https://blog.cyble.com/2023/06/22/mallox-ransomware-implements-new-infection-strategy/
Mallox勒索软件是一种在2021年6月首次出现的恶意软件,它的特点是在加密文件后添加目标公司的名称作为文件扩展名。这种勒索软件也被称为“TargetCompany”,因为它会在加密文件后添加“.mallox”或“.malox”扩展名。研究人员最近发现了Mallox勒索软件的新变种,它采用了一种新的感染策略,不再需要从远程服务器下载勒索软件载荷,而是将其嵌入到一个批处理脚本中,然后注入到“MSBuild.exe”中,不在磁盘上保存任何文件。这种方式可以增加勒索软件的隐蔽性和逃避检测的能力。据统计,Mallox勒索软件已经公开披露了来自15个国家的20多个受害者的信息,其中印度是最受攻击的国家,其次是美国。受影响的行业主要包括制造业、能源和公用事业、IT和ITES以及专业服务行业。
美国国家安全局(NSA)发布了一份指南,旨在帮助网络防御者应对BlackLotus恶意软件的威胁。BlackLotus是一种利用微软Windows安全启动过程中的一个已知漏洞绕过Secure Boot保护的恶意软件,它可以在系统启动时加载恶意代码,从而控制系统并窃取敏感数据。NSA指出,BlackLotus恶意软件是由一个名为“DarkHalo”的网络攻击组织开发和使用的,该组织曾在2021年针对美国政府机构和私营公司发动大规模的供应链攻击。NSA的指南提供了一系列的检测和缓解措施,包括更新和修复受影响的Windows系统,使用可信平台模块(TPM)和BitLocker加密技术来保护系统,以及使用NSA推荐的网络安全标准和最佳实践来提高网络防御能力。
https://blog.cyble.com/2023/06/23/trojanized-super-mario-game-installer-spreads-supremebot-malware/
SupremeBot恶意软件是一种利用伪装成超级马里奥游戏安装程序的方式传播的恶意软件,它可以在用户的电脑上安装多个恶意组件,包括一个XMR挖矿器、一个SupremeBot挖矿客户端和一个开源的Umbral窃密器。研究人员发现了一个名为“Super-Mario-Bros.exe”的可疑文件,它是一个32位的Nullsoft Installer(NSIS)自解压归档可执行文件,它包含了一个合法的超级马里奥游戏安装程序“super-mario-forever-v702e.exe”和两个恶意可执行文件“java.exe”和“atom.exe”。当用户运行“Super-Mario-Bros.exe”文件时,它会在%appdata%目录下释放“super-mario-forever-v702e.exe”文件并执行它,显示一个安装向导,让用户继续安装“super-mario-forever-v7.02”程序。同时,它也会在后台运行“java.exe”和“atom.exe”文件,分别执行XMR挖矿器和SupremeBot挖矿客户端。SupremeBot挖矿客户端会从远程服务器下载并执行Umbral窃密器,这是一种可以窃取用户的浏览器、电子邮件、FTP、加密货币钱包等敏感信息的恶意软件。Umbral窃密器会将收集到的信息打包成一个ZIP文件,并通过SMTP协议发送给攻击者。
https://www.justice.gov/usao-sdny/pr/uk-citizen-sentenced-five-years-prison-cybercrime-offenses
Joseph James O’Connor(又名PlugwalkJoe),24岁,是一名英国公民,他参与了2020年7月对推特的大规模黑客攻击,该攻击导致130个知名账号被劫持,并用于实施一场涉及12万美元的加密货币诈骗。O’Connor于上周五在美国纽约南区被判处五年监禁,这是在他一个月多前承认了自己的罪行之后。他于2021年7月在西班牙被捕。美国司法部(DoJ)表示,O’Connor和他的同伙利用了推特后台工具中的一个已知漏洞,获取了未经授权的访问权限,然后利用这些权限发送推文,诱骗用户向一个比特币地址转账,声称会双倍返还。除了参与推特黑客攻击外,O’Connor还被指控实施了多起SIM卡交换攻击,窃取用户的Snapchat和TikTok账号,并在一起案件中针对一家位于纽约的加密货币公司,窃取了价值约79.4万美元的加密货币。O’Connor还被指控对两名受害者进行网络跟踪,其中一名是未成年人,在2020年6月和7月期间,他假冒受害者发出威胁要枪杀他人的信息,试图引发执法部门的反应。
https://www.documentcloud.org/documents/23859182-southwest-data-breach-notification-letters
美国航空和西南航空是世界上最大的两家航空公司,它们在近日披露了一起数据泄露事件,该事件是由一家第三方供应商Pilot Credentials的黑客攻击造成的。Pilot Credentials是一家管理多家航空公司的飞行员申请和招聘门户的供应商。美国航空在一份通知信中表示,Pilot Credentials于2023年6月18日通知了美国航空,称其系统于2023年5月24日遭到了未经授权的访问,导致部分美国航空飞行员的个人信息被泄露。这些信息包括姓名、地址、电话号码、电子邮件地址、出生日期、社会安全号码、驾驶执照号码、护照号码、飞行员证书号码和医疗证书号码等。美国航空表示,目前没有证据表明这些信息被用于欺诈或身份盗窃等目的,但仍建议受影响的飞行员监控他们的账户和信用报告,并提供了免费的信用监控服务。
https://www.hhs.gov/sites/default/files/june-2023-seo-poisoning-analyst-note-tlpclear.pdf
搜索引擎优化(SEO)投毒攻击是一种故意操纵搜索结果,引导用户访问植入恶意软件的网站的攻击方式,这种攻击方式在医疗行业日益增多,美国联邦监管机构发出警告。美国卫生部的卫生部门网络安全协调中心(HHS HC3)发布了一份警报,提醒医疗行业注意SEO投毒攻击的威胁。该警报称,这种攻击方式最近经常针对美国医疗和公共卫生部门。HHS HC3表示,SEO投毒攻击的幕后黑手利用诸如谷歌等搜索引擎,使得第一个广告链接实际上指向攻击者控制的网站,“通常是为了感染访问者的恶意软件或者通过广告欺诈吸引更多人”。随着医疗行业越来越数字化,这种攻击方式的目标也越来越多。不仅仅是美国的医疗机构受到这种攻击,研究人员在今年一月份报告称,Gootkit恶意软件背后的犯罪团伙也利用SEO投毒攻击了澳大利亚的医疗行业。
https://www.fortiguard.com/psirt/FG-IR-23-074
网络安全解决方案公司Fortinet更新了其零信任访问解决方案FortiNAC,以解决攻击者可利用该漏洞来执行代码和命令。FortiNAC允许组织管理网络范围的访问策略,获得设备和用户的可见性,并保护网络免受未经授权的访问和威胁。该安全问题被跟踪为CVE-2023-33299,严重程度评分为9.6(满分10)。它是不受信任数据的反序列化,可能导致未经身份验证的远程代码执行(RCE)。供应商没有提供缓解建议,因此建议的操作是应用可用的安全更新。CVE-2023-33299是由提供红队、渗透测试和威胁情报服务的Code White公司的Florian Hauser发现的。
https://cybernews.com/security/doj-creates-new-national-security-cyber-section/
新成立的部门正式简称为 NatSec Cyber,是为了响应美国司法部长办公室在司法部 (DoJ) 2022 年全面网络审查中的核心调查结果而创建。
https://www.manchester.ac.uk/discover/news/cyber-incident-update/
曼彻斯特大学最终证实,六月初披露的网络攻击背后的攻击者窃取了校友和在校学生的数据。该大学于6月9日首次披露了此次攻击 ,警告数据可能被盗,但表示该事件与MOVEit Transfer数据盗窃攻击无关。“根据我们的调查,我们认为一小部分数据被复制,涉及一些学生和一些校友。我们已直接写信给那些可能受到此影响的个人,”该大学表示。“我们尚未发现任何未经授权访问银行账户或银行卡支付详细信息的情况,我们不会在上述系统上存储此类信息。 ”该大学表示,正在与相关当局合作调查这一事件,包括信息专员办公室、国家网络安全中心(NCSC)、国家犯罪局和其他监管机构。
加密劫持是非法使用计算资源来挖掘加密货币的行为,近年来变得越来越普遍,攻击者围绕攻击工具、基础设施和服务构建网络犯罪框架,通过针对包括物联网在内的各种易受攻击的系统来获取收入。微软研究人员最近发现了一种利用自定义和开源工具来针对面向互联网的基于Linux的系统和物联网设备的攻击。该攻击使用OpenSSH的修补版本来控制受影响的设备并安装加密挖矿恶意软件。利用已建立的犯罪基础设施(其中包含使用东南亚金融机构的子域作为命令和控制(C2)服务器),攻击背后的威胁行为者使用后门,该后门部署了各种工具和组件,例如Rootkit和IRC机器人窃取设备资源以进行挖矿操作。该后门还在受影响的设备上安装OpenSSH的修补版本,允许威胁行为者劫持SSH凭证、在网络内横向移动并隐藏恶意SSH连接。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。