首頁 > 安全研究 > 安全通報 > 安全簡訊

Bling Libra策略轉變:從數據盜竊到云勒索

發布時間 2024-08-29
1. Bling Libra策略轉變:從數據盜竊到云勒索


8月27日,Unit 42網絡安全團隊揭示,臭名昭著的Bling Libra威脅組織已顯著轉變其策略,從以往通過地下市場販賣竊取數據,轉變為針對云環境實施勒索攻擊。這一變化尤為令人擔憂,因為Bling Libra已成功利用AWS憑證入侵多家企業的云賬戶,特別是通過Amazon S3資源。他們精心策劃的入侵行動,包括細致的數據探索和隱蔽的活動追蹤,使得攻擊初期難以被察覺。利用S3瀏覽器和WinSCP等工具,Bling Libra不僅繪制了受害者的存儲桶結構,還刪除了關鍵數據,進一步加劇了損失。更甚者,在完成破壞后,該組織創建了嘲諷性的新S3存儲桶,并發起勒索郵件,要求支付贖金以恢復數據和停止攻擊。Unit 42的報告深入分析了這些工具的使用方式,為防御者提供了識別惡意活動的線索。鑒于云服務的普及,報告強調組織應采納最小特權原則和強化安全措施,如利用IAM訪問分析和AWS服務控制策略,以有效抵御此類高級威脅。


https://securityonline.info/bling-libras-tactical-evolution-exploiting-cloud-misconfigurations-for-extortion/


2. Poortry工具集進化:從EDR殺手到全面擦除者


8月27日,Sophos X-Ops最新報告揭示了惡意工具集Poortry的最新進展,該工具旨在針對Windows系統上的端點檢測和響應(EDR)軟件發起攻擊。自2022年被Mandiant發現以來,Poortry通過其加載程序“Stonestop”成為多個勒索軟件組織的關鍵工具,不斷進化以逃避檢測。最新版本的Poortry不僅限于禁用EDR軟件,更能從磁盤中徹底清除安全軟件的關鍵組件,從而為其背后的勒索軟件攻擊掃清道路。Poortry的核心策略是利用Windows內核模式驅動程序的廣泛權限,通過解除掛鉤和終止保護進程來繞過安全機制。其開發者利用多種方法繞過代碼簽名驗證,包括濫用泄露的證書、偽造時間戳以及嘗試直接通過Microsoft的WHQL證明簽名流程獲取合法證書。盡管面臨微軟和Sophos的曝光與封堵,Poortry依然通過靈活調整策略保持活躍。尤為值得關注的是,Poortry在2024年7月的一次事件中首次展示了其刪除EDR組件的新能力,這顯著增加了組織面臨的風險。


https://securityonline.info/poortry-edr-killer-evolves-now-wipes-security-software-from-windows-systems/


3. Park'N Fly遭黑客入侵,百萬客戶數據泄露


8月27日,Park'N Fly是加拿大知名機場外停車服務提供商,近期遭遇嚴重數據泄露事件,約100萬客戶的個人信息被黑客非法獲取。威脅者利用竊取的VPN憑證,在7月中旬侵入公司網絡,并在7月11日至13日期間實施了未授權訪問。泄露的信息包括客戶全名、電子郵件、住址、航班號及民航局號碼,但幸運的是,財務和支付卡信息未被波及。Park'N Fly迅速采取行動,五天內恢復了受影響的系統,并加強了安全措施以防止未來類似事件的發生。公司CEO卡羅·馬雷洛向客戶及合作伙伴致歉,并承諾將全力保護用戶信息。受影響的客戶在社交媒體上表達了對數據泄露的擔憂,并對公司數據保留政策提出質疑。Park'N Fly提醒所有受影響的客戶保持高度警惕,防范潛在的網絡釣魚攻擊。


https://www.bleepingcomputer.com/news/security/parkn-fly-notifies-1-million-customers-of-data-breach/


4. 利用Atlassian Confluence漏洞CVE-2023-22527進行加密劫持


8月28日,Trend Micro 研究人員揭示了針對 Atlassian Confluence 數據中心和服務器版本的嚴重漏洞(CVE-2023-22527)的廣泛加密劫持活動。該漏洞于2024年1月16日由Atlassian公開,其CVSS評分為滿分10,表明其極高危害性。該漏洞通過模板注入機制,允許未授權攻擊者遠程執行代碼,控制服務器。自2024年6月中旬起,利用此漏洞的加密貨幣挖掘攻擊急劇增加,主要由三個威脅行為者主導,他們采用不同策略部署XMRig挖礦機,盜用計算資源以牟利。其中一個行為者直接利用ELF文件負載部署挖礦機,而另一行為者則采用復雜手段,通過SSH腳本滲透系統,清除競爭挖礦進程,禁用云安全服務,并收集敏感信息以擴大攻擊范圍。這些行為者還通過創建多個cron作業來維持對受感染服務器的控制,確保挖礦活動持續進行,并消除潛在的安全障礙。為應對此威脅,管理員應立即更新Confluence至最新版本,并強化安全措施。


https://www.trendmicro.com/en_us/research/24/h/cve-2023-22527-cryptomining.html


5. BlackByte 勒索軟件新攻勢:利用VMware ESXi漏洞與VPN訪問


8月29日,BlackByte 勒索軟件組織正借助新發現的 VMware ESXi 漏洞及VPN訪問途徑,對全球企業發起新一輪猛烈攻擊。思科Talos 團隊揭露了其攻擊策略,BlackByte 不僅利用CVE-2024-37085漏洞繞過身份驗證,還通過VPN等遠程訪問機制隱秘滲透,以低可見性方式擴大感染范圍。該組織還擅長利用竊取的Active Directory憑據自我傳播,加劇了其破壞力。盡管其公開數據泄露網站僅展示部分攻擊案例,但Talos 研究顯示其實際活動遠超預期。制造業、運輸/倉儲、專業服務、信息技術及公共行政成為其重點攻擊目標。為應對此威脅,組織需緊急修補VMware ESXi等系統,實施MFA,審核VPN配置,并限制關鍵網絡訪問。同時,禁用或限制NTLM使用,部署高效的端點檢測和響應系統,并構建全面的安全策略,融合主動威脅情報與事件響應能力,以全面抵御BlackByte等勒索軟件的侵害。


https://hackread.com/blackbyte-ransomware-vmware-flaw-vpn-based-attacks/


6. 伊朗APT33利用Tickler惡意軟件攻擊美國政府和國防等機構


8月28日,伊朗黑客組織APT33,別名Peach Sandstorm和Refined Kitten,近年來頻繁發動網絡攻擊,其最新手段涉及使用新型Tickler惡意軟件,重點針對美國和阿聯酋的政府、國防、衛星、石油及天然氣部門的組織。2024年4月至7月間,該組織通過Microsoft Azure基礎設施實施命令與控制(C2),利用欺詐性Azure訂閱進行情報收集。此前,APT33已成功利用密碼噴灑攻擊侵入國防、航天、教育及政府部門,尤其是通過教育行業盜用賬戶來獲取Azure資源。此外,APT33在2023年還采用類似策略,利用FalseFont后門惡意軟件攻擊全球國防承包商。微軟對此類攻擊保持高度警惕,指出APT33自2023年2月以來,已對全球數千個組織進行了大規模密碼噴灑攻擊,威脅領域進一步擴展到制藥業。為應對這一威脅,微軟宣布自10月15日起,所有Azure登錄嘗試均需通過多重身份驗證(MFA),旨在顯著增強賬戶安全性。


https://www.bleepingcomputer.com/news/security/APT33-Iranian-hacking-group-uses-new-tickler-malware-to-backdoor-us-govt-defense-orgs/

上一篇 下一篇