首頁 > 安全研究 > 安全通報 > 安全簡訊

Turla APT濫用MSBuild分發TinyTurla后門

發布時間 2024-05-23
1. Turla APT濫用MSBuild分發TinyTurla后門


5月22日,一個與俄羅斯有關的高級持續性威脅 (APT) 組織一直在濫用 PDF 和 MSBuild 項目文件,利用社交工程電子郵件將 TinyTurla 后門作為無文件負載進行傳播。研究人員表示,該活動的無縫傳播程序在復雜性方面取得了顯著的進步。Cyble 研究人員和情報實驗室 (CRIL) 的研究人員發現了這一活動,該活動使用電子郵件和邀請人權研討會或提供公共咨詢的文件作為誘餌,以感染 TinyTurla 用戶。他們在昨天發布的有關該活動的博客文章中表示,攻擊者還冒充合法當局,以引誘受害者上當。研究人員指出,TinyTurla 后門與俄羅斯資助的長期威脅組織Turla有關,該組織通常針對非政府組織,“特別是那些與支持烏克蘭有聯系的組織”。帖子稱,他們認為該組織是惡意攻擊活動的幕后黑手。


https://www.darkreading.com/cyberattacks-data-breaches/russia-turla-apt-msbuild-tinyturla-backdoor


2. CISA 警告利用Mirth Connect漏洞的攻擊活動


5月21日,Mirth Connect 是一種廣泛使用的跨平臺界面引擎,醫療保健組織將其用于信息管理。影響開源產品的漏洞 CVE-2023-43208 是一個數據反序列化問題,可導致未經身份驗證的遠程代碼執行。4.4.1 版發布時已推出補丁。該漏洞于 2023 年 10 月曝光,當時網絡安全公司 Horizon3.ai 警告稱該漏洞可能對醫療保健公司造成影響。CVE-2023-43208 是 CVE-2023-37679 的一個變體,Mirth Connect 開發人員之前已在 4.4.0 版發布時對該漏洞進行了修補。Horizon3.ai 當時將該漏洞描述為易于利用,并警告稱“攻擊者很可能利用此漏洞進行初始訪問或破壞敏感的醫療數據”。該安全公司還指出,發現了 1,200 多個暴露在互聯網上的 NextGen Mirth Connect 實例。


https://www.securityweek.com/cisa-warns-of-attacks-exploiting-nextgen-healthcare-mirth-connect-flaw/


3. 黑客團伙利用勒索軟件攻擊菲律賓政府


5月22日,黑客正在利用泄露的勒索軟件構建者對菲律賓的關鍵基礎設施發起攻擊——這是出于政治動機的團體的趨勢的一部分,他們越來越多地試圖擾亂這個東南亞國家的生活。網絡安全公司 SentinelOne的研究人員表示,一個名為“Ikaruz Red Team”的組織是少數幾個針對菲律賓政府目標的黑客組織之一。該行動利用了多種勒索軟件構建者——包括 LockBit、Vice Society、Clop 和 AlphV——發起“小規?!惫?。它還在網上宣傳菲律賓多個組織的數據泄露情況。SentinelOne 表示,受害者的便條幾乎全部抄襲自原始 LockBit 模板,頂部的名字除外。未提供聯系信息。


https://therecord.media/philippines-hacktivist-groups-leaked-versions-ransomware


4. GhostEngine 挖礦攻擊利用易受攻擊的驅動


5月22日,已發現代號為“REF4578”的惡意加密貨幣挖掘活動部署了名為 GhostEngine 的惡意負載,該負載使用易受攻擊的驅動程序來關閉安全產品并部署 XMRig 挖礦程序。Elastic Security Labs 和 安天的研究人員  在單獨的報告和共享的檢測規則中強調了這些加密貨幣挖掘攻擊的異常復雜性,以幫助防御者識別和阻止它們。然而,兩份報告均未將該活動歸咎于已知的威脅行為者,也未分享有關目標/受害者的詳細信息,因此該活動的起源和范圍仍然未知。雖然尚不清楚服務器最初是如何被破壞的,但威脅行為者的攻擊從執行名為“Tiworker.exe”的文件開始,該文件偽裝成合法的 Windows 文件。該可執行文件是 GhostEngine 的初始登臺有效負載,GhostEngine 是一個 PowerShell 腳本,可下載各種模塊以在受感染的設備上執行不同的行為。


https://www.bleepingcomputer.com/news/security/ghostengine-mining-attacks-kill-edr-security-using-vulnerable-drivers/


5. 西悉尼大學遭到黑客攻擊部分學生數據泄露


5月21日,在威脅行為者破壞了其 Microsoft 365 和 Sharepoint 環境后,西悉尼大學 (WSU) 已向學生和學術人員通報了數據泄露事件。WSU 是澳大利亞的一所教育機構,提供跨學科的廣泛本科、研究生和研究課程。它擁有 47,000 名學生和 4,500 多名正式和季節性員工,運營預算為 6 億美元。西悉尼大學網站今日發布公告,警告稱黑客已訪問其 Microsoft Office 365 環境,包括電子郵件帳戶和 SharePoint 文件。所暴露的數據因人而異,具體取決于電子郵件通信的內容以及大學 SharePoint 環境中存儲的文檔。


https://www.bleepingcomputer.com/news/security/western-sydney-university-data-breach-exposed-student-data/#google_vignette


6. Void Manticore瞄準以色列和阿爾巴尼亞


5月22日,該組織名為 Void Manticore (Storm-0842),在不同國家以各種化名開展活動。最著名的別名包括針對阿爾巴尼亞襲擊的“國土正義”和針對以色列行動的“因果報應”。針對不同的區域,針對每個目標采用獨特的方法。該組織的活動與另一個伊朗組織 Scarred Manticore 的活動重疊,這表明協調和系統的受害者選擇是他們為伊朗情報和安全部 (MOIS) 工作的一部分。專家警告說,虛空蝎獅對任何反對伊朗利益的人構成重大威脅。該組織利用復雜的假名網絡、戰略協作和復雜的攻擊方法。該組織以其雙重網絡攻擊方式而聞名,將物理數據破壞與心理壓力相結合。Void Manticore 使用五種不同的方法,包括針對 Windows 和 Linux 的自定義擦除器,通過刪除文件和操縱共享磁盤來破壞系統。


https://meterpreter.org/void-manticore-iranian-state-sponsored-hackers-target-israel-albania/

上一篇 下一篇