免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Lazarus组织涉嫌在CoinEx交易所盗窃3100万美元的加密货币
自 2023 年 6 月以来,朝鲜附属的 Lazarus 集团已窃取近 2.4 亿美元的加密货币,标志着其黑客攻击大幅升级。根据已发布的多份报告,据该APT组织涉嫌于 2023 年 9 月 12 日从CoinEx 交易所盗窃了 3100 万美元的数字资产。针对 CoinEx 的加密货币盗窃案是近期针对 Atomic Wallet(1 亿美元)、CoinsPaid(3730 万美元)、Alphapo(6000 万美元)和 Stake.com(4100 万美元)的一系列攻击的在一个案例。从 CoinEx 窃取的部分资金被发送到 Lazarus 集团用来洗钱从 Stake.com 窃取的资金的地址,尽管是在不同的区块链上。随后,资金通过 Lazarus 之前使用的桥接至以太坊,然后发送回已知由 CoinEx 黑客控制的地址。
https://thehackernews.com/2023/09/north-koreas-lazarus-group-suspected-in.html
2 研究人员披露Turla组织最近活跃的十种恶意软件
Turla(又名 Peptic Ursa、Uroburos、Snake)是一个总部位于俄罗斯的威胁组织,至少自 2004 年起就开始活动,与俄罗斯联邦安全局 (FSB) 有联系。研究人员介绍 Peptic Ursa 武器库中最近活跃的 10 种恶意软件类型:Capibar、Kazuar、Snake、Kopiluwak、QUIETCANARY/Tunnus、Crutch、ComRAT、Carbon、HyperStack 和 TinyTurla。
https://unit42.paloaltonetworks.com/turla-pensive-ursa-threat-assessment/
3 研究人员披露Bumblebee恶意软件的网络攻击活动
Bumblebee 是一种加载程序,越来越多地被与勒索软件相关的攻击者使用,其中包括现已不复存在的 Conti 病毒和相对较新的 Akira。Bumblebee 采用 C++ 编程语言编写,被多个威胁参与者用来确保在高价值企业环境中获得初步立足点。Bumblebee 最近中断了两个月,这通常发生在攻击者暑假期间。但在 2023 年 8 月底,Bumblebee 的运营商恢复了活动。研究人员发现了利用新技术传播 Bumblebee 的攻击者。他们还更新了恶意软件,使其更难以破坏。此更新减少了 Bumblebee 对硬编码命令和控制 (C2) 服务器的依赖,而是使用域生成算法 (DGA) 来创建新的 C2 接触点。2023 年 9 月 7 日,观察到一场新的活动利用 Web 分布式创作和版本控制 (WebDAV) 服务器来传播 Bumblebee 有效负载。在此过程中,威胁行为者利用恶意垃圾邮件来分发 Windows 快捷方式 (.LNK) 和包含 .LNK 文件的压缩存档 (.ZIP) 文件。当用户激活时,这些 LNK 文件会执行一组预定的命令,旨在下载托管在 WebDAV 服务器上的 Bumblebee 恶意软件。
https://intel471.com/blog/bumblebee-loader-resurfaces-in-new-campaign
4 研究人员披露Money Message勒索软件组织攻击活动
Money Message勒索软件组织于 2023 年 3 月首次出现,该组织针对全球受害者,要求支付数百万美元的赎金,以免泄露数据并释放解密器。研究人员披露该组织可执行文件的配置,其中包含阻止勒索软件攻击的服务和进程。文件使用 ChaCha20 算法加密,密钥使用 ECDH(椭圆曲线 Diffie-Hellman)加密。加密文件的扩展名没有改变,但文件结构表明它们已被加密。
https://resources.securityscorecard.com/research/analysis-money-message-ransomware
5 研究人员披露Akira勒索软件利用虚拟机以绕过EDR
Akira 勒索软件组织自 2023 年 4 月以来一直在攻击受害者。研究人员观察到的一项新技术利用了将勒索软件部署到 Windows Hyper-V 虚拟机管理程序系统上,导致连接的虚拟机 ( VM )受到严重损坏。即使基于 Windows 的虚拟机管理程序和目标虚拟机正在运行重要的端点检测和响应 ( EDR ) 工具,威胁行为者也会通过在虚拟机管理程序上创建新的、不受监控的虚拟机来规避这一点,他们可以从中导航虚拟机管理程序上的目录并执行他们的勒索软件。
https://cybercx.com.au/blog/akira-ransomware/
6 ORBCOMM公司遭遇勒索软件攻击导致货运车队管理中断
卡车运输和车队管理解决方案提供商 ORBCOMM 已确认,勒索软件攻击是最近导致卡车运输公司无法管理其车队的服务中断的幕后黑手。ORBCOMM 是货运公司管理车队和跟踪运输资产的解决方案提供商。该公司还提供电子记录设备 (ELD),卡车司机可以用它来记录工作时间,以遵守联邦安全法规。自 9 月 6 日起,ORBCOMM 客户 报告称 ,他们无法跟踪运输的库存或使用 Blue Tree ELD 设备,迫使卡车司机改用纸质日志。由于卡车司机每 30 天只能使用纸质日志 8 天,因此卡车司机担心,除非获得豁免,否则他们将无法驾驶卡车。ORBCOMM 尚未透露造成中断的原因,直到最近才表示他们希望在 9 月 29 日之前恢复服务。在联系该公司后,ORBCOMM 确认他​​们于 9 月 6 日遭受了勒索软件攻击,影响了该公司的 FleetManager 解决方案和 Blue Tree 产品线。
https://www.bleepingcomputer.com/news/security/orbcomm-ransomware-attack-causes-trucking-fleet-management-outage/
www_bleepingcomputer_com_news_security_orbcomm_ransomware_at.pdf
(1.95 MB, 下载次数: 7)
|
发表于 2023-9-18 17:29