【恶意软件】攻击者使用虚假浏览器更新分发NetSupport RAT
Chromeloader恶意软件的演变
研究人员发现针对中国用户的虚假Telegram下载网站
Ruzki PPI服务利用PrivateLoader部署恶意负载
PrivateLoader于 2021 年 5 月首次被观察到,是2022年使用最广泛的加载程序之一。Pay-Per-Install(PPI)服务使用PrivateLoader在受感染的主机上部署多个恶意负载。PPI是一种恶意软件服务,恶意软件运营商向PPI运营商提供有效载荷、请求的安装数量和目标地理位置。
自2021年5月起,ruzki(又名 les0k,zhigalsz)在地下俄语论坛和telegram频道上以相同的名称宣传PPI服务。在推出时,该服务每天可提供多达 20,000 次安装。PrivateLoader是Ruzki PPI恶意软件服务的专有加载程序,目前已经主动分发了包括信息窃取程序、勒索软件、僵尸网络和矿工软件等多种恶意软件。
【热点事件】优步公司网络遭黑客入侵
【勒索专题】LockBit勒索软件生成器遭泄露
一位名为“Ali Qushji”的新注册 Twitter 用户表示,他们的团队入侵了 LockBit服务器并找到了 LockBit 3.0 勒索软件的生成器。但LockBit的公共代表“LockBitSupp”声称,该团伙并没有被黑客入侵,泄密者是 Lockbit 勒索软件组织雇用的程序员,开发人员因心怀不满泄露了生成器。生成器由四个文件组成,一个加密密钥生成器、一个生成器、一个可修改的配置文件和一个用于构建所有文件的批处理文件。
Hive勒索软件团伙攻击纽约赛车协会
纽约救护车服务疑似遭到Hive勒索软件攻击
位于纽约的紧急响应和救护车服务提供商Empress EMS(紧急医疗服务)披露了一起涉及客户信息的数据泄露事件。根据通知,该公司于7月14日遭到勒索软件攻击。攻击者于5月26日获得了对该公司系统的访问权限,而后于7月13日窃取了一小部分文件,一些文件包含患者姓名、服务日期、保险信息以及社会安全号码。Empress EMS正在通知受影响的个人,并为符合条件的个人提供信用监控服务。Hive勒索软件团伙很可能为此次事件的攻击者,该团伙已于 7 月 26 日为 Empress EMS 数据泄露准备了一个非公开条目。
BlackCat勒索软件团伙攻击美国萨福克县
9月15日,BlackCat团伙在其暗网泄露网站上发布了信息,称其已加密超过4TB的数据来自美国萨福克县政府系统和政府承包商的系统。勒索团伙窃取的文件包括萨福克县法院记录、警长办公室记录、与纽约州的合同以及萨福克县公民的其他个人数据。
【金融行业】针对印度银行客户的恶意SMS活动
新版本的Android恶意软件正通过SMS 活动传播,该软件伪装成银行奖励应用程序,具有额外的远程访问木马 (RAT) 功能,目前被用于针对印度银行的客户。SMS活动发送包含指向信息窃取 Android 恶意软件的链接的消息。该恶意软件的 RAT 功能允许攻击者拦截重要的设备通知,包括银行和金融机构经常使用的双因素身份验证 (2FA) 消息。
加密货币公司Wintermute遭到攻击,损失约1.6亿美元
加密货币公司Wintermute已被黑客入侵,在DeFi业务中损失了1.622亿美元,但Cefi 和 OTC 业务不受影响。目前尚不清楚 Wintermute 黑客攻击的幕后黑手。公司CEO表示,愿意将此事视为“白帽事件”,黑客可以退还窃取的资金,在不被追究法律责任的前提下换取经济奖励。
【航空行业】美国航空公司遭入侵,导致员工信息泄露
9月16日,美国航空公司发布通知信,称一名未经授权的攻击者入侵了一定数量的公司员工的电子邮件账户。美国航空公司是全球机队规模最大的航空公司,拥有超过12万名员工,每天运营近 6700 班航班,飞往 50 多个国家的约 350 个目的地。在攻击中可能泄露的信息包括员工和客户的姓名、出生日期、邮寄地址、电话号码、电子邮件地址、驾驶执照号码、护照号码和某些医疗信息。美国航空公司尚未披露受影响客户的数量以及在事件中入侵的电子邮件帐户数量。
【恶意活动】攻击者滥用 WebLogic 漏洞进行挖矿活动
【攻击团伙】FBI警报:伊朗黑客针对阿尔巴尼亚政府进行网络行动
Webworm黑客团伙开发了三种远程访问木马
Webworm是一个至少从2017年开始活跃的黑客团伙,与一个名为 Space Pirates 的组织有关,主要针对俄罗斯、格鲁吉亚、蒙古和等亚洲国家的IT服务、航空航天和电力行业的组织。研究人员发现,Webworm团伙开发了三种较旧的远程访问木马的定制版本,包括Trochilus、Gh0st RAT 和 9002 RAT。
TeamTNT组织发起新一轮攻击活动
自 9 月初以来,研究人员发现TeamTNT组织发起了新一轮攻击,此次攻击使用了三种攻击类型,包括“Kangaroo攻击”、“Cronb攻击”和“What Will Be”攻击。在“Kangaroo攻击”中,攻击者扫描易受攻击的Docker守护进程,投放AlpineOS映像,并最终从GitHub获取求解器。
TeamTNT组织的DockerHub凭证泄露
TeamTNT组织正在从他们控制的至少两个DockerHub帐户中泄露凭据,即alpineos(超过 150,000 次拉取)和sandeep078(200 次拉取)。研究人员共发现了 30 个被盗用的账户,且发现攻击者使用的IP地址位于德国。这些 DockerHub 配置文件被积极用于部署包含以下内容的恶意图像:Rootkit、Docker 逃逸工具包、XMRig 门罗币矿工、凭证窃取器、Kinsing 恶意软件、Kubernetes 漏洞利用工具包。
UNC4034组织针对媒体公司部署AIRDRY.V2后门
2022年7月,研究人员发现了UNC4034组织针对传媒行业的新型鱼叉式钓鱼活动。攻击者首先通过WhatsApp与目标建立通信,并引诱他们下载恶意ISO软件包,该软件包以虚假的工作机会为诱饵,通过木马化PuTTY安装后门AIRDRY.V2。AIRDRY后门又名BLINDINGCAN,曾被与朝鲜有关的黑客组织用来攻击美国国防承包商以及在韩国和拉脱维亚的企业。早期版本的AIRDRY支持许多后门命令,包括文件传输、文件管理和命令执行。然而在最新版本中,传统的后门命令已被删除,取而代之的是支持多种通信模式的基于插件的方式。
【APT组织事件】俄罗斯Sandworm组织伪装成电信公司攻击乌克兰实体
俄罗斯黑客组织Sandworm正伪装成电信提供商,以攻击乌克兰实体。从 2022 年 8 月开始,研究人员观察到,使用伪装成乌克兰电信服务提供商的动态 DNS 域的 Sandworm 命令和控制 (C2) 基础设施有所增加。最近的活动旨在将 Colibri Loader 和 Warzone RAT等商品恶意软件部署到关键的乌克兰系统上。
响尾蛇组织(SideWinder)攻击预警
近日,安恒信息CERT捕获一批SideWinder APT组织样本,样本属于采用Delphi编写的Downloader,利用DotNetToJ技术加载远程JS代码,最终以无文件落地方式在内存加载执行C#编写的shell工具。在本次捕获的大量攻击样本的基础上,通过新旧版本的样本分析我们推测SideWinder组织使用了某种私有的Downloader生成工具,仅需修改基本配置即可生成新的攻击样本,而并非在每次攻击前编写攻击组件。
FBI称伊朗黑客曾潜伏在阿尔巴尼亚政府系统长达14个月之久
超过 39,000 个未经身份验证的 Redis 服务以加密货币活动为目标