首頁 > 安全研究 > 安全通報 > 安全簡訊

Lancefly利用后門Merdoor攻擊南亞和東南亞的組織

發布時間 2023-05-17

1、Lancefly利用后門Merdoor攻擊南亞和東南亞的組織


Symantec在5月15日披露了APT組織Lancefly針對南亞和東南亞的政府、航空和電信組織的攻擊活動。自2018年以來,Lancefly一直在針對性的攻擊活動中分發隱蔽的自定義后門Merdoor,以在目標網絡上建立持久性、執行命令和記錄鍵盤。一旦進入目標系統,攻擊者就會通過DLL側載將Merdoor后門注入合法進程perfhost.exe或svchost.exe,旨在繞過檢測。此外,攻擊活動還使用了更新版本的ZXShell rootkit。


https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lancefly-merdoor-zxshell-custom-backdoor


2、Check Point發現Camaro Dragon攻擊歐洲外交組織的活動


5月16日,Check Point稱其發現了Camaro Dragon通過感染住宅TP-Link路由器,來攻擊歐洲外交事務組織的活動。尚未確定攻擊者如何使用惡意固件鏡像感染TP-Link路由器,但可能是通過漏洞利用或暴力破解管理員憑據。調查發現了兩個木馬化固件鏡像樣本,與合法版本進行比較,發現內核和uBoot部分是相同的。但是,惡意固件使用了一個自定義的SquashFS文件系統,該系統包含額外的惡意文件組件,作為Horse Shell后門的一部分。


https://research.checkpoint.com/2023/the-dragon-who-sold-his-camaro-analyzing-custom-router-implant/


3、航空公司airBaltic將部分乘客的預訂信息發送給其他人


據媒體5月15日報道,拉脫維亞的旗艦航空公司airBaltic因技術錯誤,將部分乘客的預訂信息發送給其他乘客。5月14日,多名airBaltic乘客稱其收到了發給其他人的電子郵件。泄露信息包括姓名、出生日期和郵件地址等。airBaltic透露該事件并非由網絡攻擊引起,5月12日,在airBaltic的郵件分發系統中檢測到內部技術問題,因此少數乘客(約占0.009%的預訂)收到了錯誤的郵件。


https://www.bleepingcomputer.com/news/security/airline-exposes-passenger-info-to-others-due-to-a-technical-error/


4、Cisco披露RA Group針對美國和韓國公司的攻擊活動


Cisco Talos于5月15日披露了新勒索團伙RA Group的攻擊活動,入侵了三個美國的組織和一個韓國的組織。該活動至少從4月22日開始活躍,涉及多個垂直行業,包括制藥、保險、財富管理和制造公司。攻擊者使用了泄露的勒索軟件Babuk的源代碼。RA Group的加密程序采用間歇加密,加密數據時,會使用curve25519和eSTREAM cipher hc-128算法。研究人員透露該活動正處于早期階段。


https://blog.talosintelligence.com/ra-group-ransomware/


5、Academy Mortgage遭到BlackCat團伙的勒索攻擊


媒體5月15日報道,Academy Mortgage遭到了勒索團伙BlackCat的攻擊。在同意支付3850萬美元以解決聯邦指控的幾個月后,Academy Mortgage又遭到了勒索攻擊。5月14日,勒索團伙將Academy Mortgage添加到其網站,稱其獲得了機密數據并準備發布,包括客戶/合作伙伴的數據、個人信息、財務和機密數據等。攻擊者還提到了該公司之前的麻煩,稱考慮到貴公司在2022年12月面臨的指控,數據泄露可能會對公司的聲譽和信譽造成毀滅性影響。BlackCat表示該公司拒絕支付任何費用。


https://www.databreaches.net/only-months-after-dealing-with-one-problem-academy-mortgage-gets-hit-with-a-ransomware-attack/


6、Group-IB發布關于勒索軟件Qilin的技術分析報告


5月15日,Group-IB發布了關于勒索軟件Qilin的RaaS程序的分析報告。Qilin,又名Agenda,在2022年8月被發現,一直針對關鍵行業的公司,使用Rust和Go語言(Golang)開發的勒索軟件。3月,Group-IB發現Qilin在RaaS模式下運作,并為其附屬組織提供管理面板,分為argets、Blogs、Stuffers、News、Payments和FAQs等部分,以更有效地管理攻擊。據悉,這些附屬組織可從每筆贖金中賺取80%至85%的收益。


https://www.group-ib.com/blog/qilin-ransomware/

上一篇 下一篇