首頁 > 安全研究 > 安全通報 > 安全簡訊

LOCKBIT 卷土重來,威脅瞄準更多政府組織

發布時間 2024-02-27

1. LOCKBIT 卷土重來,威脅瞄準更多政府組織


2月26日,在執法部門抓獲 LockBit 團伙的部分成員后,LockBit 團伙卷土重來并建立了新的基礎設施。NCA 及其全球合作伙伴已獲得 1,000 多個解密密鑰,這些密鑰將允許該團伙的受害者免費恢復他們的文件。NCA 將在未來幾天或幾周內聯系英國的受害者,提供支持以幫助他們恢復加密數據。LockBit團伙并不是試圖重新啟動其 RaaS 業務,而是已經建立了新的基礎設施,并威脅要對政府部門進行網絡攻擊。該團伙在其網站上添加了 12 名受害者,其中 5 名受害者的截止日期已到。


https://securityaffairs.com/159584/cyber-crime/lockbit-gang-resumed-raas.html


2. 黑客從 Axie Infinity 聯合創始人的個人賬戶竊取近 1000 萬美元


2月24日,視頻游戲 Axie Infinity 和相關 Ronin Network 的聯合創始人之一的個人賬戶中近 1000 萬美元的加密貨幣被盜。報道稱,Jeff “Jihoz” Zirlin 的錢包被黑客入侵,損失了 3,248 個以太幣,約合 970 萬美元。周四晚,齊林在社交媒體上證實,他的兩個賬戶遭到泄露。Ronin Network 是Axie Infinity的基礎,Axie Infinity 擁有基于以太坊的即玩即賺經濟。它在東南亞特別受歡迎。2022 年 3 月,黑客從該系統中竊取了 6 億美元的加密貨幣,美國檢察官隨后將此次攻擊歸咎于朝鮮國家支持的網絡犯罪組織 Lazarus Group。分析師追蹤到從 Zirlin 賬戶被盜的資金來自 Tornado Cash 的活動,Tornado Cash 是一個旨在隱藏加密貨幣來源的混合器。據美國政府稱,Lazarus 使用混合器洗錢 2022 年黑客攻擊中的資金,并單獨制裁了Tornado Cash。


https://therecord.media/hackers-steal-millions-from-axie-infinity-founder-personal-accounts?&web_view=true


3. Linux攻擊中使用的Nood RAT(Gh0st RAT的變種)的分析


2月26日,AhnLab 安全情報中心 (ASEC) 最近發現 Nood RAT 被用于惡意軟件攻擊。Nood RAT 是在 Linux 上運行的 Gh0st RAT 的變體。盡管與 Windows 的 Gh0st RAT 相比,Linux 的 Gh0st RAT 數量較少,但 Linux 的 Gh0st RAT 案例仍在不斷收集。根據代碼與 Gh0st RAT [1]之前代碼的相似性,Nood RAT 被歸類為 Gh0st RAT 的變體。找到了最新開發中使用的構建器,并將其命名為Nood RAT,因為作者將其命名為Nood。自2018年以來,Nood RAT已被用于各種漏洞攻擊。雖然最近沒有發現具體的漏洞攻擊案例,但根據VirusTotal網站的數據,案例正在不斷發現。本文重點介紹了過去幾年發現的惡意軟件變體,并與構建者一起對其進行了分析。


https://asec.ahnlab.com/en/62144/


4. 加拿大皇家騎警 (RCMP) 官網遭遇網絡攻擊


2月25日,加拿大聯邦和國家執法機構加拿大皇家騎警 (RCMP) 遭受網絡攻擊?;始因T警還通知了隱私專員辦公室 (OPC)。加拿大皇家騎警發言人在向加拿大廣播公司新聞發表的一份聲明中表示:“情況正在迅速發展,但目前,加拿大皇家騎警的行動沒有受到影響,加拿大人的安全也沒有受到任何已知的威脅?!?“雖然如此嚴重的違規行為令人震驚,但快速的工作和采取的緩解策略表明加拿大皇家騎警為檢測和防止此類威脅所采取的重要步驟?!被始因T警表示,不知道對外國警察和情報部門有任何影響。加拿大執法機構沒有提供有關網絡攻擊的詳細信息。2023 年 11 月,加拿大政府在威脅行為者入侵其兩名承包商后 披露了一起數據泄露事件。加拿大政府宣布,其兩家承包商 Brookfield Global Relocation Services (BGRS) 和 SIRVA Worldwide Relocation & Moving Services 遭到黑客攻擊,導致屬于數量不詳的政府雇員的敏感信息被泄露。 


https://securityaffairs.com/159568/hacking/cyber-attack-hit-royal-canadian-mounted-police.html


5. 利用 ScreenConnect 漏洞部署惡意軟件


2月25日,Sophos X-Ops 重點關注了 ConnectWise ScreenConnect 安裝(一種廣泛使用的遠程監控和管理軟件)中漏洞利用的令人擔憂的趨勢。最近披露的ScreenConnect漏洞(CVE-2024-1709、CVE-2024-1708)需要立即采取行動。針對本地安裝的廣泛利用需要快速修補、主動威脅搜尋和增強的網絡防御。2024 年 2 月 19 日,ConnectWise 就影響其 ScreenConnect 軟件舊版本的兩個嚴重漏洞發出警報。如果不修補這些漏洞,攻擊者可能會獲得執行遠程代碼或訪問機密數據的能力。這些缺陷被指定為 CVE-2024-1709 和 CVE-2024-1708,涉及服務器軟件中的身份驗證繞過和路徑遍歷問題,對使用受影響軟件版本的組織構成嚴重威脅。針對這些漏洞,ConnectWise已發布ScreenConnect補丁,建議所有用戶升級到23.9.8或更高版本。


https://securityonline.info/screenconnect-vulnerabilities-exploited-to-deploy-malware/


6. PyPI 軟件包django-log-tracker被用來傳播 Nova Sentinel 惡意軟件


2月23日,Python 包索引 (PyPI) 存儲庫上的一個休眠包在近兩年后進行了更新,以傳播名為 Nova Sentinel 的信息竊取惡意軟件。據軟件供應鏈安全公司 Phylum 稱,該軟件包名為django-log-tracker ,于 2022 年 4 月首次發布到 PyPI,該公司于 2024 年 2 月 21 日檢測到該庫的異常更新。雖然鏈接的 GitHub 存儲庫自 2022 年 4 月 10 日以來一直沒有更新,但惡意更新的引入表明屬于開發人員的 PyPI 帳戶可能受到損害。Django-log-tracker迄今為止已被下載 3,866 次,其中流氓版本 (1.0.4) 在發布之日下載了 107 次。該軟件包不再可以從 PyPI 下載。


https://thehackernews.com/2024/02/dormant-pypi-package-compromised-to.html?&web_view=true

上一篇 下一篇