首頁 > 安全研究 > 安全通報 > 安全簡訊

新 APT Lotus Bane是最近針對越南金融行業的攻擊的幕后黑手

發布時間 2024-03-08
1. 新 APT Lotus Bane是最近針對越南金融行業的攻擊的幕后黑手


3月6日,越南的一家金融實體是先前未記錄的名為Lotus Bane 的威脅行為者的目標,該行為者于 2023 年 3 月首次被發現。Lotus Bane 使用的技術與OceanLotus的技術重疊,OceanLotus 是一個與越南結盟的威脅組織,也稱為 APT32、Canvas Cyclone(以前稱為 Bismuth)和 Cobalt Kitty。這源于使用 PIPEDANCE 等惡意軟件進行命名管道通信。值得注意的是, Elastic Security Labs 于 2023 年 2 月首次記錄了PIPEDANCE ,該事件與 2022 年 12 月下旬針對一個未透露姓名的越南組織的網絡攻擊有關。過去一年,亞太地區 (APAC)、歐洲、拉丁美洲 (LATAM) 和北美的金融組織已成為Blind Eagle和Lazarus Group等多個高級持續威脅組織的目標。另一個著名的出于經濟動機的威脅組織是 UNC1945,據觀察,該組織以 ATM 交換機服務器為目標,目的是用名為 CAKETAP 的自定義惡意軟件感染它們。


https://thehackernews.com/2024/03/new-apt-group-lotus-bane-behind-recent.html


2. RA World 勒索軟件攻擊拉丁美洲的醫療保健行業


3月6日,勒索軟件組織 RA World(也稱為 RA Group)發起了新一波活動。該組織于 2023 年 4 月發起惡意行動,在其任期內對眾多組織發起了攻擊,主要是美國、德國、印度和臺灣的醫療保健和金融領域的組織。研究人員發現,RA World 的最新攻擊針對拉丁美洲的多家醫療機構。這些攻擊是分階段執行的,以最大限度地提高成功行動的總體機會。初始訪問階段從黑客通過域控制器滲透計算機系統開始。在這里,組策略對象 (GPO) 的編輯起著至關重要的作用,使犯罪者能夠在受害者的系統中強加他們的規則。此外,該惡意軟件還可以以特殊的安全模式重新啟動系統,以逃避防病毒軟件的檢測。它還消除了攻擊后其存在的痕跡,使研究人員的分析工作變得更加復雜。


https://meterpreter.org/ra-world-ransomware-strikes-latin-american-healthcare/


3. 黑客使用武器化日歷邀請安裝 MacOS 惡意軟件


3月6日,黑客使用武器化的日歷邀請來利用電子郵件系統中的漏洞,誘騙用戶點擊惡意鏈接或下載偽裝成活動附件的惡意軟件。通過利用對日歷邀請的信任,威脅行為者增加了成功進行網絡釣魚攻擊和未經授權訪問敏感信息的可能性。Malwarebytes 的網絡安全研究人員最近發現,黑客正在積極利用武器化日歷邀請來安裝macOS 惡意軟件。威脅行為者通過 Telegram DM 聯系目標,通過提供通話或會議的機會來引誘目標。感興趣的目標會收到虛假的會議邀請。當受害者嘗試加入時,鏈接會失敗。詐騙者將此歸咎于區域訪問限制,并建議運行腳本來修復它。 


https://gbhackers.com/malware-weaponized-calendar-invites/


4. 黑客濫用 QEMU 硬件模擬器進行隱秘 C2 通信


3月6日,QEMU 是一個開源平臺,提供安全且私有的虛擬化空間,用于在自己的環境中嘗試惡意代碼、漏洞利用和攻擊。這個受控的測試場最大限度地降低了被發現和法律問題的風險。??此外,QEMU 允許黑客開發可以在不同硬件架構和操作系統上運行的惡意軟件??ò退够鶎嶒炇业木W絡安全研究人員最近發現,黑客正在濫用 QEMU 硬件模擬器來秘密竊取被盜數據。攻擊者喜歡使用正版工具以避免檢測,同時也減少惡意軟件支出。數據泄露、驅動器加密、遠程執行和內存轉儲是可信軟件支持的一些網絡掃描活動。預安裝的惡意軟件或模仿員工的 RDP/ VPN訪問充當受感染系統的立足點。網絡隧道和端口轉發實用程序使用戶能夠繞過 NAT 和防火墻,從而進入內部系統。有許多工具可用于在系統之間創建網絡隧道,其中一些是直接的,另一些則使用代理來掩蓋攻擊者 IP。


https://gbhackers.com/hackers-qemu-data-exfiltration/


5. 加拿大的反洗錢機構因網絡攻擊而關閉


3月6日,加拿大金融交易和報告分析中心 (FINTRAC) 宣布,作為預防措施,一次“網絡事件”迫使其公司系統下線。FINTRAC 是加拿大的一個政府機構,作為該國的金融情報機構運作。它從事洗錢調查,每年追蹤數百萬筆可疑交易,并向警方披露數千起非法資金流向。該機構在其網站上發表了一份簡短的新聞聲明,指出該中心的情報或機密系統未被訪問,因此與其核心任務相關的敏感信息和操作能力仍然安全。FINTRAC 與包括加拿大網絡安全中心在內的聯邦合作伙伴合作,恢復運營并加強防御,以防止未來發生事件。該網絡事件發生在周末,此后沒有分享進一步的更新。BleepingComputer 尚未發現任何勒索軟件或數據勒索威脅組織對 FINTRAC 的攻擊負責,因此威脅行為者仍然未知。自今年年初以來,加拿大在網絡安全方面經歷了充滿挑戰的時期,出現了多起引人注目的受害者和事件。


https://www.bleepingcomputer.com/news/security/canadas-anti-money-laundering-agency-offline-after-cyberattack/


6. 基于網絡的 PLC 惡意軟件將重新定義工業網絡安全威脅


3月4日,佐治亞理工學院的研究人員提出了一種開發可編程邏輯控制器 (PLC) 惡意軟件的新方法,該方法被證明比當前策略更靈活、更有彈性和更有影響力。該方案允許惡意軟件使用管理門戶網站公開的合法 Web 應用程序接口 (API) 秘密攻擊底層的現實世界機器。此類攻擊包括偽造傳感器讀數、禁用安全警報以及操縱物理執行器。研究小組的調查表明,他們提出的攻擊將對每個主要制造商生產的 PLC 起作用。此外,該方法比現有的 PLC 惡意軟件技術(控制邏輯和固件)具有顯著優勢,例如平臺獨立性、易于部署和更高級別的持久性。研究人員還表明,工業控制環境中網絡技術的出現帶來了 IT 領域或消費物聯網設備中不存在的新安全問題。與普遍看法相反,固件和控制邏輯并不是 PLC 計算的唯一級別?,F代 PLC 現在包含一個可編程嵌入式網絡服務器,其中自定義客戶端 JavaScript 代碼使用日益強大的 API 來監視和控制物理過程。這種環境提供了一個新的、令人驚訝的理想平臺來運行 PLC 惡意軟件,這對工業控制系統構成了新的威脅。


https://industrialcyber.co/industrial-cyber-attacks/georgia-tech-researchers-warn-of-stuxnet-style-web-based-plc-malware-redefining-industrial-cybersecurity-threats/?web_view=true

上一篇 下一篇