首頁 > 安全研究 > 安全通報 > 安全簡訊

印度黑客組織CyberVolk:新興勒索軟件威脅全球網絡安全

發布時間 2024-09-06

1. 印度黑客組織CyberVolk:新興勒索軟件威脅全球網絡安全


9月5日,印度黑客組織CyberVolk作為網絡犯罪領域的新秀,以其復雜的勒索軟件迅速崛起并引發關注。該組織自2024年7月推出其勒索軟件以來,憑借其先進的加密技術和迅速擴散的能力,迅速在網絡犯罪界聲名狼藉。CyberVolk勒索軟件不僅功能強大,還以勒索軟件即服務(RaaS)形式流通,任何人均可租用并發動攻擊,極大地擴大了其威脅范圍。該軟件的加密算法不斷升級,采用包括ChaCha20-Poly1305、AES及抗量子技術在內的多重加密手段,確保數據難以解密,即便面對量子計算挑戰亦不例外。CyberVolk勒索軟件最為獨特之處在于其無需C2服務器即可獨立運行,增強了隱蔽性與破壞性。一旦加密啟動,將迅速鎖定文件,并設置嚴格贖金期限與懲罰機制,如輸入錯誤密鑰則自動銷毀數據,迫使受害者就范。此外,該軟件還具備逃避檢測、蠕蟲式傳播等能力,嚴重威脅企業及個人信息安全。盡管CyberVolk勒索軟件設計精妙,但網絡安全研究機構ThreatMon仍發現了其漏洞,如可通過PowerShell命令終止加密、修改時間文件延長贖金支付期限等,為應對攻擊提供了可能性。然而,CyberVolk勒索軟件的財務收益激增,顯示出其活動的廣泛影響與危害。


https://securityonline.info/cybervolk-ransomware-a-new-and-evolving-threat-to-global-cybersecurity/


2. 警惕冒充Netflix的釣魚郵件泛濫


9月2日,AhnLab 安全情報中心(ASEC)近期揭示了針對知名OTT平臺Netflix的網絡釣魚郵件活動。隨著OTT平臺普及和用戶基數的擴大,此類釣魚攻擊日益猖獗。攻擊者精心偽造Netflix訂閱付款失敗的郵件,誘導用戶點擊鏈接更新付款方式,郵件設計逼真,甚至使用看似無害的“netflix-team[.]com”域名。然而,這并非Netflix官方地址,而是專為釣魚設計的域名。郵件中嵌入的“幫助中心”和“聯系方式”鏈接指向官方,但關鍵的“立即更新帳戶”按鈕則導向已關閉的釣魚網站URL,盡管該網站無法進一步分析,但通過分析域名和子URL中發現的知名平臺CSS文件,推測攻擊者可能構建了多個類似釣魚站點。此案例凸顯了釣魚郵件的隱蔽性和復雜性,攻擊者利用公眾對OTT平臺的熟悉感降低戒備。為防范此類攻擊,用戶需提升安全意識,仔細檢查郵件中的URL,并在點擊前通過官方渠道驗證信息真偽。


https://asec.ahnlab.com/en/82969/


3. FBI警告朝鮮黑客瞄準加密貨幣領域,社會工程攻擊頻發


9月3日,美國聯邦調查局近日發出緊急警告,指出朝鮮黑客組織正積極針對加密貨幣領域發起高度復雜的社會工程攻擊,旨在竊取加密資產。這些攻擊極具隱蔽性,即便是網絡安全專家也難以輕易察覺。朝鮮黑客事先對加密貨幣交易所交易基金(ETF)及相關個人進行詳盡調研,顯示出其對潛在目標的深入了解和周密準備。他們不僅瞄準加密貨幣公司,還針對處理大量加密資產的組織發起網絡入侵,企圖盜取資金。FBI強調,朝鮮黑客擅長通過精心策劃的社會工程手段,偽裝成招聘人員或知名行業人士,利用誘人的就業和投資機會誘騙員工上鉤。他們使用流利的英語、專業的加密貨幣知識及偽造的身份信息,極大提升了攻擊的可信度。此外,黑客還擅長構建看似合法的網站和盜用圖片,以混淆視聽。為應對這一威脅,FBI列出了朝鮮社會工程活動的潛在跡象,并為加密貨幣行業及其員工提供了防范建議,包括仔細核查郵件來源、避免點擊不明鏈接、通過官方渠道驗證信息等。


https://www.bleepingcomputer.com/news/security/fbi-warns-crypto-firms-of-aggressive-social-engineering-attacks/?&web_view=true


4. BlindEagle利用BlotchyQuasar攻擊哥倫比亞保險業


9月5日,Zscaler ThreatLabz近期檢測到BlindEagle(也被稱為AguilaCiega、APT-C-36和APT-Q-98)這一高級持續性威脅(APT)行為者的新活動。BlindEagle主要將目標鎖定在南美洲,特別是哥倫比亞和厄瓜多爾的政府和金融部門組織及個人。其通過精心設計的網絡釣魚電子郵件獲取初始訪問權限,隨后利用商品化的.NET遠程訪問木馬(RAT)如AsyncRAT、RemcosRAT及定制變體BlotchyQuasar竊取銀行服務提供商的憑據。此次攻擊特別針對哥倫比亞保險業,威脅行為者偽裝成哥倫比亞稅務機關(DIAN)發送緊急通知,聲稱因未付稅款而發出扣押令,迫使受害者立即行動。受害者被誘導下載并運行一個受密碼保護的ZIP存檔,該存檔包含BlotchyQuasar惡意軟件。BlotchyQuasar具有強大的功能,如鍵盤記錄、監控銀行服務窗口標題以及執行shell命令,從而竊取支付相關數據。ThreatLabz認為此次攻擊高度可信地由BlindEagle發起,因其符合該組織已知的作案手法和目標特征。


https://www.zscaler.com/blogs/security-research/blindeagle-targets-colombian-insurance-sector-blotchyquasar


5. LiteSpeed Cache漏洞導致600萬個WordPress網站面臨賬戶接管風險


9月5日,WordPress加速插件LiteSpeed Cache近期曝出嚴重安全漏洞CVE-2024-44000,影響超600萬WordPress網站安全。該漏洞屬于未經身份驗證的帳戶接管問題,源于插件的調試日志功能不當處理用戶會話cookie。當該功能啟用時,所有HTTP響應頭(含敏感cookie)被寫入未受保護的日志文件,攻擊者通過訪問該文件可竊取cookie,進而冒充管理員控制網站。LiteSpeed Technologies迅速響應,發布6.5.0.1版本修復漏洞,包括將日志移至專用文件夾、隨機化文件名、移除cookie記錄選項及增設保護文件。用戶被建議清除舊日志文件并設置.htaccess規則防止直接訪問,以防潛在攻擊。此外,該插件近期已多次被曝出安全漏洞,包括未驗證跨站腳本和權限升級漏洞,黑客活動頻繁,過去24小時內攻擊次數高達34萬次,凸顯了及時更新和加固安全措施的重要性。WordPress社區和用戶需密切關注并采取相應防護措施,以確保網站安全。


https://www.bleepingcomputer.com/news/security/litespeed-cache-bug-exposes-6-million-wordpress-sites-to-takeover-attacks/


6. 黑客陷阱:偽造OnlyFans工具暗藏Lumma惡意軟件


9月5日,黑客們近期采用了一種狡猾的策略,利用偽造的OnlyFans賬戶檢查工具作為誘餌,目標直指其他黑客群體。這些工具聲稱能驗證并竊取OnlyFans賬戶,實則暗藏Lumma信息竊取惡意軟件,通過GitHub等渠道傳播。Lumma作為一種高級的MaaS(惡意軟件即服務),不僅具備強大的信息竊取能力,還能加載其他惡意負載,對受害者的系統造成深度侵害。此次事件中,黑客們精心設計了陷阱,使威脅行為者在嘗試驗證OnlyFans賬戶時,不知不覺中感染了Lumma,進而暴露了自身的敏感信息。Lumma還通過其靈活的傳播方式,如惡意廣告、社交媒體評論等,不斷擴大其影響范圍。值得注意的是,該惡意軟件不僅能竊取密碼、信用卡信息等傳統數據,還能恢復過期的Google會話令牌,顯示出其高度的技術復雜性和危害性。此次攻擊不僅限于OnlyFans賬戶,還擴展到Disney+、Instagram等多個平臺,甚至包括Mirai僵尸網絡構建器的傳播,顯示了攻擊者廣泛而多樣的目標選擇。此外,攻擊者還利用GitHub等開源平臺托管惡意負載,進一步增加了隱蔽性和傳播效率。


https://www.bleepingcomputer.com/news/security/hacker-trap-fake-onlyfans-tool-backstabs-cybercriminals-steals-passwords/

上一篇 下一篇