首頁 > 安全研究 > 安全通報 > 安全簡訊

網絡犯罪分子瞄準AWS環境,利用配置錯誤推送釣魚活動

發布時間 2025-03-04

1. 網絡犯罪分子瞄準AWS環境,利用配置錯誤推送釣魚活動


3月3日,據Palo Alto Networks Unit 42的調查,網絡犯罪分子正針對亞馬遜網絡服務(AWS)環境,向目標推送網絡釣魚活動。一個名為TGR-UNK-0011的活動集群(與JavaGhost組織有重疊)自2019年以來一直活躍,歷史上專注于網站篡改,但自2022年起轉向發送網絡釣魚郵件以謀取經濟利益。這些攻擊并未利用AWS漏洞,而是利用受害者環境中AWS訪問密鑰的配置錯誤,通過濫用SES和WorkMail服務發送釣魚消息,從而繞過電子郵件保護。攻擊者一旦獲得對AWS賬戶的訪問權限,就會生成臨時憑證和登錄URL,隱藏身份并查看賬戶資源。他們還利用SES和WorkMail建立釣魚基礎設施,創建新用戶并設置SMTP憑證發送郵件。JavaGhost創建了多種IAM用戶,其中未使用的用戶似乎作為長期持久性機制。此外,他們還創建了一個新IAM角色,允許從另一個控制的AWS賬戶訪問目標賬戶。Unit 42指出,該組織在攻擊過程中留下相同標記,通過創建名為Java_Ghost的EC2安全組,組描述為“我們存在但不可見”,這些安全組不包含任何安全規則。


https://thehackernews.com/2025/03/hackers-exploit-aws-misconfigurations.html


2. 帕勞衛生部遭麒麟勒索軟件攻擊后迅速恢復


3月4日,太平洋島國帕勞的衛生部近期遭受了一次由知名犯罪團伙Qilin發起的勒索軟件攻擊。此次攻擊導致帕勞衛生與公眾服務部(MHHS)的IT系統被入侵,部分文件被竊取。帕勞國家醫院作為該國關鍵醫療機構,其運營因此受到威脅。然而,在帕勞、澳大利亞網絡安全專家和財政部官員的協助下,政府迅速查明事件真相,并在48小時內恢復了醫院的正常運營。同時,美國網絡司令部“前沿防御”小組也在現場進行取證收集和分析。麒麟黑客威脅要公布竊取的數據,但帕勞官員并未試圖協商贖金。盡管部分被盜信息已被公布,包括患者賬單摘要等個人信息,但MHHS認為這些信息泄露不會對帕勞個人的安全造成重大影響,但仍建議民眾保持警惕,防范潛在的欺詐和網絡釣魚郵件。此外,麒麟勒索軟件團伙近期還針對其他醫療機構、地方政府和大型公司展開了攻擊,引起了廣泛關注。


https://therecord.media/palau-health-ministry-ransomware-recover


3. 假技術支持使用電話和Microsoft Teams誘騙用戶安裝勒索軟件


3月3日,網絡安全研究人員發出警告,一種新的騙局正在肆虐,網絡犯罪分子假扮成技術支持人員,通過發送大量電子郵件并利用 Microsoft Teams 或電話誘騙受害者登錄,進而獲取遠程訪問權限。他們使用合法的Windows程序Quick Assist來提供遠程技術支持,但實則在安裝名為BackConnect的后門惡意軟件,使攻擊者能夠完全控制受感染的系統。這一騙局與臭名昭著的Black Basta勒索軟件組織緊密相關,該組織曾在2024年因類似手法被標記,并據報道在2023年從受害者那里賺取了超過1億美元。此外,一些Black Basta成員已經轉向Cactus勒索軟件團伙,最近的Cactus攻擊中使用的方法與Black Basta驚人地相似。這些攻擊主要針對北美的制造業、金融、投資咨詢和房地產行業,自2024年10月以來尤為活躍。攻擊者利用社交工程和濫用正版軟件和云服務相結合的方式,使惡意行為看起來像正常的計算機活動。網絡安全不僅在于擁有正確的軟件,更在于意識到犯罪分子如何試圖欺騙人們。因此,Microsoft Teams用戶應保持警惕,避免受到此類騙局的侵害。


https://hackread.com/fake-it-support-calls-microsoft-teams-users-install-ransomware/


4. 俄羅斯電信巨頭Beeline再遭DDoS攻擊


3月3日,俄羅斯電信公司Beeline遭受了定向分布式拒絕服務(DDoS)攻擊,導致部分用戶互聯網中斷,這是近幾周內針對該公司的第二次重大攻擊。此次攻擊影響了Beeline的移動應用程序、網站和互聯網服務,用戶在訪問時遇到困難,莫斯科和周邊地區的用戶紛紛投訴連接問題。Beeline已采取措施穩定服務,但未提供更多細節。今年2月,Beeline也曾遭受類似攻擊,導致大面積服務中斷。此次攻擊與1月俄羅斯電信巨頭MegaFon遭受的攻擊相似,均由大規模DDoS攻擊造成,被認為是針對電信行業的嚴重黑客活動主義網絡攻擊之一。Beeline之前歸荷蘭公司Veon所有,Veon在入侵烏克蘭后開始剝離其俄羅斯業務。此次攻擊是俄羅斯電信行業一系列網絡事件之一,包括Rostelecom疑似遭受網絡攻擊、烏克蘭網絡聯盟聲稱對俄羅斯互聯網提供商Nodex的攻擊負責,以及Rapporto報告其基礎設施遭受網絡攻擊等。


https://therecord.media/russian-telecom-beeline-outages-cyber


5. 新的ClickFix攻擊通過Microsoft Sharepoint部署Havoc框架


3月3日,新發現的ClickFix網絡釣魚活動誘騙受害者執行惡意PowerShell命令,以部署Havoc后利用框架來遠程訪問受感染設備。ClickFix 是去年出現的一種社會工程策略,威脅行為者通過創建顯示虛假錯誤的網站或附件,提示用戶單擊按鈕修復錯誤。單擊后,惡意PowerShell命令會被復制到剪貼板,然后提示用戶粘貼到命令提示符中,實際上執行的是遠程站點上的惡意腳本,下載并安裝惡意軟件。在最近的一次ClickFix活動中,威脅行為者利用Microsoft云服務,發送釣魚郵件聲稱有“限制通知”,誘使用戶打開HTML文檔后顯示假的錯誤提示,引導用戶執行PowerShell命令。該命令啟動托管在威脅行為者SharePoint服務器上的腳本,檢查設備是否在沙盒環境中,然后修改注冊表、安裝Python解釋器,并下載并執行Python腳本以部署Havoc框架。Havoc框架允許攻擊者遠程控制設備,通過Microsoft Graph API與威脅行為者的服務通信,混入常規網絡通信以逃避檢測。ClickFix攻擊越來越受歡迎,被用于部署各種惡意軟件,威脅行為者還不斷改進技術,利用社交媒體平臺誘騙用戶。


https://www.bleepingcomputer.com/news/security/new-clickfix-attack-deploys-havoc-c2-via-microsoft-sharepoint/


6. 波蘭航天局遭網絡攻擊,太空機構成黑客新目標


3月3日,波蘭航天局(POLSA)周日宣布其遭受了網絡攻擊,并已斷開與互聯網的連接進行調查,同時其網站截至周一仍無法訪問。國家網絡安全服務部門已檢測到對POLSA IT基礎設施的未經授權訪問,并正在保護受影響的系統,同時努力識別攻擊者。目前尚不清楚此次攻擊是由勒索軟件組織還是政治動機的黑客發起,也未透露黑客入侵系統的具體細節。POLSA是波蘭負責太空活動的政府機構,也是歐洲航天局成員,其可能成為黑客的誘人目標,因為與軍事和情報機構的合作可能暴露敏感的國防相關信息、衛星運營或機密研究,危及國家安全。波蘭已成為親俄黑客的主要目標,今年網絡攻擊數量翻倍,為此波蘭已投資7.6億美元加強網絡安全。


https://therecord.media/poland-space-cyberattack-agency-investigate

上一篇 下一篇