每日安全简讯(20240511)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 安天发布《“匿铲”挖矿木马活动分析》报告
近期,安天CERT通过网络安全监测发现了一起新的挖矿木马攻击事件,该挖矿木马从2023年11月开始出现,期间多次升级组件,目前版本为3.0。截止到发稿前,该挖矿木马攻击事件持续活跃,感染量呈上升态势。主要特点是隐蔽性强、反分析、DLL劫持后门和shellcode注入等,因此安天CERT将该挖矿木马命名为“匿铲”。在此次攻击活动中,攻击者利用了两个比较新颖的技术以对抗反病毒软件,第一个技术是滥用反病毒软件的旧版本内核驱动程序中的功能来结束反病毒软件和EDR,这个技术通过一个主体的PowerShell脚本、一个独立的PowerShell脚本和一个控制器(内存加载的小型可执行文件)来完成,主体的PowerShell脚本用于下载并安装反病毒软件的旧版本内核驱动程序,独立的PowerShell脚本用于解密并内存加载控制器,控制器用来控制内核驱动程序。第二个技术是利用MSDTC服务加载后门DLL,实现自启动后门,达到持久化的目的。这个技术利用了MSDTC服务中MTxOCI组件的机制,在开启MSDTC服务后,该组件会搜索oci.dll,默认情况下Windows系统不包含oci.dll。攻击者会下载后门DLL重命名为oci.dll并放在指定目录下,通过PowerShell脚本中的命令创建MSDTC服务,这样该服务会加载oci.dll后门,形成持久化操作。
https://mp.weixin.qq.com/s/8s436GDvWiqp_38sLdU-tw
2 Ascension私人医疗保健系统在遭遇网络攻击后使系统离线
Ascension 是美国最大的私人医疗保健系统之一,已将其部分系统关闭,以调查所谓的“网络安全事件”。作为美国主要的非营利性医疗系统,Ascension 在 19 个州和哥伦比亚特区运营着 140 家医院和 40 家高级护理机构。Ascension 表示: “5 月 8 日星期三,我们在选定的技术网络系统上检测到异常活动,我们现在认为这是由于网络安全事件造成的。”Ascension 称:“我们立即做出回应,启动调查并启动补救措施。随着这一过程的继续,对某些系统的访问已被中断。”该医疗保健组织还建议业务合作伙伴切断与其系统的连接,除非另有通知。
https://about.ascension.org/news/2024/05/network-interruption-update
3 Storm-0539组织针对美国零售公司礼品卡部门的员工进行网络钓鱼攻击
FBI 警告美国零售公司,至少自 2024 年 1 月以来,一个出于经济动机的黑客组织一直在针对其礼品卡部门的员工进行网络钓鱼攻击。该黑客组织被追踪为 Storm-0539,其目标是零售部门员工的个人和工作移动设备,使用复杂的网络钓鱼工具包,使他们能够绕过多因素身份验证。渗透到员工的帐户后,攻击者会在网络中横向移动,试图识别礼品卡业务流程,并转向与该特定投资组合相关的受感染帐户。除了窃取礼品卡部门人员的登录凭据之外,他们还试图获取安全外壳 (SSH) 密码和密钥。连同被盗的员工信息(例如姓名、用户名和电话号码),这些信息可能会被出售以获取经济利益,或被 Storm-0539 在未来的攻击中利用。
https://www.ic3.gov/Media/News/2024/240507.pdf
4 LockBit勒索软件组织称针对威奇托市发生数据泄露事件负责
LockBit 勒索软件团伙声称对威奇托市发生的破坏性网络攻击负责,该攻击迫使该市当局关闭用于在线账单支付的 IT 系统,包括法院罚款、水费和公共交通。堪萨斯州威奇托是该州最大的城市,人口近 40 万。它是该地区主要的文化、经济和交通枢纽,也是多家飞机工厂的所在地。2024 年 5 月 5 日上周日,该市当局宣布, 在勒索软件对其部分网络进行加密后,他们正面临破坏性网络攻击。为了遏制损失并阻止攻击蔓延,该市的 IT 专家关闭了用于在线服务的计算机。今天早些时候,LockBit 勒索软件组织将威奇托添加到其勒索门户中,威胁要在 2024 年 5 月 15 日之前在该网站上公布所有被盗文件,除非该市支付赎金。
https://www.bleepingcomputer.com/news/security/city-of-wichita-breach-claimed-by-lockbit-ransomware-gang/
5 佐治亚大学系统称在2023年MOVEit攻击中泄露了80万个人数据
佐治亚大学系统 (USG) 正在向其数据在 2023 年 Clop MOVEit 攻击中暴露的 80 万人发送数据泄露通知。USG 是一个州政府机构,在佐治亚州运营着 26 所公立学院和大学,拥有超过 340000 名学生。Clop 勒索软件团伙 于 2023 年 5 月下旬利用 Progress Software MOVEit 安全文件传输解决方案中的零日漏洞 进行了大规模的全球数据盗窃活动。当威胁组织在影响全球数千个组织的 MOVEit 攻击中开始勒索阶段时,USG 是最先被列为受感染组织之一。大约一年后,在 FBI 和 CISA 的帮助下,USG 确定 Clop 窃取了其系统中的敏感文件,并开始通知受影响的人员。数据泄露通知于2024 年 4 月 15 日至 17 日期间发送,通知收件人网络犯罪分子访问了以下信息:完整或部分(最后四位)社会安全号、出生日、银行帐、带有税号的联邦所得税文件。
https://www.bleepingcomputer.com/news/security/university-system-of-georgia-800k-exposed-in-2023-moveit-attack/
6 泰勒·斯威夫特粉丝遭遇虚假网站门票诈骗且九成诈骗开始于Facebook
在门票诈骗中,您支付了门票,但您要么没有收到任何东西,要么您收到的东西无法让您进入场地。据 BBC 报道,劳埃德银行估计,在泰勒·斯威夫特 Eras 巡演英国站之前,歌迷因门票诈骗损失了约 100 万英镑(125 万美元)。据称,大约 90% 的诈骗都是从 Facebook 开始的。其中许多操作都是针对受损的 Facebook 帐户进行的,这让买家和被滥用帐户的所有者都感到难过。这些帐户所有者抱怨 Meta(Facebook 的母公司)对他们试图报告帐户被接管的行为没有得到回应或缺乏回应。请注意,这不仅仅是音乐会。任何通过正规、合法渠道售完并使用可转让门票的活动都是骗子的机会。最近,我们发现一个利用阿姆斯特丹梵高博物馆的赞助搜索结果进行的骗局。点击该广告的用户被重定向到一个虚假的网络钓鱼网站,并被要求填写信用卡详细信息。诈骗者很容易建立一个看似真实的虚假网站。有些甚至使用与合法网站相似的名称或网站网址。如果您不确定或者听起来好得令人难以置信,请立即离开该网站。
https://www.malwarebytes.com/blog/news/2024/05/desperate-taylor-swift-fans-defrauded-by-ticket-scams?web_view=true
页:
[1]