首頁 > 安全研究 > 安全通報 > 安全簡訊

CoralRaider惡意軟件活動利用CDN緩存傳播信息竊取程序

發布時間 2024-04-25
1. CoralRaider惡意軟件活動利用CDN緩存傳播信息竊取程序


4月24日,研究人員發現一種新的持續惡意軟件活動正在分發三種不同的竊取程序,例如托管在內容交付網絡 (CDN) 緩存域上的CryptBot、LummaC2和Rhadamanthys 。思科 Talos 將此次活動歸因于被追蹤為CoralRaider的威脅行為者,該組織疑似源自越南,于近期曝光。該活動的目標涵蓋各個地區的各個商業垂直領域,包括美國、尼日利亞、巴基斯坦、厄瓜多爾、德國、埃及、英國、波蘭、菲律賓、挪威、日本、敘利亞和土耳其。攻擊鏈涉及用戶通過網絡瀏覽器下載偽裝成電影文件的文件,從而增加了大規模攻擊的可能性。該活動值得注意的是,它利用了 CryptBot 的更新版本,其中包含新的反分析技術,并且還捕獲密碼管理器應用程序數據庫和身份驗證器應用程序信息。


https://thehackernews.com/2024/04/coralraider-malware-campaign-exploits.html


2. Change Healthcare最終支付贖金將面臨數據泄露的風險


4月24日,在勒索軟件崩潰開始兩個多月后,勒索軟件的影響堪稱網絡安全史上最嚴重的一次,醫療公司 Change Healthcare 終于證實了網絡犯罪分子、安全研究人員和比特幣區塊鏈已經說得很清楚的事情:它確實做到了向二月份襲擊該公司的黑客支付贖金。然而,它仍然面臨著丟失大量客戶敏感醫療數據的風險。Change Healthcare 似乎已于 3 月 1 日支付了贖金,并指出一筆 350 比特幣(約合 2200 萬美元)的交易被發送到與 AlphV 黑客相關的加密錢包中。這筆交易首先在名為 RAMP 的俄羅斯網絡犯罪論壇上的一條消息中得到強調,其中一位據稱被 AlphV 拋棄的合作伙伴抱怨說,他們沒有收到 Change Healthcare 付款中的分成。


https://news.hitb.org/content/change-healthcare-finally-admits-it-paid-ransomware-hackers-and-still-faces-patient-data


3. 西班牙重新啟動對 Pegasus 間諜軟件案件的調查


4月23日,西班牙國家法院法官表示,有理由相信法國提供的新信息可以“讓調查取得進展”。這兩項調查均涉及涉嫌使用以色列 NSO 集團開發的 Pegasus 間諜軟件。間諜軟件會悄悄地滲透到手機或其他設備中以收集數據并可能監視其所有者。NSO 聲稱,它僅提供給政府用于打擊恐怖主義和其他安全威脅。根據安全研究人員和 2021 年全球媒體調查,Pegasus 已被用來攻擊 50 個國家的 1,000 多人,其中包括活動人士和記者。西班牙于 2022 年 5 月宣布,首相佩德羅·桑切斯及其三名部長,包括國防部長和內政部長,已成為Pegasus 間諜軟件的目標。由此產生的司法調查因未能取得結果而暫時擱置。


https://www.securityweek.com/spain-reopens-a-probe-into-a-pegasus-spyware-case-after-a-french-request-to-work-together/


4. 黑客劫持防病毒更新以分發后門和挖礦GuptiMiner


4月23日,朝鮮黑客一直在利用 eScan 防病毒軟件的更新機制在大型企業網絡上植入后門,并通過 GuptiMiner 惡意軟件傳播加密貨幣礦工。研究人員將 GuptiMiner 描述為高度復雜的威脅,它可以向攻擊者的 DNS 服務器執行 DNS 請求,從圖像中提取有效負載,對其有效負載進行簽名,并執行 DLL 側面加載。GuptiMiner 背后的威脅行為者具有中間對手 (AitM) 的地位,可以劫持正常的病毒定義更新包,并將其替換為名為“updll62.dlz”的惡意包。該惡意文件包含必要的防病毒更新以及名為“version.dll”的 DLL 文件形式的 GuptiMiner 惡意軟件。eScan 更新程序正常處理該包,解壓并執行它。在此階段,DLL 由 eScan 的合法二進制文件旁加載,從而賦予惡意軟件系統級權限。


https://www.bleepingcomputer.com/news/security/hackers-hijack-antivirus-updates-to-drop-guptiminer-malware/


5. 與朝鮮有關聯的 APT 組織瞄準韓國國防承包商


4月23日,韓國國家警察廳警告稱,與朝鮮有關的威脅行為者正以國防工業實體為目標,竊取國防技術信息。據韓國國家警察廳報道,與朝鮮有關聯的 APT 組織Lazarus、Andariel和Kimsuky攻擊了韓國多家國防相關的公司。警察廳和國防采購計劃管理局(DAPA)對目標組織的環境進行了一系列特別檢查。聯合檢查于1月15日至2月16日進行,受影響組織實施了防護措施。警方表示,這些襲擊是以全面戰爭的形式進行的,多個 APT 組織參與其中。政府專家警告說,攻擊者采用了復雜的黑客技術。韓國國家警察廳提供了不同 APT 組織實施的多次攻擊的詳細信息。


https://securityaffairs.com/162193/apt/north-korea-south-korean-defense-contractors.html


6. 美國財政部和國務院以及多家機構的系統遭到黑客攻擊


4月23日,四名伊朗黑客在曼哈頓聯邦法院被起訴,被指控針對美國政府部門、國防承包商和私營公司開展復雜的網絡間諜活動。目前仍在逃的被告被指控針對美國財政部和國務院以及十幾家能夠獲取國防相關信息的美國私營公司的關鍵系統進行攻擊。司法部指責黑客使用額外的社會工程技術,包括冒充女性來獲取受害者的信任。根據未密封的起訴書,該黑客組織的攻擊的受害者主要是經過許可的國防承包商,這些公司已獲得美國國防部的安全許可,可以訪問、接收和存儲機密信息。該組織還被指控針對一家總部位于紐約的會計師事務所和一家總部位于紐約的酒店公司。在起訴書啟封的同時,美國國務院還宣布懸賞 1000 萬美元,獎勵提供線索抓獲他們,財政部還對涉案個人實施了制裁。


https://www.securityweek.com/10-million-bounty-on-iranian-hackers-for-cyber-attacks-on-us-gov-defense-contractors/

上一篇 下一篇