首頁 > 安全研究 > 安全通報 > 安全簡訊

麒麟勒索軟件組織聲稱入侵烏克蘭外交部

發布時間 2025-03-07

1. 麒麟勒索軟件組織聲稱入侵烏克蘭外交部


3月7日,麒麟勒索軟件組織聲稱已成功入侵烏克蘭外交部,這是一次重大的網絡安全事件。該組織宣稱竊取了包括私人通信、個人信息和官方法令在內的敏感數據,并已將部分數據出售給第三方,同時在其Tor泄密網站上發布了一系列被盜文件的圖像作為證據。然而,烏克蘭外交部尚未對這一數據泄露事件進行證實。此次攻擊被視為俄羅斯和烏克蘭持續沖突中混合戰爭升級的一部分,可能與克里姆林宮戰略一致的黑客活動和網絡犯罪集團有關。麒麟勒索軟件組織自2022年起活躍,曾因攻擊英國政府醫療服務提供商Synnovis而受到關注,通常采用“雙重勒索”手段。最近,該組織還聲稱對影響數十家當地報紙的李氏企業網絡攻擊負責。李氏企業是一家上市的美國媒體公司,在多個州出版大量報紙和周刊。此次事件再次凸顯了網絡安全的重要性,以及勒索軟件組織對全球企業和政府機構構成的威脅。


https://securityaffairs.com/175025/cyber-crime/qilin-ransomware-ministry-of-foreign-affairs-of-ukraine.html


2. 微軟刪除惡意廣告活動所用GitHub存儲庫,近百萬設備受影響


3月6日,微軟在2024年12月初檢測到一次大規模惡意廣告活動,該活動影響了全球近一百萬臺設備。攻擊者通過在非法盜版流媒體網站的視頻中注入惡意廣告重定向器,將潛在受害者重定向到他們控制的惡意GitHub存儲庫。這些存儲庫中的惡意軟件會感染用戶系統,執行系統發現、收集詳細的系統信息,并在部署額外的第二階段有效載荷時竊取數據。在第三階段,攻擊者會下載NetSupport遠程訪問木馬(RAT)和其他信息竊取惡意軟件,如Lumma和Doenerium,來竊取用戶數據和瀏覽器憑據。雖然GitHub是此次活動第一階段交付有效載荷的主要平臺,但Microsoft Threat Intelligence也觀察到在Dropbox和Discord上托管的有效載荷。此次攻擊活動具有無差別性,影響了廣泛的組織和行業,包括消費者和企業設備。微軟用“Storm-0408”這個總稱來追蹤這一活動,并提供了有關此次復雜惡意廣告活動的多階段攻擊鏈中攻擊的各個階段和所使用的有效載荷的詳細信息。


https://www.bleepingcomputer.com/news/security/microsoft-says-malvertising-campaign-impacted-1-million-pcs/


3. Akira勒索軟件團伙利用網絡攝像頭繞過EDR發起攻擊


3月6日,Akira勒索軟件團伙采用了一種不尋常的攻擊方法,利用不安全的網絡攝像頭對受害者網絡發起加密攻擊,成功繞過了Windows中的端點檢測和響應(EDR)工具。網絡安全公司S-RM在一次事件響應中發現了這一攻擊方式。Akira團伙首先通過遠程訪問解決方案進入公司網絡,部署合法的遠程訪問工具AnyDesk竊取數據,并使用遠程桌面協議(RDP)進行橫向移動。然而,當他們在Windows上部署勒索軟件負載時被EDR工具阻止。隨后,Akira掃描網絡尋找其他設備,發現了易受攻擊的網絡攝像頭和指紋掃描儀。由于網絡攝像頭運行Linux操作系統且沒有EDR代理,Akira選擇利用它掛載公司其他設備的Windows SMB網絡共享,并在網絡攝像頭上啟動Linux加密器,成功加密了SMB上的網絡共享文件。S-RM指出,已有針對網絡攝像頭漏洞的補丁,表明此次攻擊是可避免的。此案例強調了EDR保護并非全面安全解決方案,物聯網設備也應與敏感網絡隔離并定期更新固件以修補漏洞。


https://www.bleepingcomputer.com/news/security/akira-ransomware-encrypted-network-from-a-webcam-to-bypass-edr/


4. StubHub票務員工盜售千余張音樂會門票遭起訴


3月6日,紐約檢察官指控StubHub在線票務市場的兩名第三方承包商工作人員涉嫌盜竊并轉售近1000張高價值音樂會門票,賺取635,000美元。這些門票大多數是泰勒·斯威夫特的Eras Tour門票,以及其他知名活動如Ed Sheeran、Adele演唱會、NBA比賽和美國網球公開賽的門票。兩名被告分別是20歲的泰隆·羅斯和31歲的莎瑪拉·西蒙斯,他們在牙買加薩瑟蘭全球服務公司工作,利用離岸票務供應商平臺的漏洞攔截了約350份StubHub訂單,竊取門票。他們據稱通過訪問StubHub計算機系統,找到后門進入網絡安全區域,將已售出門票的URL重定向到同謀的電子郵件上。兩人已在紐約市被捕,并面臨多項刑事指控,一旦罪名成立,將面臨最高15年的監禁。此次打擊行動凸顯了地方檢察官辦公室對網絡犯罪的警惕性,以及與行業合作伙伴打擊欺詐活動和確保消費者保護的重要性。調查仍在進行中,以確定此次行動的規模和其他潛在同謀。


https://www.bleepingcomputer.com/news/security/cybercrime-crew-stole-635-000-in-taylor-swift-concert-tickets/


5. PyPI上的以太坊私鑰竊取程序被下載超過 1,000 次


3月6日,一個名為“set-utils”的惡意Python包在PyPI上被發現,該包偽裝成實用的工具包,通過攔截以太坊錢包創建功能竊取私鑰,并通過Polygon區塊鏈將其泄露。自2025年1月29日提交以來,該包已被下載一千多次,主要針對區塊鏈開發人員、基于Python的DeFi項目、支持以太坊的Web3應用程序以及使用Python自動化的個人錢包。該惡意包嵌入了攻擊者的RSA公鑰,用于加密被盜的私鑰,并將其嵌入到以太坊交易的數據字段中,通過Polygon RPC端點發送到攻擊者的帳戶。這種方法相對隱蔽,不易被防火墻和防病毒工具檢測到。一旦數據泄露過程完成,攻擊者可以隨時檢索被盜數據,因為被盜信息會永久存儲在區塊鏈上。盡管該包已被從PyPI中刪除,但已將其納入項目的用戶和軟件開發人員應立即卸載它,并假設創建的任何以太坊錢包都已受到威脅,盡快轉移資金以避免被盜風險。


https://www.bleepingcomputer.com/news/security/ethereum-private-key-stealer-on-pypi-downloaded-over-1-000-times/


6. 超過1000個WordPress網站遭惡意JavaScript代碼攻擊


3月6日,超過1000個由WordPress支持的網站被第三方JavaScript代碼感染,該代碼植入了四個獨立后門,為攻擊者提供多重入侵途徑。這些后門包括一個名為“Ultra SEO Processor”的虛假插件,用于執行攻擊者命令;向wp-config.php注入惡意JavaScript;向~/.ssh/authorized_keys添加SSH密鑰以實現遠程訪問;以及從gsocket[.]io獲取載荷以打開反向shell。為降低風險,用戶被建議刪除未授權SSH密鑰、更換WordPress管理員密碼,并監控日志。此前,已有超過35000個網站遭惡意JavaScript入侵,導致訪問者被重定向至中文賭博平臺。同時,名為ScreamedJungle的威脅行為者通過注入Bablosoft JS腳本,影響了115個以上的Magento網站,收集用戶指紋信息。攻擊者利用已知漏洞,如CVE-2024-34102和CVE-2024-20720,進行網站入侵。Group-IB指出,瀏覽器指紋識別技術雖常用于用戶跟蹤和營銷策略,但也被犯罪分子用于模仿合法用戶、逃避安全措施及實施欺詐。


https://thehackernews.com/2025/03/over-1000-wordpress-sites-infected-with.html

上一篇 下一篇