首頁 > 安全研究 > 安全通報 > 安全簡訊

法國政府網站因嚴重的分布式拒絕服務攻擊而中斷

發布時間 2024-03-13
1. 法國政府網站因嚴重的分布式拒絕服務攻擊而中斷


3月12日,總理加布里埃爾·阿塔爾辦公室的一份聲明承認,截至周日晚間,一些網站已陷入困境,并提到了前所未有的強度的常規攻擊。該語言似乎指的是分布式拒絕服務攻擊,而 Cloudflare 的Radar服務恰好檢測到了此類攻擊。Cloudflare 報告稱,該事件于周日凌晨開始,迅速升級,短暫消退,然后又卷土重來,持續了大約六個小時的重大攻擊。法國的數字化轉型機構——部際數字理事會 (DINUM) 爭先恐后地設置障礙來抵御攻擊。匿名蘇丹聲稱對這次襲擊負責,然后聲稱DINUM 的防御無效,干擾仍在繼續。Cloudflare 的數據顯示,第 7 層攻擊在周一和周二激增。這種不滿可能還會持續下去。Cloudflare 的 Radar 上周報告了規模較小的 DDoS 攻擊,但這些攻擊并未成為新聞,也沒有嚴重擾亂法國政府的運作。據報道,上周日的襲擊影響了總理府、民航局和經濟部。


https://www.theregister.com/2024/03/12/france_ddos/


2. KrustyLoader 后門攻擊 Windows 和 Linux 系統


3月12日,網絡安全領域的最新發展包括 KrustyLoader 的出現,這是一種基于 Rust 的復雜后門,引起了多個行業專家的注意。這種惡意軟件擁有 Windows 和 Linux 變體,涉及一系列有針對性的攻擊,對跨平臺的網絡安全防御產生重大影響。KrustyLoader 的Linux 變體因其針對 Avanti 設備的針對性攻擊而在 2023 年底和 2024 年初成為頭條新聞。這些攻擊被認為是中國關系威脅組織 UNC5221 所為。該組織利用了兩個嚴重漏洞CVE- 2024-21887和CVE-2023-46805,允許在 Ivanti Connect Secure (ICS) 和 Ivanti Policy Secure Gateway 設備上進行未經身份驗證的遠程代碼執行 (RCE) 或身份驗證繞過。利用這些漏洞促進了 KrustyLoader 的下載和執行,隨后部署了利用后工具包 Sliver。盡管針對這些漏洞發布了補丁,但未修補的系統仍然面臨風險。


https://gbhackers.com/krustyloader-backdoor/


3. Infostealer 偽裝成 Adobe Reader 安裝程序


3月12日,AhnLab 安全情報中心 (ASEC) 最近發現了偽裝成 Adobe Reader 安裝程序的信息竊取程序的分布。威脅參與者以 PDF 形式分發文件,提示用戶下載并運行該文件。假冒的PDF文件是用葡萄牙語編寫的,消息告訴用戶下載并安裝Adobe Reader。通過告訴用戶需要 Adobe Reader 才能打開該文件,它會提示用戶下載惡意軟件并進行安裝。下載的文件采用Adobe Reader圖標的形式,其名稱設置為Reader_Install_Setup.exe。通過偽裝 Adobe Reader 安裝程序,它會提示用戶運行它。默認情況下,Windows 系統將路徑“%AppData%\Local\Microsoft\WindowsApps”注冊為 PATH 環境變量。因此,當 sdiagnhost.exe 進程加載 BluetoothDiagnosticUtil.dll 時,就會加載惡意 DLL 文件。通過上述過程,威脅參與者可以通過 DLL 劫持繞過用戶帳戶控制 (UAC)。


https://asec.ahnlab.com/en/62853/


4. Equilend 警告員工他們的數據被勒索軟件團伙竊取


3月11日,總部位于紐約的證券借貸平臺 EquiLend Holdings 在發給員工的數據泄露通知信中證實,他們的數據在 1 月份的勒索軟件攻擊中被盜。這家金融科技公司于 1 月 24 日告訴 BleepingComputer,它被迫在兩天前(即 1 月 22 日)關閉部分系統,以遏制違規行為。雖然 Equilend 沒有立即披露事件的性質,但 LockBit 勒索軟件在給彭博社的一份聲明中聲稱對此次攻擊負責。盡管這家金融科技公司沒有證實 LockBit 的說法,但它于 2 月 2 日通過一個專門頁面透露了有關該事件的更多信息,稱 1 月份的泄露是由勒索軟件攻擊造成的。


https://www.bleepingcomputer.com/news/security/equilend-warns-employees-their-data-was-stolen-by-ransomware-gang/#google_vignette


5. BIANLIAN 在勒索攻擊中利用 JETBRAINS TEAMCITY 漏洞


3月11日,GuidePoint Security 的研究人員在調查最近與BianLian勒索軟件組織相關的攻擊時注意到,威脅行為者通過利用 TeamCity 服務器中的缺陷獲得了對目標的初始訪問權限。BianLian 勒索軟件于 2022 年 8 月出現,該惡意軟件被用來攻擊各個行業的組織,包括制造、媒體和娛樂以及醫療保健。2023 年 1 月,安全公司 Avast發布了BianLian 勒索軟件的免費解密器,允許惡意軟件的受害者恢復鎖定的文件。研究人員調查的攻擊背后的威脅行為者利用 TeamCity 缺陷 CVE-2024-27198 或 CVE-2023-42793 來獲得對受害者環境的初始訪問權限。攻擊者在易受攻擊的服務器上創建新用戶并執行惡意命令以進行后利用和橫向移動。然后,威脅行為者在目標環境中發現了兩個構建服務器,他們從這些服務器擴大了在受害者組織中的立足點,并轉向進一步利用。研究人員注意到,BianLian 組織多次嘗試執行他們的自定義 GO 后門,但都失敗了,然后轉向靠土地為生,并利用 PowerShell 實現他們的后門。


https://securityaffairs.com/160357/hacking/bianlian-group-ttack-jetbrains-teamcity.html?web_view=true


6. 新銀行木馬 CHAVECLOAK 通過網絡釣魚策略瞄準巴西用戶


3月11日,巴西的用戶是一種名為CHAVECLOAK的新型銀行木馬的目標,該木馬通過帶有 PDF 附件的網絡釣魚電子郵件進行傳播。Fortinet FortiGuard 實驗室研究員 Cara Lin表示:“這種復雜的攻擊涉及 PDF 下載 ZIP 文件,然后利用 DLL 側面加載技術來執行最終的惡意軟件?!惫翩溕婕笆褂靡院贤瑸橹黝}的 DocuSign 誘餌來誘騙用戶打開包含用于閱讀和簽署文檔的按鈕的 PDF 文件。實際上,單擊該按鈕會導致從使用 Goo.su URL 縮短服務縮短的遠程鏈接檢索安裝程序文件。安裝程序中存在一個名為“Lightshot.exe”的可執行文件,它利用 DLL 側面加載來加載“Lightshot.dll”,這是一種有助于竊取敏感信息的 CHAVECLOAK 惡意軟件。這包括收集系統元數據并運行檢查以確定受感染的計算機是否位于巴西,如果是,則定期監視前臺窗口以將其與銀行相關字符串的預定義列表進行比較。


https://thehackernews.com/2024/03/new-banking-trojan-chavecloak-targets.html

上一篇 下一篇