免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 监控公司RCS Labs在ISP的帮助下分发Hermit间谍软件
谷歌威胁分析小组公布了其对高度复杂的Hermit间谍软件的调查结果。报告称,意大利间谍软件提供商RCS Labs获得了几家互联网服务提供商(ISP)的支持,使用商业监控工具在哈萨克斯坦和意大利的iOS和Android智能手机上分发Hermit间谍软件。研究人员表示,这次行动主要依靠“驱动下载”,这证明攻击者可能并不总是依靠漏洞来获得设备的广泛权限。攻击者在ISP的支持下使受害者的互联网连接中断,目标的ISP禁用了他们的移动数据连接。然后,受害者被要求安装一个恶意应用程序以恢复数据连接,这些恶意应用程序伪装成合法的移动运营商应用程序。
https://www.hackread.com/isps-he ... mit-spyware-google/
2 多个后门Python库被发现窃取AWS机密和密钥
研究人员在官方第三方软件资源库中发现了大量恶意Python包,这些包被设计用来将AWS凭证和环境变量泄露到公开暴露的端点。这个恶意包列表包括loglib-modules、pyg-modules、pygrata、pygrata-utils和hkg-sol-utils。这些包和端点现在都已被撤下。注入到“loglib-modules”和“pygrata-utils”中的恶意代码允许程序包获取AWS凭证、网络接口信息和环境变量,并将它们导出到远程端点:“hxxp://graph.pygrata[.]com:8000/upload”。令人不安的是,以数百个.TXT文件的形式托管这些信息的端点没有任何身份验证的保护,允许网络上的任何一方访问这些凭证。
https://thehackernews.com/2022/0 ... thon-libraries.html
3 Conti勒索软件团伙关闭了其最后一个面向公众的基础设施
Conti勒索软件团伙终于关闭了其最后一个面向公众的基础设施,其中包括两台Tor服务器,这两台服务器用于泄露数据并与受害者进行谈判。根据威胁情报分析师Ido Cohen的说法,Conti的服务器于周三关闭,它们截至今天仍处于离线状态。5 月,媒体首次报道Conti已开始关闭其运营,告诉会员该品牌已不复存在,并停用内部基础设施,包括通信和存储服务器。然而Conti留下了一名成员继续泄露数据并嘲弄哥斯达黎加的机构,以制造一个正在行动的假象,而其成员悄悄地转移到其他勒索软件团伙。
https://www.bleepingcomputer.com ... -negotiation-sites/
Conti shuts down data leak sites.pdf
(2.15 MB, 下载次数: 2)
4 Black Basta勒索软件在过去两个月内成为主要威胁
在短短几个月的时间里,Black Basta勒索软件已经成为一种主要的新威胁。有证据表明,它在2022年2月仍在研发中,直到2022年4月才开始运行。自那以后,Black Basta组织已经宣称对英语国家的36名受害者负责,而且这个数字还在增加。2022年4月20日,一位名为BlackBasta的用户在地下论坛上宣布,有意购买企业网络接入权,并从中分得一杯羹。这有助于解释它的迅速崛起。研究人员报告称,6月初新的Black Basta组织与QBot恶意软件运营商合作传播他们的勒索软件,这表明Black Basta正在复制主要勒索软件团伙的技术。研究人员说:“Black Basta很可能是由已解散的Conti和REvil团伙的前成员运营的,这是2021年最赚钱的两个勒索软件团伙。”
https://www.securityweek.com/bla ... r-threat-two-months
Black Basta Becomes Major Threat.pdf
(865.54 KB, 下载次数: 5)
5 区块链风险投资公司Harmony的跨链桥遭到黑客攻击
区块链风险投资公司Harmony提供跨不同区块链传输加密货币的桥梁服务。该公司通过推特表示,其表面上安全的桥梁之一Horizon Ethereum Bridge被攻破,导致损失了85867个ETH代币,预计价值超过1亿美元。Veracode的安全研究员兼首席技术官Chris Wysopal在推特上说:“区块链桥是加密攻击者的最新目标,在软件安全领域,两个不同系统相互连接的复杂性往往会造成漏洞。”在攻击发生后,Harmony的交易所合作伙伴以及联邦调查局都得到了通知,希望能够找到罪犯和追回资金,这些资金仍存放在一个可见的加密钱包中。
https://www.theregister.com/2022 ... yptocurrency_theft/
6 攻击者利用Mitel VOIP设备中的零日漏洞入侵网络
最近研究人员发现Mitel VOIP设备作为勒索软件攻击某组织网络的入口。攻击者利用Mitel设备上的一个远程代码执行零日漏洞来获得对目标环境的初始访问权。该漏洞编号为CVE-2022-29499,CVSS评分为9.8。专家们确定,恶意活动源自一个内部IP地址,该IP地址与一台位于网络外围、基于linux的Mitel VOIP设备有关,而该设备并没有安装CrowdStrike Falcon传感器。取证调查显示,攻击者试图删除文件并覆盖设备上的可用空间。该攻击链涉及两个HTTP GET请求,用于从远程服务器检索特定资源并执行恶意代码。
https://securityaffairs.co/wordp ... somware-attack.html
|
发表于 2022-6-27 01:21