首頁 > 安全研究 > 安全通報 > 安全簡訊

越南網絡犯罪團伙 CoralRaider意外泄露其財務數據

發布時間 2024-04-10
1. 越南網絡犯罪團伙 CoralRaider意外泄露其財務數據


4月9日,一個與越南有關的新網絡犯罪組織以亞洲的個人和組織為目標,試圖竊取社交媒體帳戶信息和用戶數據。CoralRaider 于 2023 年底首次出現,思科 Talos 威脅情報小組的威脅研究人員在 CoralRaider 的最新分析中指出,該組織也犯了一些新手錯誤,例如無意中感染了自己的系統,從而暴露了他們的活動。CoralRaider 活動通常從 Windows 快捷方式 (.LNK) 文件開始,通常使用 .PDF 擴展名,試圖欺騙受害者打開文件。CoralRaider 組織使用 Telegram 服務上的自動化機器人作為命令和控制通道,并從受害者的系統中竊取數據。然而,網絡犯罪組織似乎已經感染了他們自己的一臺機器,因為思科研究人員發現了發布到該頻道的信息的屏幕截圖。


https://www.darkreading.com/vulnerabilities-threats/vietnamese-cybercrime-group-coralraider-nets-financial-data


2. 卡巴斯基2023年報告數據竊取惡意軟件事件激增


4月8日,卡巴斯基報告顯示,2023 年,數據竊取惡意軟件事件激增,針對近 1000 萬臺設備,網絡犯罪分子平均在每臺受感染設備上提取 50.9 個登錄憑據。這些憑證被用于惡意目的,例如策劃網絡攻擊或在暗網論壇和 Telegram 頻道上出售它們。被盜憑證涵蓋范圍廣泛,從社交媒體登錄到網上銀行服務、加密錢包和企業在線平臺登錄。該報告強調 .com 域名是被盜帳戶的重點,緊隨其后的是與巴西 (.br)、印度 (.in)、哥倫比亞 (.co) 和越南 (.vn) 相關的域名區域。來自卡巴斯基數字足跡情報的數據顯示,過去三年中惡意軟件數量激增 643%。這突顯了惡意軟件對全球個人消費者和企業構成的日益嚴重的威脅。根據該報告,過去五年來,全球有 443000 個網站面臨憑據泄露問題。


https://securityboulevard.com/2024/04/10-million-devices-were-infected-by-data-stealing-malware-in-2023/


3. 美國環保局調查黑客泄露其數據的安全事件


4月9日,美國環境保護署正在調查黑客泄露了該機構關鍵基礎設施承包商數據庫中的大量聯系信息的指控。被稱為 USDoD 的威脅行為者在一個可公開訪問的黑客論壇上發布了他所說的 500 MB 的聯系信息和 EPA 數據庫中的其他數據。信息安全媒體集團證實,截至周一下午,該帖子仍在論壇上發布,其中包含聲稱包含從全名、電子郵件地址到代理承包商實際地址信息等所有信息的壓縮文件。帖子中寫道:“大家好,Breachforums,這是你們最喜歡的 TA,今天我很自豪地說,我正在發布 epa.gov 聯系人列表數據庫。這是他們 [關鍵基礎設施] 的全部聯系人,不僅針對該機構發言人表示,該機構對據稱泄露的數據進行了“初步分析”,發現這些記錄似乎包含已向公眾公開的商業聯系信息,“以提供環境影響的全面情況” ”。


https://news.hitb.org/content/us-epa-investigates-alleged-data-breach-government-hacker


4. unit42惡意軟件發起的漏洞掃描呈上升趨勢


4月8日,我們的遙測數據表明,越來越多的威脅參與者正在轉向惡意軟件發起的掃描攻擊。本文回顧了攻擊者如何使用受感染的主機對其目標進行基于惡意軟件的掃描,而不是使用更傳統的直接掃描方法。威脅行為者長期以來一直在使用掃描方法來查明網絡或系統中的漏洞。一些掃描攻擊源自良性網絡,可能是由受感染計算機上的惡意軟件驅動的。當攻擊者發起網絡請求以試圖利用目標主機的潛在漏洞時,就會發生掃描。目標主機通常是良性的,并且可能容易受到攻擊者針對的 CVE 的攻擊。通過跟蹤來自多個網絡的流量日志,我們發現對大量目的地的請求具有看似良性的路徑。許多掃描案例,其中攻擊者嵌入了以前未見過的 URL,用于有效負載傳輸或 C2 以及漏洞利用請求。這降低了后續有效負載或 C2 URL 被安全供應商阻止的可能性。由于這些有效負載傳送或 C2 URL 對于安全供應商來說是新的,因此檢測和阻止此類初始掃描請求至關重要,因為供應商不太可能阻止后續請求。


https://unit42.paloaltonetworks.com/malware-initiated-scanning-attacks/


5. 勒索團伙RansomHub 從 Change Healthcare 竊取4TB數據


4月9日,據報道,Change Healthcare 正面臨另一次攻擊,這次是勒索軟件團伙 RansomHub 發起的攻擊,而就在幾周前,該組織成為ALPHV/BlackCat 網絡攻擊的受害者。RansomHub 要求為其從該公司竊取的 4TB 數據敲詐勒索;否則,它會威脅在 12 天內將數據出售給出價最高者。被盜信息包含美國軍事人員和患者的敏感數據,以及醫療記錄和財務信息等。這使得聯合醫療保健公司的子公司 Change Healthcare 陷入了一個困境,因為它剛剛從上次的攻擊中恢復過來,必須決定支付贖金是否是最好的選擇。盡管人們對 ALPHV 是否更名為 RansomHub,或者是否存在任何聯系存在重大猜測,但沃克表示,目前還沒有得到證實,因為現在下結論還為時過早。


https://www.darkreading.com/cyberattacks-data-breaches/round-2-change-healthcare-targeted-second-ransomware-attack


6. AGENT TESLA 惡意軟件竊取 Chrome 和 Firefox 的登錄憑據


4月8日,研究人員調查了最近針對美國和澳大利亞組織的 Agent Tesla 惡意軟件活動,該活動使用帶有虛假采購訂單的網絡釣魚電子郵件來誘騙受害者點擊惡意鏈接。單擊后,受 Cassandra Protector 保護的混淆的 Agent Tesla 樣本就會被下載并執行,從而竊取擊鍵和登錄憑據。調查發現了兩名網絡犯罪分子 Bignosa(主要威脅)和 Gods,他們使用大型電子郵件數據庫和多個服務器進行 RDP 連接和惡意軟件活動。該惡意軟件活動在分發惡意垃圾郵件之前涉及多個步驟的準備階段。Bignosa 使用 Agent Tesla 進行了網絡釣魚攻擊,而 Gods 指導 Bignosa 也曾進行過網絡釣魚攻擊。他們通過 Jabber 和TeamViewer進行通信,而 Bignosa 使用 RDP 連接到 VDS 服務器并分發 Agent Tesla。 


https://gbhackers.com/agent-tesla-malware-steals-login-credentials-from-chrome-firefox/

上一篇 下一篇