每日安全简讯(20230626)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Mallox勒索软件采用新的感染策略发起攻击
Mallox勒索软件是一种在2021年6月首次出现的恶意软件,它的特点是在加密文件后添加目标公司的名称作为文件扩展名。这种勒索软件也被称为“TargetCompany”,因为它会在加密文件后添加“.mallox”或“.malox”扩展名。研究人员最近发现了Mallox勒索软件的新变种,它采用了一种新的感染策略,不再需要从远程服务器下载勒索软件载荷,而是将其嵌入到一个批处理脚本中,然后注入到“MSBuild.exe”中,不在磁盘上保存任何文件。这种方式可以增加勒索软件的隐蔽性和逃避检测的能力。据统计,Mallox勒索软件已经公开披露了来自15个国家的20多个受害者的信息,其中印度是最受攻击的国家,其次是美国。受影响的行业主要包括制造业、能源和公用事业、IT和ITES以及专业服务行业。
https://blog.cyble.com/2023/06/22/mallox-ransomware-implements-new-infection-strategy/
2 NSA发布指南应对BlackLotus威胁
美国国家安全局(NSA)发布了一份指南,旨在帮助网络防御者应对BlackLotus恶意软件的威胁。BlackLotus是一种利用微软Windows安全启动过程中的一个已知漏洞绕过Secure Boot保护的恶意软件,它可以在系统启动时加载恶意代码,从而控制系统并窃取敏感数据。NSA指出,BlackLotus恶意软件是由一个名为“DarkHalo”的网络攻击组织开发和使用的,该组织曾在2021年针对美国政府机构和私营公司发动大规模的供应链攻击。NSA的指南提供了一系列的检测和缓解措施,包括更新和修复受影响的Windows系统,使用可信平台模块(TPM)和BitLocker加密技术来保护系统,以及使用NSA推荐的网络安全标准和最佳实践来提高网络防御能力。
https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3435305/nsa-releases-guide-to-mitigate-blacklotus-threat/
3 伪装游戏安装程序的SupremeBot恶意软件分析
SupremeBot恶意软件是一种利用伪装成超级马里奥游戏安装程序的方式传播的恶意软件,它可以在用户的电脑上安装多个恶意组件,包括一个XMR挖矿器、一个SupremeBot挖矿客户端和一个开源的Umbral窃密器。研究人员发现了一个名为“Super-Mario-Bros.exe”的可疑文件,它是一个32位的Nullsoft Installer(NSIS)自解压归档可执行文件,它包含了一个合法的超级马里奥游戏安装程序“super-mario-forever-v702e.exe”和两个恶意可执行文件“java.exe”和“atom.exe”。当用户运行“Super-Mario-Bros.exe”文件时,它会在%appdata%目录下释放“super-mario-forever-v702e.exe”文件并执行它,显示一个安装向导,让用户继续安装“super-mario-forever-v7.02”程序。同时,它也会在后台运行“java.exe”和“atom.exe”文件,分别执行XMR挖矿器和SupremeBot挖矿客户端。SupremeBot挖矿客户端会从远程服务器下载并执行Umbral窃密器,这是一种可以窃取用户的浏览器、电子邮件、FTP、加密货币钱包等敏感信息的恶意软件。Umbral窃密器会将收集到的信息打包成一个ZIP文件,并通过SMTP协议发送给攻击者。
https://blog.cyble.com/2023/06/23/trojanized-super-mario-game-installer-spreads-supremebot-malware/
4 参与2020年推特大规模黑客攻击的英国人被判五年监禁
Joseph James O’Connor(又名PlugwalkJoe),24岁,是一名英国公民,他参与了2020年7月对推特的大规模黑客攻击,该攻击导致130个知名账号被劫持,并用于实施一场涉及12万美元的加密货币诈骗。O’Connor于上周五在美国纽约南区被判处五年监禁,这是在他一个月多前承认了自己的罪行之后。他于2021年7月在西班牙被捕。美国司法部(DoJ)表示,O’Connor和他的同伙利用了推特后台工具中的一个已知漏洞,获取了未经授权的访问权限,然后利用这些权限发送推文,诱骗用户向一个比特币地址转账,声称会双倍返还。除了参与推特黑客攻击外,O’Connor还被指控实施了多起SIM卡交换攻击,窃取用户的Snapchat和TikTok账号,并在一起案件中针对一家位于纽约的加密货币公司,窃取了价值约79.4万美元的加密货币。O’Connor还被指控对两名受害者进行网络跟踪,其中一名是未成年人,在2020年6月和7月期间,他假冒受害者发出威胁要枪杀他人的信息,试图引发执法部门的反应。
https://www.justice.gov/usao-sdny/pr/uk-citizen-sentenced-five-years-prison-cybercrime-offenses
5 美国卫生部警告医疗行业面临SEO投毒攻击的风险
搜索引擎优化(SEO)投毒攻击是一种故意操纵搜索结果,引导用户访问植入恶意软件的网站的攻击方式,这种攻击方式在医疗行业日益增多,美国联邦监管机构发出警告。美国卫生部的卫生部门网络安全协调中心(HHS HC3)发布了一份警报,提醒医疗行业注意SEO投毒攻击的威胁。该警报称,这种攻击方式最近经常针对美国医疗和公共卫生部门。HHS HC3表示,SEO投毒攻击的幕后黑手利用诸如谷歌等搜索引擎,使得第一个广告链接实际上指向攻击者控制的网站,“通常是为了感染访问者的恶意软件或者通过广告欺诈吸引更多人”。随着医疗行业越来越数字化,这种攻击方式的目标也越来越多。不仅仅是美国的医疗机构受到这种攻击,研究人员在今年一月份报告称,Gootkit恶意软件背后的犯罪团伙也利用SEO投毒攻击了澳大利亚的医疗行业。
https://www.hhs.gov/sites/default/files/june-2023-seo-poisoning-analyst-note-tlpclear.pdf
6 美国航空和西南航空披露影响飞行员的数据泄露事件
美国航空和西南航空是世界上最大的两家航空公司,它们在近日披露了一起数据泄露事件,该事件是由一家第三方供应商Pilot Credentials的黑客攻击造成的。Pilot Credentials是一家管理多家航空公司的飞行员申请和招聘门户的供应商。美国航空在一份通知信中表示,Pilot Credentials于2023年6月18日通知了美国航空,称其系统于2023年5月24日遭到了未经授权的访问,导致部分美国航空飞行员的个人信息被泄露。这些信息包括姓名、地址、电话号码、电子邮件地址、出生日期、社会安全号码、驾驶执照号码、护照号码、飞行员证书号码和医疗证书号码等。美国航空表示,目前没有证据表明这些信息被用于欺诈或身份盗窃等目的,但仍建议受影响的飞行员监控他们的账户和信用报告,并提供了免费的信用监控服务。
https://www.documentcloud.org/documents/23859182-southwest-data-breach-notification-letters
页:
[1]