首頁 > 安全研究 > 安全通報 > 安全簡訊

TA544利用WikiLoader針對意大利的企業分發Ursnif

發布時間 2023-08-02

1、TA544利用WikiLoader針對意大利的企業分發Ursnif


Proofpoint在7月31日披露了利用新惡意軟件WikiLoader針對意大利企業的攻擊活動。WikiLoader是一個復雜的下載程序,因為它會向Wikipedia發出請求并檢查響應內容中是否包含字符串“The Free”而得名。Proofpoint于2022年12月27日首次在野外檢測到該惡意軟件,由TA544傳播。研究人員稱,至少有8個活動在分發WikiLoader,來自TA544和TA551,均針對意大利的組織。此外,雖然大多數攻擊者已不再使用啟用宏的文檔來傳播惡意軟件,但TA544仍在攻擊鏈中使用它們,包括傳播WikiLoader。


https://www.proofpoint.com/us/blog/threat-insight/out-sandbox-wikiloader-digs-sophisticated-evasion


2、美國服飾公司Hot Topic遭到撞庫攻擊泄露客戶的信息


據媒體8月1日報道,美國服飾及授權音樂零售連鎖店Hot Topic透露其遭到了多起攻擊事件,導致客戶的敏感信息泄露。該公司在美國擁有675家商店,以及每月近1000萬訪問量的在線商店。該公司解釋說,黑客使用竊取的帳戶憑據多次訪問了Rewards平臺,可能獲得了客戶的數據。經調查,攻擊者于2023年2月7日、3月11日、5月19日至21日、5月27日至28日和6月18日至21日,使用有效帳戶憑據對網站和移動應用執行了自動攻擊。該公司表示,Hot Topic不是泄露憑證的來源,但也無法找到來源。


https://www.bleepingcomputer.com/news/security/retail-chain-hot-topic-discloses-wave-of-credential-stuffing-attacks/


3、Henry Ford Health遭釣魚攻擊近17萬患者信息泄露


據7月27日報道,美國的學術醫療機Henry Ford Health稱其3名員工遭到釣魚攻擊,影響了168215個患者的信息。該機構在聲明中表示,攻擊事件發生于3月30日,該組織已將被影響的電子郵件帳戶保護起來并展開調查。5月16,確定患者的健康信息包含在電子郵箱中,并且可能已被攻擊者竊取,涉及姓名、實驗室結果、手術類型、診斷、電話號碼、病歷號和內部跟蹤號等信息。該公司表示,他們正在實施額外的安全措施,并將為員工提供安全培訓。


https://www.bankinfosecurity.com/phishing-scam-affects-nearly-170k-henry-ford-health-patients-a-22672 


4、Cado發現可針對Redis服務器的P2PInfect蠕蟲新變體


7月31日,Cado發現了一種針對Redis的新型惡意軟件活動。該惡意軟件被開發者命名為P2Pinfect,用Rust開發,充當僵尸網絡代理。研究人員分析的樣本包括一個嵌入式PE文件以及一個ELF二進制文件,這表明了Windows和Linux之間具有跨平臺兼容性。它還利用復制功能來攻擊Redis數據存儲的實例。此外,P2Pinfect試圖通過Cron未經身份驗證的RCE機制攻擊Redis主機。該活動背后的攻擊者身份尚不清楚,P2PInfect的目的也不清楚。


https://www.cadosecurity.com/redis-p2pinfect/


5、Minecraft mod漏洞BleedingPipe已被大規模利用


媒體7月31日報道稱,黑客正在利用Minecraft mod中的RCE漏洞BleedingPipe在服務器和客戶端執行惡意命令,從而控制設備。BleedingPipe漏洞最初于2022年3月被利用,但很快就被mod開發者修復了。然而在7月早些時候,Forge論壇的一篇帖子稱,有人利用未知RCE來大規模竊取玩家的Discord和Steam會話cookie。進一步研究發現,多個Minecraft mod中也存在BleedingPipe漏洞。攻擊者正在掃描受該漏洞影響的Minecraft服務器并執行攻擊,因此修復服務器上易被攻擊的mod至關重要。


https://www.bleepingcomputer.com/news/security/hackers-exploit-bleedingpipe-rce-to-target-minecraft-servers-players/


6、Bahamut通過假冒的Android應用SafeChat竊取信息


7月28日,CYFIRMA稱其發現了一個可疑的Android惡意軟件,偽裝成虛假的聊天應用SafeChat,竊取手機的通話記錄、短信和GPS位置等數據。該惡意軟件被懷疑是Coverlm的變種,會竊取Telegram、Signal、WhatsApp、Viber和Facebook Messenger等通訊應用的數據。該活動與印度黑客團伙Bahamut有關,主要通過WhatsApp上的魚叉式釣魚消息進行,主要針對南亞地區。此外,該活動與印度的另一個黑客團伙DoNot的活動有相似之處。


https://www.cyfirma.com/outofband/apt-bahamut-targets-individuals-with-android-malware-using-spear-messaging/

上一篇 下一篇