首頁 > 安全研究 > 安全通報 > 安全簡訊

烏克蘭至少11家電信公司遭到攻擊導致服務暫時中斷

發布時間 2023-10-18

1、烏克蘭至少11家電信公司遭到攻擊導致服務暫時中斷


據媒體10月17日報道,烏克蘭大量電信公司遭到攻擊。烏克蘭計算機應急響應小組(CERT-UA)透露,5月11日至9月27日,攻擊團伙(追蹤為UAC-0165)入侵了至少11家電信服務提供商的信息和通信系統(ICS),導致客戶服務中斷。攻擊首先利用工具masscan對目標網絡進行偵察尋找未保護的RDP或SSH接口,然后使用ffuf、dirbuster、gowitness和nmap等工具來檢索Web服務中的漏洞。研究人員在被入侵的ISP系統中還發現了兩個后門,即Poemgate和Poseidon。


https://thehackernews.com/2023/10/cert-ua-reports-11-ukrainian-telecom.html


2、美國堪薩斯州各地法院遭到勒索攻擊運營受到影響


媒體10月16日稱,在遭到勒索攻擊后,美國堪薩斯州各地的法院面臨著各種問題??八_斯州最高法院在上周四發布了一項行政命令,稱截至10月15日,法院書記官辦公室將無法進行電子歸檔。本周一,法院仍使用紙質記錄,且郵件系統處于關閉狀狀態??八_斯州塞奇威克縣法官透露,此次中斷是勒索攻擊導致的,但沒有透露攻擊團伙和贖金的相關信息。目前,對此事件的調查正在進行中,尚不確定系統何時會恢復。


https://www.bleepingcomputer.com/news/security/kansas-courts-it-systems-offline-after-security-incident/


3、電視廣告公司Ampersand遭到Black Basta勒索攻擊


據10月17日報道,美國電視廣告銷售和技術公司Ampersand遭到勒索攻擊。該公司由美國三大有線電視運營商共同擁有,自1981年以來一直為廣告商提供約8500萬戶家庭的收視數據。Ampersand稱最近遭到勒索攻擊,導致運營暫時中斷,目前已經恢復了大部分業務的運營。Black Basta在上周末表示對此次攻擊負責,但沒有透露竊取了多少數據,也沒有發布被盜數據樣本。


https://therecord.media/ampersand-television-advertising-sales-company-ransomware


4、Cloudflare發現偽裝成警報應用RedAlert的間諜軟件


Cloudflare在10月14日稱其發現惡意版本的RedAlert – Rocket Alerts應用程序,主要針對以色列的Android用戶。該惡意版本通過網站redalerts[.]me傳播,該網站創建于10月12日,可用于下載iOS和Android版本應用。其中iOS的下載會鏈接到合法的App Store頁面,Android下載直接提供惡意版本的APK。該APK使用了真正的RedAlert的代碼,但會請求額外權限。程序啟動后,后臺服務會濫用這些權限收集數據,并在CBC模式下用AES加密,上傳到一個硬編碼IP地址。目前,該網站已經關閉。


https://blog.cloudflare.com/malicious-redalert-rocket-alerts-application-targets-israeli-phone-calls-sms-and-user-information/


5、研究人員披露通過Discord分發Lumma Stealer的活動


10月16日,Trend Micro詳述了攻擊者如何利用Discord的內容交付網絡(CDN)來托管和傳播Lumma Stealer,并討論了該信息竊取惡意軟件的新增功能。攻擊者通常使用隨機Discord帳戶向目標發送消息,通過為項目尋求幫助并提供10美元或Discord Nitro boost來誘惑目標。目標同意后會被要求下載一個文件,其中包含Lumma Stealer。據稱,Lumma Stealer還會加載其它惡意軟件,并能夠利用人工智能和深度學習來檢測機器人。


https://www.trendmicro.com/en_us/research/23/j/beware-lumma-stealer-distributed-via-discord-cdn-.html


6、Unit42發布關于XorDDoS攻擊活動的深入分析報告


10月16日,Unit42發布了關于XorDDoS攻擊活動的深入分析報告。此次分析的活動于7月28日開始,并于8月12日激增,成功入侵了位于21個國家/地區的系統,其中大部分攻擊流量集中在非洲、南亞和東南亞。該木馬感染Linux設備并將其加入為僵尸網絡以執行DDoS攻擊,攻擊者利用了以前濫用過的C2域協調僵尸網絡。然而,他們最近將其C2服務器從公共托管服務遷移到了新的IP地址。


https://unit42.paloaltonetworks.com/new-linux-xorddos-trojan-campaign-delivers-malware/

上一篇 下一篇