免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 APT28组织针对乌克兰关键能源基础设施进行网络攻击
乌克兰计算机紧急响应小组 (CERT-UA) 周二表示,它发现了针对该国一个未命名的关键能源基础设施的网络攻击。据该机构称,此次入侵始于一封网络钓鱼电子邮件,其中包含指向激活感染链的恶意 ZIP 存档的链接。CERT-UA表示:“访问该链接会将包含三个 JPG 诱饵图像和 BAT 文件 weblinks.cmd 的 ZIP 存档下载到受害者的计算机上”,并将其归因于名为 APT28(又名 BlueDelta)的俄罗斯威胁行为者。当 CMD 文件运行时,将打开多个诱饵网页,创建 .bat 和 .vbs 文件,并启动 VBS 文件,VBS 文件进而执行BAT文件。攻击的下一阶段包括在受感染的主机上运行 whoami 命令并窃取信息,同时下载 TOR 隐藏服务来路由恶意流量。持久性是通过计划任务实现的,远程命令执行是通过名为 webhook.site 的合法服务使用 cURL 实现的,该服务最近被披露为被称为 Dark Pink 的威胁行为者使用。CERT-UA 表示,由于对 Mocky 和 Windows Script Host ( wscript.exe ) 的访问受到限制,此次攻击最终没有成功。APT28 过去曾与 Mocky API 的使用有关。
https://cert.gov.ua/article/5702579?fbclid=IwAR3XlwoRXJ793jQf96FKqvcTE6rgQtQri--9_QnzH70ceeJtE2w6OcPxL-g
2 研究人员披露针对酒店业的供应链攻击活动
度假租赁软件已从奢侈品转变为酒店、度假村和小型企业的必备软件,简化了预订、宾客互动和物业管理。虽然度假租赁软件似乎专注于预订,但它包含信用卡信息、客人偏好和通信等有价值的数据。这些数据是网络犯罪分子寻求经济利益或未经授权访问的主要目标。特别是信用卡信息,出于经济动机的黑客会关注,此类信息占酒店攻击活动的 41%。对于小酒店来说,定制软件既昂贵又耗时,因此他们选择来自值得信赖的提供商的第三方解决方案。但这种依赖带来了一个新问题:供应链脆弱性。研究人员发现了最近针对美国一家小型度假村的网络攻击活动。该企业采用了Resort Data Processing, Inc.的产品IRM Next Generation(“IRM-NG”)在线预订引擎。调查发现,预订引擎软件中存在一系列安全漏洞,这些漏洞是由经验丰富的攻击者精心策划的。该事件似乎是更大规模的协调行动的一部分,因为攻击者表现出了对该软件架构和内部工作原理的深入了解。攻击者超越了传统的攻击方法,开发了旨在与合法网络流量无缝集成的定制恶意软件,从而促进敏感数据的秘密泄露。与其他人一样,威胁行为者的目标是在最小化努力的同时最大化自己的收益。如果能够带来稳定的收入,他们愿意投入时间和资源来制作自定义攻击。
https://www.bitdefender.com/blog/businessinsights/deep-dive-into-supply-chain-compromise-hospitalitys-hidden-risks/
3 研究人员披露Agent Tesla恶意软件新变种的钓鱼攻击活动
研究人员捕获了一次传播新 Agent Tesla 变种的网络钓鱼活动。这个著名的恶意软件家族使用基于 .Net 的远程访问木马 (RAT) 和数据窃取程序来获得初始访问权限。它通常用于恶意软件即服务 (MaaS)。研究人员对该活动进行了深入分析,从最初的网络钓鱼电子邮件到安装在受害者计算机上的 Agent Tesla 的操作,再到从受影响的设备收集敏感信息。在本次分析中,研究人员介绍了该攻击的内容,例如钓鱼邮件如何发起攻击活动、如何利用CVE-2017-11882/CVE-2018-0802漏洞(而非VBS宏)进行下载和攻击。在受害者的设备上执行 Agent Tesla 文件,以及 Agent Tesla 如何从受害者的设备收集敏感数据,例如凭据、按键记录和受害者屏幕截图。尽管Microsoft 于 2017 年 11 月和 2018 年 1 月发布了CVE-2017-11882 / CVE-2018-0802修复程序,但此漏洞在威胁参与者中仍然很常用,这表明即使在五年多之后,仍然存在未修补的设备。研究人员每天在 IPS 级别观察并缓解 3000 次攻击。每天观察到的易受攻击的设备数量 约为 1300 台。
https://www.fortinet.com/blog/threat-research/agent-tesla-variant-spread-by-crafted-excel-document?&web_view=true
4 Mirai僵尸网络变种Pandora劫持安卓电视进行网络攻击
据观察,一种名为Pandora的Mirai 僵尸网络变种渗透到基于 Android 的廉价电视机和电视盒,并将它们用作僵尸网络的一部分来执行分布式拒绝服务 (DDoS) 攻击。研究人员表示,这些危害很可能发生在恶意固件更新期间或安装用于观看盗版视频内容的应用程序时。这个更新很可能已经可以从多个网站下载,因为它是使用公开的 Android 开源项目测试密钥进行签名的。运行后门的服务包含在 boot.img 中,使其能够在系统重新启动之间持续存在。在其他分发方法中,怀疑用户被欺骗通过主要针对西班牙语用户的网站安装用于流式传输盗版电影和电视节目的应用程序。安装应用程序后,它会在后台启动“GoMediaService”服务,然后用于解压许多文件,包括以提升权限运行的解释器和 Pandora 安装程序。Pandora 的目的是联系远程服务器,用流氓变体替换系统上的主机文件,并接收额外的命令以通过 TCP 和 UDP 协议发起 DDoS 攻击并打开反向 shell。该活动的主要目标是廉价的 Android 电视盒,如 Tanix TX6 TV Box、MX10 Pro 6K 和 H96 MAX X3,它们配备了 Allwinner 和 Amlogic 的四核处理器,使其成为发起 DDoS 攻击的理想选择。
https://news.drweb.com/show/?lng=en&i=14743
5 勒索软件组织Dunghill Leak称窃取了旅行预订公司Sabre的数据
旅行预订巨头 Sabre 表示,在勒索集团的泄密网站上出现了一批据称从该公司窃取的文件后,该公司正在调查有关网络攻击的指控。Sabre 是一家旅行预订系统,也是航空旅客和预订数据的主要提供商,其软件和数据用于为航空公司和酒店预订、办理登机手续和应用程序提供支持。许多美国航空公司和连锁酒店都依赖该公司的技术。Sabre 称了解到威胁组织提出的数据泄露指控,我们目前正在调查以确定其真实性。Dunghill Leak 组织在其暗网泄露网站上的一份列表中声称对其明显的网络攻击负责,声称该攻击窃取了约 1.3 TB 的数据,包括门票销售和乘客流动率的数据库、员工的个人数据和公司财务信息。该组织发布了他们据称窃取的部分文件,并声称完整的缓存将很快可用。研究人员观察到的屏幕截图显示了与预订详细信息和账单相关的多个数据库名称,其中包含数千万条记录,但尚不清楚黑客本身是否有权访问这些数据库。看到的一些屏幕截图包含与员工有关的记录,包括电子邮件地址和工作地点。一张屏幕截图包含员工姓名、国籍、护照号码和签证号码。其他几张屏幕截图显示了获得授权在美国工作的雇员的几张美国 I-9 表格。根据 LinkedIn 个人资料,在缓存中发现的几本护照与 Sabre 员工相对应,其中包括一名 Sabre 副总裁。目前尚不清楚所谓的违规行为发生的时间,但勒索组织发布的屏幕截图显示的数据似乎是 2022 年 7 月的最新数据。
https://techcrunch.com/2023/09/06/ransomware-gang-claims-credit-for-sabre-data-breach/?&web_view=true
6 明尼阿波利斯学区称数据泄露影响了超过10万人
明尼阿波利斯公立学校已开始通知超过 100000 人,他们的个人信息可能在今年年初的网络攻击后被泄露。据当地媒体报道,学校系统上周晚些时候开始发送信件,周二缅因州数据泄露通知网站上发布的通知称,有 105617 人受到影响。Medusa 勒索软件组织声称对 3 月 7 日的攻击负责,并索要 100 万美元来解密该学校系统。学区没有付款。十天后,该团伙泄露了数据,包括看似高度敏感的学生文件,并发布了一段 51 分钟的视频,其中包括据称被盗信息的屏幕截图。学区在通知信中表示,它会更早通知受害者,但需要时间进行全面审查,以确定泄露中是否存在敏感信息。信中说,这个过程非常耗时,需要计算机辅助和人工审核。这个过程于 2023 年 7 月 24 日完成。虽然很难不尽快与您分享更多信息,但审核的准确性和完整性至关重要。该违规行为从 2 月 6 日开始,至少持续到 2 月 18 日,当时该学校表示它意识到了可疑活动并通知了执法部门。
https://therecord.media/minneapolis-schools-say-data-breach-affected-100000?&web_view=true
|
发表于 2023-9-10 11:15