找回密码
 注册创意安天

每日安全简讯(20230502)

[复制链接]
发表于 2023-5-1 20:59 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 APT28利用伪造的Windows更新指南攻击乌克兰政府

乌克兰CERT称APT28利用伪造的Windows更新指南针对乌克兰政府机构和军事组织发起钓鱼邮件攻击。攻击者为了伪装成目标政府的系统管理员,使用在攻击准备阶段通过未知方式获得的真实员工姓名创建了@outlook.com电子邮件地址。恶意电子邮件不是关于升级Windows系统的合法说明,而是建议收件人运行PowerShell命令。此命令在计算机上下载PowerShell脚本,模拟Windows更新过程,同时在后台下载第二个PowerShell有效负载。第二阶段有效负载是一个基本的信息收集工具,它利用“tasklist”和“systeminfo”命令来收集数据并通过HTTP请求回传。
1.png
https://www.bleepingcomputer.com/news/security/hackers-use-fake-windows-update-guides-to-target-ukrainian-govt/


2 LockBit和Cl0p勒索软件团伙利用PaperCut漏洞进行攻击

研究人员发现LockBit和Cl0p勒索软件团伙正在利用PaperCut漏洞进行攻击。这些漏洞能够攻击PaperCut服务器并干扰其正常工作,制造混乱。安全专家提醒用户及时更新PaperCut软件以获得相关补丁,以免受到攻击。LockBit和Cl0p是目前勒索软件领域中比较活跃的黑客团伙,经常利用漏洞入侵受害者系统部署勒索软件。
2.png
https://www.malwarebytes.com/blog/news/2023/04/lockbit-and-cl0p-are-actively-exploiting-papercut-vulnerabilities


3 研究人员发现AresLoader正在通过伪装的GitLab存储库传播

近期,Cyble研究和情报实验室(CRIL)观察到一个名为AresLoader的新加载程序,该加载程序已用于传播多种类型的恶意软件家族。AresLoader是一种用C语言编写的加载程序恶意软件,于2022年首次出现在网络犯罪论坛和电报频道中。此加载程序在恶意软件即服务(MaaS)模型上可用,由负责 AiD Locker勒索软件的同一威胁参与者(TA)开发。该组织的成员还被怀疑与俄罗斯黑客组织有联系。
3.png
https://blog.cyble.com/2023/04/28/citrix-users-at-risk-aresloader-spreading-through-disguised-gitlab-repo/


4 研究人员发现部署Pupy远控木马的Decoy Dog工具包

Infoblox的研究人员发现了一种在野外使用的新工具包,称为Decoy Dog。它通常针对企业发起攻击,并且会部署名为Pupy RAT的远控木马。研究表明,它至少从去年2月开始运营。最初的两个域被用作指挥与控制中心(C2)。Pupy RAT非常擅长长时间隐藏在网络中,可以感染多个平台,包括Windows,Linux和移动设备。它通过DNS与其C2通信,它的开源性质意味着可以进行各种更改(例如检测沙箱、安装键盘记录器或从目标系统转储哈希)。
4.png
https://www.malwarebytes.com/blog/news/2023/04/decoy-dog-toolkit-plays-the-long-game-with-pupy-rat


5 攻击者利用钓鱼邮件传播GuLoader加载器

自2019年以来,GuLoader一直出现于基于电子邮件的恶意软件活动,近期再次出现在野外。GuLoader是一个具有曲折历史的下载器,其历史可以追溯到2011年左右的各种形式。两年前,它是我们最常见的恶意垃圾邮件附件之一。GuLoader通常用于加载相关活动的有效负载。它通常以ZIP文件的形式传播,一旦打开并执行其中的文件,恶意代码就会开始运行。它可能会尝试下载数据窃取程序、特洛伊木马、通用形式的恶意软件等。GuLoader还能逃避网络检测并检测沙盒技术。例如,它可能会识别出在虚拟测试机中运行并拒绝加载。
5.png
https://www.malwarebytes.com/blog/news/2023/04/guloader-returns-with-a-rotten-shipment


6 ALPHV勒索软件团伙再次入侵西部数据系统并泄露图像

ALPHV勒索软件团伙(又名BlackCat)发布了从西部数据窃取的内部电子邮件和视频会议的屏幕截图,表明即使该公司对违规行为做出回应,他们也可能继续访问该公司的系统。据报道,威胁行为者与TechCrunch分享了被盗数据的样本,其中包括使用西部数据被盗的代码签名密钥签名的文件,未列出的公司电话号码以及其他内部数据的屏幕截图。虽然入侵者声称与ALPHV勒索软件团伙无关,但该团伙的数据泄露网站上很快出现了一条消息,警告说,如果他们不协商赎金,西部数据的数据将被泄露。
6.png
https://www.bleepingcomputer.com/news/security/hackers-leak-images-to-taunt-western-digitals-cyberattack-response/



您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-27 11:11

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表