首頁 > 安全研究 > 安全通報 > 安全簡訊

8000 多個值得信賴的品牌域名被劫持并大規模發送垃圾郵件

發布時間 2024-02-28
1. 8000 多個值得信賴的品牌域名被劫持并大規模發送垃圾郵件


2月26日,Guardio Labs 正在跟蹤協調的惡意活動,該活動至少自 2022 年 9 月以來一直在持續,名為 SubdoMailing。屬于合法品牌和機構的 8,000 多個域名和 13,000 個子域名已被劫持,作為垃圾郵件擴散和點擊貨幣化的復雜分發架構的一部分。這家以色列安全公司將此次活動歸因于一個名為ResurrecAds的威脅行為者,眾所周知,該行為者會復活大品牌或附屬于大品牌的死域名,最終目標是操縱數字廣告生態系統以獲取非法收益。這些子域名屬于或隸屬于 ACLU、eBay、Lacoste、Marvel、McAfee、MSN、Pearson、PwC、Swatch、Symantec、The Economist、UNICEF 和 VMware 等大品牌和組織。


https://thehackernews.com/2024/02/8000-subdomains-of-trusted-brands.html


2. Booking.com 冒充活動:Agent Tesla 惡意軟件分析


2月26日,該活動利用 Booking.com 的品牌聲譽來傳播 Agent Tesla,這是一種多功能遠程訪問木馬 ( RAT )。攻擊者利用與 Booking.com 相關的信任,制作看似合法退款通知的網絡釣魚電子郵件。包含 PDF 附件會要求收件人檢查所附 PDF 中的卡對賬單。這一精心設計的計劃的最終結果是部署了Agent Tesla惡意軟件。該對手開始采取惡意行動竊取憑證和個人數據,將其不義之財傳輸到私人 Telegram 聊天室。它并不止于此;該惡意軟件通過額外的 PowerShell 腳本確保其持久性,并不斷改進其策略以在受感染的系統中保持立足點。


https://securityonline.info/booking-com-impersonation-campaign-agent-tesla-malware-analysis/


3. ALPHV/BlackCat 對 Change Healthcare 網絡攻擊負責


2月26日,據報道,ALPHV/BlackCat 勒索軟件團伙對 Change Healthcare 大規模網絡攻擊負責,該攻擊自上周以來已經擾亂了美國各地的藥店。據路透社援引“兩名知情人士”的話稱,臭名昭著的勒索軟件即服務操作是聯合健康旗下企業發起攻擊的幕后黑手。Register尚未獨立確認 ALPHV 參與了此次入侵。Change Healthcare 為醫療機構提供廣泛的 IT 服務,包括讓藥房檢查患者用藥資格并確定保險范圍的軟件。其客戶包括美國兩家最大的藥店——CVS 和沃爾格林——這兩家藥店都感受到了停電的不良影響。這家健康科技公司于 2 月 21 日首次披露了這一漏洞,并因此關閉了部分 IT 系統。周五,美國藥劑師協會表示,由于網絡攻擊,全國各地的藥房無法傳送保險索賠。 


https://www.theregister.com/2024/02/26/alphv_healthcare_unitedhealth/


4. UAC-0184 使用 Remcos RAT 針對芬蘭境內的烏克蘭實體


2月27日,被追蹤為 UAC-0184 的威脅行為者一直在使用隱寫術技術,通過名為 IDAT Loader 的相對較新的惡意軟件向位于芬蘭的烏克蘭目標傳送 Remcos 遠程訪問木馬 (RAT)。盡管對手最初針對的是烏克蘭境內的實體,但防御措施阻礙了有效載荷的交付。根據 Morphisec 威脅實驗室今天的分析,這導致了隨后對替代目標的搜索。雖然 Morphisec 因客戶機密而沒有透露活動細節,但研究人員指出 Dark Reading據稱與 UAC-0148 進行的并行活動有關,該活動使用電子郵件和魚叉式網絡釣魚作為初始訪問媒介,并以烏克蘭軍事人員為目標,以提供咨詢為誘餌。以色列國防軍 (IDF) 的角色。其目標是網絡間諜活動:網絡犯罪分子使用 Remcos(“遠程控制和監視”的縮寫)RAT 來未經授權訪問受害者的計算機、遠程控制受感染的系統、竊取敏感信息、執行命令等。


https://www.darkreading.com/cyberattacks-data-breaches/uac-0184-targets-ukrainian-entity-finland-remcos-rat


5. 俄羅斯黑客團伙通過休眠帳戶瞄準云基礎設施


2月26日,美國、加拿大、英國、澳大利亞和新西蘭的網絡安全和執法機構發布聯合警報,呼吁緊急關注與 APT29/Cozy Bear/Midnight Blizzard(一個臭名昭著的黑客組織)相關的最新策略、技術和程序 (TTP)。俄羅斯情報部門(SVR)。據觀察,SVR 參與者并沒有利用軟件漏洞來攻擊本地基礎設施,而是發起暴力破解和密碼噴射攻擊來破壞服務帳戶,以及針對前員工的休眠帳戶來訪問目標組織的環境。此外,還發現臭名昭著的 APT 組織使用令牌訪問受害者帳戶,并使用一種稱為“MFA 轟炸”或“MFA 疲勞”的技術繞過多重身份驗證 (MFA)。初次訪問后,攻擊者通常會將自己的設備注冊到受害者的網絡,并部署復雜的攻擊后工具。此外,黑客還依靠住宅代理來隱藏其惡意活動,使流量看起來像是來自住宅寬帶客戶的 IP 地址。


https://www.securityweek.com/russian-cyberspies-targeting-cloud-infrastructure-via-dormant-accounts/


6. Anonymous 蘇丹推廣新的 DDoS 僵尸網絡Skynet-GodzillaBotnet


2月26日,據了解,一個名為“匿名蘇丹”的組織正在積極推廣一種名為“Skynet-GodzillaBotnet”的新型分布式拒絕服務 (DDoS) 僵尸網絡服務。網上流傳的一則廣告展示了帶有“SKYNET”字樣的紅龍標志。該服務被宣傳為執行DDoS 攻擊的強大工具,該組織聲稱通過將其權力與另一個實體合并來增強其功能?!睹咳瞻稻W》中發現的廣告明確指出,它提供僵尸網絡的訪問權限,價格為一天 100 美元、一周 600 美元、一個月 1700 美元。Anonymous 蘇丹以其激進的 Web DDoS 攻擊而聞名,其中包括交替的 UDP 和 SYN 洪水攻擊。這些攻擊從數以萬計的唯一源 IP 地址發起,UDP 流量高達 600Gbps,HTTPS 請求洪水峰值可達每秒數百萬個請求。


https://gbhackers.com/anonymous-sudan-new-ddos-botnet-warning/

上一篇 下一篇