跃。攻击者通过加密Windows系统和VMware ESXi虚拟基础设施来攻击一家未具名的俄罗斯企业。为了远程访问受害者的设备,攻击者使用了该公司的虚拟专用网络(VPN)服务,并将勒索软件伪装成安装在公司计算机上的流行企业防病毒软件。研究人员无法确定该组织的起源,也没有具体说明要求赎金的规模或目标公司是否支付了赎金。
43、eXotic Visit间谍软件活动针对印度和巴基斯坦的安卓用户
https://thehackernews.com/2024/04/exotic-visit-spyware-campaign-targets.html
一个名为 eXotic Visit 的活跃 Android 恶意软件活动主要针对南亚用户,特别是印度和巴基斯坦的用户,恶意软件通过专门网站和 Google Play 商店分发。
44、威斯康辛州医疗中心GHC-SCW遭受勒索组织攻击
非营利性医疗保健服务提供商威斯康星州中南部团体健康合作社(GHC-SCW 披露,一个勒索组织在1月份入侵了其网络,窃取了包含超过500000人的个人和医疗信息的文件。但是,攻击者未能对受感染的机器进行加密。收到此次事件影响的健康数据包括个人的姓名、地址、电话号码、电子邮件地址、出生或死亡日期、社会安全号码、会员号码以及医疗保险或医疗补助号码。GHC-SCW尚未透露具体的攻击者,但BlackSuit勒索组织在3月份声称发动了这次攻击。
45、第二个团伙 RansomHub 勒索美国联合健康集团
https://www.inforisktoday.com/second-gang-shakes-down-unitedhealth-group-for-ransom-a-24803
RansomHub声称被盗的Change Healthcare数据涉及“数百万”名美国现役军人和海军人员、医疗和牙科记录、付款和索赔信息、患者社会安全号码等个人信息,以及保险记录、3000多个Change Healthcare解决方案的源代码文件等。
46、勒索组织Hunters International声称攻击贝纳通集团
https://cybernews.com/news/benetton-group-claimed-by-hunters-international/
据称,全球时尚公司贝纳通集团遭到勒索组织Hunters International的攻击,网络犯罪分子声称窃取了433GB的数据。根据该组织发布的暗网消息,包含33.8MB客户数据的10个文件将在1天16小时后披露,该组织暂未提供数据示例。目前该集团尚未确认此次事件。
47、攻击者通过虚假的NordVPN传播恶意软件SecTopRAT
https://www.malwarebytes.com/blog/threat-intelligence/2024/04/bing-ad-for-nordvpn-leads-to-sectoprat
研究人员通过必应搜索引擎搜索“nord vpn”时,发现了一个冒充NordVPN的恶意广告,该虚假网站看起来与被冒充的官方网站相同。下载的文件名称为NordVPNSetup.exe并经过数字签名,但是签名无效。该文件包含NordVPN的安装程序和恶意软件有效负载。NordVPN的安装程序旨在让受害者产生一种错觉,让他们认为正在安装一个真实的程序。恶意软件的有效负载被注入至MSBuild.exe,运行后会与C2服务器进行连接。
48、YouTube 被用于传播恶意软件
https://cybernews.com/security/youtube-used-to-distribute-malware/
网络安全公司 Proofpoint 警告称,信息窃取恶意软件正在以盗版软件和视频游戏破解的“幌子”通过 YouTube 传播。该公司在调查后透露,包括 Vidar、StealC 和 Lumma Stealer 在内的恶意软件已以视频游戏破解的形式在 YouTube 上传播。
49、攻击者通过推广虚假的人工智能服务传播恶意软件
攻击者正在利用Facebook广告和被劫持的页面来推广虚假的人工智能服务,例如MidJourney、OpenAI的 SORA和ChatGPT-5以及DALL-E,用以传播恶意软件,包括Rilide、Vidar、IceRAT和Nova等窃密木马。攻击者利用这些窃密木马从受害者的浏览器中窃取数据,包括存储的凭据、cookie、加密货币钱包信息、自动完成数据和信用卡信息。
50、研究人员发现恶意软件JSOutProx的新变种
研究人员发现 恶意软件JSOutProx的新变种,攻击者针对亚太地区和中东、北非地区的金融服务组织进行攻击。JSOutProx是一个基于JavaScript和.NET的攻击框架。该恶意软件于2019年首次被发现,它使用.NET反序列化功能与受害者计算机上运行的核心JavaScript模块进行交互。一旦执行,恶意软件能够加载各种插件,这些插件将对目标进行额外的恶意活动。
51、攻击者通过YouTube视频传播恶意软件
研究人员近期发现了多个YouTube频道,这些频道通过推广破解程序和盗版游戏内容来传播恶意软件,这些视频声称可以教用户免费下载软件或游戏,但视频描述中的链接却指向恶意软件,包括Vidar、StealC和Lumma Stealer等窃密木马。许多上传了恶意视频的账号是被窃取的合法用户账号,但研究人员发现了一些可能是攻击者创建和控制的账号,这些账号只活跃几个小时,专门用于传播恶意软件。
52、研究人员披露与Pikabot恶意软件相关的攻击活动
Pikabot是一种恶意后门,自2023年初以来一直处于活动状态。该后面使用模块化设计,由加载机和核心模块组成。核心模块执行恶意操作,允许执行命令和从命令和控制服务器注入有效载荷。该恶意软件使用代码注入器来解密核心模块并将其注入合法进程。在2024年2月期间,研究人员发现传播Pikabot的活动发生了变化。Pikabot通过多种文件类型分发,具体取决于攻击的目标和性质。使用多种文件类型允许攻击者利用不同的攻击媒介。不同的文件格式可能具有不同的漏洞,以及安全软件的不同检测方式,因此攻击者可能会尝试各种格式来增加成功的机会,并通过绕过特定的安全措施来逃避检测。
53、IxMetro Powerhost遭受新型勒索软件SEXi攻击
位于智利的数据服务提供商IxMetro Powerhost遭到一个名为SEXi的新勒索组织攻击。该组织对公司的VMware ESXi服务器及其备份进行了加密。目前,托管于受影响服务器上的网站或服务都无法访问,该公司正在尝试从备份中恢复数据。在最新更新中,PowerHost向客户道歉,并警告由于备份也已被加密,可能无法恢复服务器。在尝试与攻击者谈判获取解密密钥时,该勒索组织要求每个受害者支付2个比特币,而PowerHost的首席执行官表示这相当于1.4亿美元。研究人员称PowerHost遭到的是一种新型勒索软件攻击,该勒索软件会附加.SEXi扩展名,并投放名为SEXi.txt的勒索信。
54、针对安卓系统的Vultur银行恶意软件冒充McAfee安全应用
https://www.anquanke.com/post/id/295180
研究人员分析的最新版本的Vultur恶意软件保留了旧版本的几个关键功能,例如屏幕记录,键盘记录以及通过AlphaVNC和ngrok进行远程访问,允许攻击者实时监视和控制。
55、PyPI暂停新项目和用户注册以应对恶意软件攻击
https://checkmarx.com/blog/pypi-is-under-attack-project-creation-and-user-registration-suspended/
2024年3月28日,Python Package Index (PyPI)宣布暂停新用户注册和项目创建,以应对Checkmarx安全团队发现的一系列恶意软件包。这些恶意软件包利用“误植”漏洞,通过仿冒域名诱骗用户安装,进而窃取加密货币钱包、浏览器数据和登录凭据。PyPI的这一举措旨在保护Python开发者社区,同时为平台提供时间实施更强大的安全措施。恶意代码位于每个包的setup.py文件中,可在安装时自动执行。采用了一种技术,其中setup.py文件包含使用Fernet加密模块加密的模糊代码。安装该软件包后,混淆代码会自动执行,从而触发恶意负载。检索到的有效负载还使用Fernet模块进行了加密。解密后,有效负载揭示了一个广泛的信息窃取程序,旨在从受害者的计算机中获取敏感信息。
56、动视建议启用2FA保护受恶意软件窃取影响的账户
动视暴雪建议用户启用双因素身份验证(2FA)来保护其账户,此前有报告称大量游戏玩家的账户信息在恶意软件活动中被窃取。这些账户信息主要涉及使用作弊或付费作弊服务的玩家。数据库中包含数百万游戏玩家的凭据,尤其是《使命召唤》和《反恐精英》玩家。虽然动视暴雪的服务器未受损害,但为了防止潜在的风险,公司推荐用户更改密码并启用2FA。此外,动视暴雪正在与作弊软件开发者协调,以限制此次活动的影响,并向受影响的账户持有者提供安全指导。尽管数据库中的登录数量表明对游戏社区产生了重大影响,但尚不清楚有多少账户是有效的或重复的。
