每日安全简讯(20240123)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 COLDRIVER组织利用Rust语言恶意软件扩大钓鱼攻击范围
与俄罗斯有关的威胁行为者COLDRIVER不断发展其间谍技术,超越了凭据收集的范围,以提供有史以来第一个用 Rust 编程语言编写的定制恶意软件。研究人员表示攻击链利用 PDF 作为诱饵文档来触发感染序列。诱饵是从模拟帐户发送的。COLDRIVER,也称为 Blue Callisto、BlueCharlie(或 TAG-53)、Calisto(也可拼写为 Callisto)、Dancing Salome、Gossamer Bear、Star Blizzard(以前称为 SEABORGIUM)、TA446 和 UNC4057,已知自 2019 年以来一直活跃,针对广泛的行业。这包括学术界、国防、政府组织、非政府组织、智囊团、政治团体,以及最近的国防工业目标和能源设施。美国政府上个月透露,“英国和美国的目标似乎受星暴雪活动影响最大,但其他北约国家和俄罗斯邻国的目标也观察到了活动。”
https://blog.google/threat-analysis-group/google-tag-coldriver-russian-phishing-malware/
2 Midnight Blizzard组织针对微软高管的电子邮件发起网络攻击
微软周五透露,它是对其企业系统进行民族国家攻击的目标,导致该公司网络安全和法律部门的高级管理人员和其他人员的电子邮件和附件被盗。这家 Windows 制造商将此次攻击归因于其追踪的俄罗斯高级持续威胁 (APT) 组织Midnight Blizzard(以前称为 Nobelium),该组织也称为 APT29、BlueBravo、Cloaked Ursa、Cozy Bear 和 The Dukes。它还表示,在 2024 年 1 月 12 日发现恶意活动后,立即采取措施调查、破坏和减轻恶意活动。该活动预计于 2023 年 11 月下旬开始。威胁行为者使用密码喷射攻击来破坏遗留的非生产测试租户帐户并获得立足点,然后使用该帐户的权限访问极小比例的微软公司电子邮件帐户。高级领导团队的成员和微软表示: “我们的网络安全、法律和其他职能部门的员工,并窃取了一些电子邮件和附件。”
https://msrc.microsoft.com/blog/2024/01/microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/
3 研究人员披露针对macOS用户的盗版应用程序包含后门
据观察,针对 Apple macOS 用户的盗版应用程序包含后门,能够让攻击者远程控制受感染的计算机。这些应用程序托管在中国盗版网站上,一旦点击,目的是吸引受害者。恶意软件将在后台下载并执行多个有效负载,以秘密危害受害者的机器。后门磁盘映像 (DMG) 文件经过修改,可与攻击者控制的基础设施建立通信,其中包括 Navicat Premium、UltraEdit、FinalShell、SecureCRT 和 Microsoft Remote Desktop 等合法软件。这些未签名的应用程序除了托管在名为 macyy[.]cn 的中文网站上之外,还包含一个名为“dylib”的植入组件,该组件在每次打开应用程序时都会执行。
https://www.jamf.com/blog/jtl-malware-pirated-applications/
4 研究人员披露部署复杂远程访问木马的恶意npm软件包
已发现上传到 npm 注册表的恶意包在受感染的 Windows 计算机上部署复杂的远程访问木马。该软件包名为“ os兼容”,于 2024 年 1 月 9 日发布,在被删除之前总共吸引了380 次下载。如果平台不是 Windows,它会向用户显示一条错误消息,指出脚本正在 Linux 或无法识别的操作系统上运行,敦促他们在“Windows Server OS”上运行它。批处理脚本本身会验证它是否具有管理员权限,如果没有,则通过 PowerShell 命令运行名为“ cookie_exporter.exe ”的合法 Microsoft Edge 组件。
https://blog.phylum.io/npm-package-found-delivering-sophisticated-rat/
5 Tietoevry勒索软件攻击导致瑞典企业和城市停电
芬兰 IT 服务和企业云托管提供商 Tietoevry 遭受勒索软件攻击,影响其位于瑞典的一个数据中心的云托管客户,据报道,此次攻击是由 Akira 勒索软件团伙发起的。Tietoevry 是一家芬兰 IT 服务公司,为企业提供托管服务和云托管。该公司在全球拥有约 24000 名员工,2023 年收入为 31 亿美元。Tietoevry 今天证实,勒索软件攻击发生在周五晚上到周六早上,仅影响了他们位于瑞典的一个数据中心。Tietoevry 在一份新闻声明中解释道:“此次攻击仅限于我们瑞典数据中心的一部分,影响了 Tietoevry 为瑞典部分客户提供的服务。”“Tietoevry 立即隔离了受影响的平台,勒索软件攻击并未影响公司基础设施的其他部分。”
https://www.tietoevry.com/en/newsroom/all-news-and-releases/other-news/2024/01/ransomware-attack-in-sweden-update/
6 研究人员称3AM勒索软件与Conti组织和Royal勒索软件有关联性
安全研究人员分析了最近出现的 3AM 勒索软件操作的活动,发现其与 Conti 集团和 Royal 勒索软件团伙等组织有密切联系。3AM(也拼写为 ThreeAM)也一直在尝试一种新的勒索策略:与受害者的社交媒体关注者分享数据泄露的消息,并使用机器人回复 X(以前称为 Twitter)上的高级帐户,发送指向数据泄露的消息。研究人员注意到威胁参与者在部署 LockBit 恶意软件失败后转而使用 ThreeAM 勒索软件。ThreeAM 很可能与 Royal 勒索软件组织有关,该组织现已更名为 Blacksuit,该团伙由 Conti 集团内 Team 2 的前成员组成。
https://www.bleepingcomputer.com/news/security/researchers-link-3am-ransomware-to-conti-royal-cybercrime-gangs/
页:
[1]