首頁 > 安全研究 > 安全通報 > 安全簡訊

新勒索團伙Red CryptoApp采用激進策略羞辱受害者

發布時間 2024-04-07
1. 新勒索團伙Red CryptoApp采用激進策略羞辱受害者


4月4日,Netenrich 的網絡安全研究人員發現了一個名為 Red Ransomware Group (Red CryptoApp) 的新勒索組織。該組織的運作方式與典型的勒索軟件組織不同,他們的勒索策略有所不同。與大多數隱藏其操作的勒索軟件組織不同,Red CryptoApp 似乎采取了激進的方法。據 Netenrich 稱,該組織建立了“恥辱墻”,并公布了他們成功瞄準的公司名稱。這種策略旨在羞辱受害者并迫使他們支付贖金以刪除他們的名字。研究人員注意到該組織撰寫的一份勒索軟件筆記與 2020 年 Maze 勒索軟件團伙有一些相似之處。這可能是巧合,也可能是巧合。因此,尚不清楚 Red Ransomware Group 是否是 Maze 團伙的衍生品,Maze 團伙于 2020 年 11 月關閉了其業務。Red CryptoApp 勒索軟件團伙的恥辱墻,美國是主要目標,其次是丹麥、印度、西班牙、意大利、新加坡和加拿大等其他國家。就目標行業而言,軟件和制造業成為最常見的目標行業,教育、建筑、酒店和 IT 行業也受到關注。


https://www.hackread.com/red-ransomware-group-red-cryptoapp-wall-of-shame/?web_view=true


2. CoralRaider黑客團伙瞄準整個亞洲的金融行業


4月5日,思科 Talos 的研究人員發現了一系列名為 CoralRaider 的黑客活動,利用滲透惡意軟件攻擊印度、中國、韓國、孟加拉國、巴基斯坦、印度尼西亞和國內目標。Talos 非常有信心地將該組織的起源歸因于越南,并指出黑客在其 Telegram 命令和控制通道中使用越南語,并將越南語單詞硬編碼到有效負載二進制文件中。其IP地址可追溯到河內。黑客使用 RotBot(一種定制的遠程訪問工具( Quasar RAT的變體))下載信息竊取程序,該程序會查找包含支付卡等數據的商業社交媒體帳戶。當用戶打開惡意 Windows 快捷方式文件時,CoralRaider 攻擊就會開始,從而觸發感染鏈。塔洛斯表示,目前尚不清楚威脅者如何將文件傳遞給受害者。激活的LNK文件會下載一個HTML應用程序文件,該文件執行Virtual Basic腳本,該腳本又在內存中執行PowerShell腳本“解密并順序執行其他三個PowerShell腳本,這些腳本執行反虛擬機和反分析檢查,繞過用戶訪問控制、禁用受害者機器上的 Windows 和應用程序通知,最后下載并運行 RotBot。


https://www.govinfosecurity.com/vietnamese-threat-actor-targeting-financial-data-across-asia-a-24796?&web_view=true


3. 新的 Latrodectus 惡意軟件取代了網絡漏洞中的 IcedID


4月4日,一種名為 Latrodectus 的相對較新的惡意軟件被認為是 IcedID 加載程序的演變,該加載程序自 2023 年 11 月以來一直在惡意電子郵件活動中出現。Proofpoint和 Team Cymru的研究人員發現了該惡意軟件  ,他們共同記錄了其功能,但這些功能仍然不穩定且處于實驗階段。IcedID 是一個于 2017 年首次發現的惡意軟件家族,最初被歸類為模塊化銀行木馬,旨在從受感染的計算機中竊取財務信息。隨著時間的推移,它變得更加復雜,增加了逃避和命令執行功能。近年來,它充當了加載程序的角色,可以將其他類型的惡意軟件(包括勒索軟件)傳送到受感染的系統上。從 2022 年開始,多個 IcedID 活動展示了 多樣化的傳遞策略,但主要的分發方式仍然是惡意電子郵件。2022 年末, 該惡意軟件的新變種 被用于攻擊,并嘗試了各種規避技巧和新的攻擊集。


https://www.bleepingcomputer.com/news/security/new-latrodectus-malware-replaces-icedid-in-network-breaches/?&web_view=true


4. Visa 警告針對金融機構的新 JSOutProx 惡意軟件變體


4月4日,Visa 警告稱,針對金融機構及其客戶的新版本 JsOutProx 惡意軟件檢測數量激增。該活動針對南亞和東南亞、中東和非洲的金融機構。JsOutProx 于 2019 年 12 月首次遇到,是一種遠程訪問木馬 (RAT) 和高度混淆的 JavaScript 后門,允許其操作者運行 shell 命令、下載額外的負載、執行文件、捕獲屏幕截圖、在受感染的設備上建立持久性并控制鍵盤和鼠標。Visa 警報中寫道:“雖然 PFD 無法確認最近發現的惡意軟件活動的最終目標,但該網絡犯罪組織之前可能曾針對金融機構進行欺詐活動?!痹摼瘓筇峁┝伺c最新活動相關的妥協指標 (IoC),并建議采取多項緩解措施,包括提高對網絡釣魚風險的認識、啟用 EMV 和安全接受技術、保護遠程訪問以及監控可疑交易。


https://www.bleepingcomputer.com/news/security/visa-warns-of-new-jsoutprox-malware-variant-targeting-financial-orgs/?&web_view=true


5. 溫尼伯大學數千名教職員工和學生的敏感數據被盜


4月5日,加拿大溫尼伯大學證實,黑客在上個月末發生的一起事件中竊取了該機構的敏感信息,影響了以前和現在的學生和教職員工。這所擁有 18,000 多名學生和 800 名教職員工的大學在周四的一份聲明中表示,“被盜的信息可能包括當前和以前的學生和員工的個人信息?!边@起網絡事件于 3 月 25 日首次宣布,當時該機構下線了一系列服務。幾天后,該大學校長托德·蒙多爾博士表示,溫尼伯遭受了“針對大學網絡的有針對性的網絡攻擊”。該大學表示,調查正在進行中,“可能需要時間,可能是幾個月”,目前該大學認為攻擊者能夠訪問文件服務器。該網絡事件的性質尚未得到證實,但該大學表示“盜竊事件很可能發生在 3 月 24 日之前的一周?!痹摯髮W表示,將為受影響的個人提供為期兩年的信用監控服務,并鼓勵所有受影響的人注冊,并指出它還為隨后成為欺詐者目標的任何人提供保險條款。


https://therecord.media/university-of-winnipeg-cyberattack


6. 黑客利用 Facebook 廣告和劫持頁面推廣虛假人工智能服務


4月5日,這些惡意廣告活動是通過劫持 Facebook 個人資料創建的,這些個人資料冒充流行的人工智能服務,假裝提供新功能的預覽。被廣告欺騙的用戶成為欺詐性 Facebook 社區的成員,威脅行為者在其中發布新聞、人工智能生成的圖像和其他相關信息,以使頁面看起來合法。然而,社區帖子經常提倡限時訪問即將推出且備受期待的 AI 服務,誘騙用戶下載惡意可執行文件,這些可執行文件會利用 Rilide、Vidar、IceRAT 和 Nova 等信息竊取惡意軟件感染 Windows 計算機。信息竊取惡意軟件專注于從受害者的瀏覽器竊取數據,包括存儲的憑據、cookie、加密貨幣錢包信息、自動完成數據和信用卡信息。然后,這些數據會在暗網市場上出售,或被攻擊者用來破壞目標的在線帳戶,以促進進一步的詐騙或進行欺詐。Facebook 等社交媒體網絡規模龐大,加上監管不足,使得這些活動能夠長期持續,從而促進惡意軟件不受控制的傳播,從而導致惡意軟件感染造成廣泛損害。


https://www.bleepingcomputer.com/news/security/fake-facebook-midjourney-ai-page-promoted-malware-to-12-million-people/

上一篇 下一篇