Atgiant 发表于 2023-6-16 18:53

每日安全简讯(20230617)

免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 俄罗斯黑客组织Shuckworm利用USB恶意软件攻击乌克兰军事目标

Shuckworm(又名Gamaredon,Armageddon)是一个与俄罗斯有关联的黑客组织,自2014年首次出现以来,几乎专注于对乌克兰的网络攻击。它通常被认为是一个由国家资助的间谍行动。2023年2月,Shuckworm开始部署新的恶意软件和指挥控制基础设施,成功地突破了多个乌克兰军事、安全和政府组织的防御。该组织的目标是获取与俄罗斯对乌克兰的入侵相关的敏感信息。Shuckworm使用了一种新的PowerShell脚本,通过USB驱动器传播Pterodo这种自己开发的后门程序。该脚本在感染的USB驱动器连接到目标计算机时激活。恶意脚本首先将自己复制到目标机器上,创建一个扩展名为rtf.lnk的快捷方式文件。这些文件有诸如video_porn.rtf.lnk、do_not_delete.rtf.lnk和evidence.rtf.lnk等名称。这些名称大多是用乌克兰语写的,是为了诱使目标打开这些文件,从而在机器上安装Pterodo。

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/shuckworm-russia-ukraine-military

2 供应链攻击者利用S3桶劫持技术投毒NPM包

S3桶是一种由亚马逊网络服务(AWS)提供的存储资源,允许用户通过互联网存储和检索大量数据。它是一种可扩展、安全的对象存储服务,可以存储文件、文档、图像、视频和任何其他类型的数字内容。S3桶可以使用唯一的URL访问,因此被广泛用于各种目的,如网站托管、数据备份和归档、内容分发和应用程序数据存储。近日,一种新的攻击技术被发现在野外被供应链攻击者利用。攻击者在不修改任何代码的情况下,通过劫持一个提供必要二进制文件的S3桶,并将其替换为恶意的文件,从而投毒了NPM包“bignum”。这个包是一个用于处理大整数运算的模块,最新版本是0.13.1,发布于三年多前,从未被篡改过。然而,之前的几个版本却受到了影响。版本0.12.2-0.13.0依赖于一个S3桶上托管的二进制文件。这些文件会在安装时从桶中拉取,以支持包的功能。这个伪造的.node二进制文件模仿了原始文件的功能。它执行了包的正常和预期的活动。同时,它还具有窃取用户ID、密码、本地机器环境变量和本地主机名,并将窃取的数据发送到劫持后的桶的功能。

https://checkmarx.com/blog/hijacking-s3-buckets-new-attack-technique-exploited-in-the-wild-by-supply-chain-attackers/?

3 GravityRAT恶意软件可窃取Android设备上的WhatsApp备份

GravityRAT是一种跨平台的远程访问木马,可以针对Windows、Android和macOS设备。该恶意软件被认为是由巴基斯坦的网络间谍组织SpaceCobra开发和使用的,主要针对印度的军事人员。最近,研究人员发现了一个新版本的Android GravityRAT恶意软件,伪装成消息应用BingeChat和Chatico.这个新版本的GravityRAT具有两个新的功能:可以窃取WhatsApp备份文件,并可以接收删除文件的命令。WhatsApp备份文件包含了用户在该应用上的聊天记录、图片、视频、语音等内容,对攻击者具有很高的价值。删除文件的命令则可以让攻击者清理自己的痕迹,或者破坏目标设备上的数据。GravityRAT通过流氓网站分发,这些网站宣传提供免费的消息和文件共享服务:bingechat [.]net和chatico [.]co [.]uk。这些网站要求访问者登录才能下载应用,但是注册功能通常是关闭的。

https://www.welivesecurity.com/2023/06/15/android-gravityrat-goes-after-whatsapp-backups/

4 美国逮捕涉嫌参与LockBit勒索软件的俄罗斯人

LockBit是一种勒索软件,可以加密受害者的数据,并要求支付赎金以恢复访问。该软件采用勒索软件即服务(RaaS)的模式,由一个核心团队招募附属成员来执行攻击,并从赎金中分成。LockBit自2019年底出现以来,已经对美国和其他国家的数千个组织发动了攻击,涉及政府、医疗、教育、法律、制造等多个行业。美国司法部(DoJ)于2023年6月16日宣布,已经逮捕并起诉一名俄罗斯公民,Ruslan Magomedovich Astamirov,指控他参与了LockBit勒索软件的活动。据指控,Astamirov在2020年8月至2023年3月期间,直接执行了至少五次针对美国和其他国家的计算机系统的攻击。他被控与他人共谋进行电信诈骗和故意损坏受保护的计算机,并通过使用和部署勒索软件发送赎金要求。如果被定罪,他将面临最高25年的监禁和最高25万美元或两倍于犯罪所得或损失的罚款。

https://www.justice.gov/d9/2023-06/astamirov.complaint.pdf

5 智利军队遭遇新兴勒索软件Rhysida的攻击

Rhysida是一种新兴的勒索软件,可以加密受害者的数据,并要求支付赎金以恢复访问。该软件由一个未知的犯罪团伙开发和使用,自2023年5月以来已经对多个组织发动了攻击,涉及教育、医疗、政府等多个行业。2023年5月27日,智利军队遭遇了Rhysida勒索软件的攻击,影响了其内部网络的多个系统。军方在两天后确认了这一事件,并采取了应急措施,如禁止开启计算机、断开网络连接、备份数据等,以防止进一步的损失。智利政府的网络安全应急响应小组(CSIRT)也发布了警告,提醒其他组织注意防范Rhysida勒索软件的威胁。据报道,Rhysida勒索软件在攻击智利军队时使用了一个名为“Ejercito de Chile”(智利军队)的专属标签,并要求受害者在72小时内支付赎金,否则将删除或泄露被加密的数据。该网站还提供了一些Rhysida勒索软件的样本和截图,显示其使用了AES-256和RSA-2048算法进行加密,并使用了一个名为“RySida”(RySida)的后缀来标记被加密的文件。

https://www.cronup.com/ejercito-de-chile-es-atacado-por-la-nueva-banda-de-ransomware-rhysida/

6 Vidar窃密软件采用新策略逃避检测和匿名活动

近日,研究人员分享的一份新分析中指出,Vidar背后的威胁行为者对其后端基础设施进行了一些改变,表明他们试图重新调整并掩盖他们的在线轨迹,以应对有关他们作案手法的公开披露。Team Cymru在2023年1月发布的一份报告中指出,“Vidar行为者将其基础设施分成了两部分;一部分专门用于他们的普通客户,另一部分用于管理团队,以及可能的高级/重要用户”。一个被Vidar行为者使用的关键域名是my-odin [.]com,它既是管理面板、验证附属成员和共享文件的一站式目的地。研究人员发现,在2023年5月3日之后,Vidar行为者对其基础设施进行了又一次改变,引入了一个新的IP地址185.229.64[.]137来托管my-odin [.]com域名,并使用TOR中继来访问他们的账户和恶意软件仓库。

https://www.team-cymru.com/post/darth-vidar-the-aesir-strike-back







页: [1]
查看完整版本: 每日安全简讯(20230617)