首頁 > 安全研究 > 安全通報 > 安全簡訊

俄羅斯UNC5812威脅組織瞄準烏軍新兵

發布時間 2024-10-30

1. 俄羅斯UNC5812威脅組織瞄準烏軍新兵


10月28日,俄羅斯威脅組織“UNC5812”被揭露開展混合間諜/影響活動,針對烏克蘭軍隊新兵使用Windows和Android惡意軟件。該組織通過假冒“民防”角色設立網站和Telegram頻道,傳播名為“Sunspinner”的虛假招募規避應用程序,以數據竊取和實時監視為目的。谷歌已實施保護措施,但此次行動顯示了俄羅斯在網絡戰領域的持續使用和廣泛能力。UNC5812不冒充政府機構,并發表反對烏克蘭招募和動員行動的言論,旨在激起民眾的不信任和抵抗情緒。該虛假應用程序提供Windows和Android下載,分別安裝惡意軟件加載器Pronsis Loader和信息竊取程序PureStealer,以及商業后門CraxsRAT。為了執行惡意活動,該應用程序誘騙用戶禁用Android反惡意軟件工具并授予危險權限。Google已更新Google Play保護功能和Chrome的“安全瀏覽”功能,以檢測和阻止相關惡意軟件。https://www.bleepingcomputer.com/news/security/russia-targets-ukrainian-conscripts-with-windows-android-malware/


2. 俄羅斯Midnight Blizzard黑客組織發起新型信息竊取活動


10月30日,俄羅斯黑客組織“午夜暴雪”(Midnight Blizzard)近期針對政府工作人員發起新型信息竊取活動,利用魚叉式網絡釣魚電子郵件發送遠程桌面協議(RDP)配置文件,使受害者設備遭受完全訪問權限的攻擊。微軟威脅情報團隊追蹤到該活動自10月22日起,已向全球包括英國、歐洲、澳大利亞和日本等數十個國家/地區的政府、學術界、國防、非政府組織等部門發送數千封此類郵件。這些郵件中包含敏感設置,可導致大量信息泄露,甚至安全密鑰和銷售點設備也可能受到影響。黑客還通過冒充微軟員工等方式誘騙受害者打開郵件。此次活動尤為引人注目,因為使用RDP配置文件是Midnight Blizzard戰術的新進步。亞馬遜和烏克蘭政府計算機應急響應小組也發現了類似活動,其中亞馬遜指出俄羅斯外國情報局(SVR)正針對政府機構、公司和軍隊發起網絡釣魚活動,旨在竊取俄羅斯對手的憑證。


https://therecord.media/russia-midnight-blizzard-hackers-target-government-sector


3. 大規模PSAUX勒索軟件攻擊瞄準22,000個CyberPanel實例


10月29日,超過22,000個CyberPanel實例因存在遠程代碼執行(RCE)漏洞而暴露于風險之中,這些實例在PSAUX勒索軟件攻擊中幾乎全部淪陷。安全研究員DreyAnd發現CyberPanel 2.3.6(及可能受影響的2.3.7版本)存在身份驗證缺陷、命令注入及安全過濾器繞過等安全問題,可導致未經授權的遠程根訪問。他已于2024年10月23日向CyberPanel開發人員披露漏洞并在GitHub 上提交了針對身份驗證問題的修復程序。與此同時,威脅情報搜索引擎LeakIX報告稱,大量存在漏洞的CyberPanel實例被PSAUX勒索軟件攻擊,導致近一半位于美國的實例(約10,170個)及管理的超過152,000個域和數據庫受到威脅。一夜之間,受影響的實例數量大幅下降,僅剩約400個可訪問。PSAUX勒索軟件通過漏洞和錯誤配置攻擊暴露的Web服務器,加密服務器文件并留下勒索信。目前,LeakIX已發布解密器用于解密在此次攻擊中加密的文件,但使用前需備份數據并測試其有效性,以防因錯誤密鑰導致數據損壞。


https://www.bleepingcomputer.com/news/security/massive-psaux-ransomware-attack-targets-22-000-cyberpanel-instances/


4. 加拿大稅務局數據泄露引發信任危機,隱私違規行為激增


10月29日,在今年的納稅季節高峰期,加拿大發生了一起嚴重的稅務數據泄露事件。黑客竊取了H&R Block Canada的機密數據,并利用這些信息未經授權訪問了數百名加拿大人的個人加拿大稅務局(CRA)賬戶。黑客更改了直接存款信息,提交了虛假申報表,并從公款中騙取了超過600萬美元的虛假退款。此次事件促使加拿大稅務局加強了媒體渠道準備,以應對公眾對此次數據泄露及該機構為何向詐騙者支付數百萬美元的問題。然而,公眾并未獲悉此計劃,稅務部長和加拿大稅務局也均未回應相關問題。H&R Block公司表示,沒有證據表明此次入侵事件源自該公司,其數據、系統、軟件和安全均未受到損害。加拿大稅務局未能確定黑客的身份,但排除了自身系統被入侵或內部人員參與的可能性。此外,加拿大稅務局還面臨其他嚴重問題,包括隱私泄露事件數量激增,以及公眾對保護納稅人金錢和個人信息的機構失去信任的風險。


https://www.cbc.ca/news/canada/canada-revenue-agency-taxpayer-accounts-hacked-1.7363440


5. 新工具可繞過Google Chrome的新Cookie加密系統


10月28日,網絡安全研究員亞歷山大-哈根納發布了一款名為“Chrome-App-Bound-Encryption-Decryption”的工具,該工具能繞過谷歌新推出的應用程序綁定加密技術,從Chrome瀏覽器中提取已保存的憑據,增加了Chrome用戶的風險。谷歌在7月推出的這一加密技術,旨在通過Windows服務以系統權限對cookies進行加密,保護敏感信息免受惡意軟件攻擊。然而,9月時已有多個信息竊取者找到繞過方法。昨天,哈根納在GitHub上公開了這款旁路工具及其源代碼。該工具利用Chrome瀏覽器內部的IElevator服務,解密存儲在本地狀態文件中的App-Bound加密密鑰。雖然使用該工具需要管理員權限,但許多Windows用戶都使用具有管理權限的賬戶,因此這通常容易實現。據惡意軟件分析師稱,哈根納的方法與早期信息竊取者采取的繞過方法類似,雖然谷歌一直在努力改進防御措施,但使用新工具仍能輕易竊取Chrome瀏覽器中的用戶秘密。谷歌表示,雖然這段代碼需要管理員權限,但惡意軟件的數量仍在增加,它們通過不同方式鎖定用戶。


https://www.bleepingcomputer.com/news/security/new-tool-bypasses-google-chromes-new-cookie-encryption-system/


6. Discord Bots被惡意利用:PySilon RAT威脅網絡安全


10月29日,網絡安全公司AhnLab在最近的一份報告中指出,原本用于良性服務器管理的Discord Bots現在被用于部署遠程訪問木馬(RAT),其中最新的案例涉及名為PySilon的惡意軟件變種。PySilon是一種利用Discord Bot平臺滲透系統并獲取敏感數據的RAT,它扭曲了Discord Bot原本提供的服務器管理、自動消息響應等功能,在Discord基礎設施內惡意運行。這款使用Python開發的RAT惡意軟件可在GitHub上訪問,威脅行為者可以輕松構建自定義版本,并通過調整服務器ID和機器人令牌等詳細信息,使用構建器程序創建個性化的惡意軟件版本。執行后,PySilon會在攻擊者的服務器內創建一個新通道,將初始系統信息轉發給操作員,從而實現黑客與受感染設備的持久通信鏈接。PySilon具有廣泛的命令范圍,可用于間諜、數據竊取和破壞等活動,包括收集個人和系統信息、屏幕和音頻記錄、鍵盤記錄以及文件夾加密等。AhnLab強調,檢測此類威脅具有挑戰性,因為數據是使用為正常機器人功能實施的官方Discord服務器傳輸的,掩蓋了其惡意性質。


https://securityonline.info/pysilon-a-discord-bot-turned-malicious-rat-for-data-theft-and-surveillance/

上一篇 下一篇