每日安全简讯(20221112)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 一名参与LockBit勒索攻击的嫌疑人在加拿大被捕
欧洲刑警组织宣布逮捕了一名与LockBit勒索组织有关的嫌疑人,这名33岁嫌疑人的名字是Mikhail Vasiliev,具有俄罗斯和加拿大双重国籍。执法人员在嫌疑人的家中查获了8台电脑、32个外部硬盘驱动器、2支枪支和价值40万欧元的加密货币。此外,加拿大执法部门还发现了他与LockBit组织的代表人“LockBitSupp”在Tox上进行通信的截图、有关如何部署LockBit勒索软件的说明和恶意软件的源代码、以及属于加拿大LockBit受害者的各种用户名密码信息和计算机截图。Mikhail Vasiliev被指控密谋传输勒索赎金要求并故意损坏计算机设备,若罪名成立,他将面临最高五年的监禁。
https://www.bleepingcomputer.com/news/security/russian-lockbit-ransomware-operator-arrested-in-canada/
2 美国卫生部警告Venus勒索组织针对美国医疗组织发起攻击
美国卫生与公众服务部(HHS)发出警告,Venus勒索组织针对该国的医疗组织发起攻击。在卫生部网络安全协调中心(HC3)发布的一份报告中,HHS的安全团队提到他们至少发现一起在美国医疗组织网络中部署Venus勒索软件的事件。但是,由于Venus勒索组织还不具有勒索软件即服务(RaaS)的商业模式,目前还没有发现已知的数据泄露站点。
https://www.bleepingcomputer.com/news/security/us-health-dept-warns-of-venus-ransomware-targeting-healthcare-orgs/
3 研究人员发现Conti将其业务转移至BlackByte和Black Basta中
Conti勒索软件是全球网络威胁领域中最多产的恶意软件之一,近期的一项研究结果表明,它正在将目标从美国转向与北约相关的欧洲国家。研究人员表示,Conti勒索组织并没有关闭,它只是将其业务转移到了BlackByte和Black Basta勒索组织中,这些组织一直在积极瞄准欧洲和全球其他国家的关键基础设施。Conti正在与其他勒索组织进行合作,开发新的工具,并入侵关键组织,它正在构成一个多元化的非法勒索软件即服务(RaaS)行业。
https://cyware.com/news/conti-affiliates-blackbyte-and-black-basta-rotating-targets-681fc6b8
4 研究人员发现针对印度国防人员的Spymax RAT新变种
研究人员近期发现一个针对印度国防人员的恶意安卓APK,该攻击自2021年7月以来一直很活跃。攻击者利用社会工程学技术通过WhatsApp传播恶意APK。当受害者安装此APK后,手机上会出现一个使用PDF图标的应用程序,并获取多项权限,如访问摄像头、音频、互联网、WiFi和存储空间,以此从受害者设备中窃取机密信息。进一步的研究表明此恶意应用程序是Spymax RAT的新变种,其源代码已经公开于黑客论坛中。
https://www.cyfirma.com/outofband/unknown-nation-based-threat-actor-using-android-rat-to-target-indian-defence-personnel-2/
5 研究人员发现StrelaStealer新型窃密木马
研究人员于2022年11月份首次发现一个名为StrelaStealer的新型窃密木马,它会从Outlook和Thunderbird电子邮件客户端中窃取账户凭据,目标是西班牙语用户,可能被用于具有针对性的窃密活动中。攻击者使用电子邮件传播StrelaStealer,并利用附件中的ISO文件在受害者主机中植入木马程序。StrelaStealer运行后,在指定路径中搜索与Thunderbird账户密码信息相关的logins.json文件和key4.db文件,也会在注册表中寻找与Outlook相关的密钥信息,并将内容回传至C2服务器中。
https://www.bleepingcomputer.com/news/security/new-strelastealer-malware-steals-your-outlook-thunderbird-accounts/
6 Worok黑客组织使用隐写术将恶意软件隐藏在PNG中
研究人员发现Worok黑客组织将恶意软件隐藏在PNG图像中,以此规避检测。Worok黑客组织针对中东、东南亚和南非的政府进行网络攻击,但目前还不清楚该组织的完整攻击流程。研究人员从受感染的机器中发现了4个包含CLRLoader代码的DLL文件,并基于此证据认为Worok可能使用DLL侧载技术将CLRLoader加载到内存中运行。CLRLoader运行后,加载PNGLoader从PNG图像中提取恶意载荷。Worok使用最低有效位编码技术将PowerShell脚本和DropBoxControl恶意软件嵌入到图像中,攻击者将加密的命令文件存储在DropBox存储库中,DropBoxControl恶意软件会定期访问这些文件以进行相应的操作。
https://www.bleepingcomputer.com/news/security/worok-hackers-hide-new-malware-in-pngs-using-steganography/
页:
[1]