首頁 > 安全研究 > 安全通報 > 安全簡訊

德克薩斯州律師協會遭INC勒索軟件攻擊導致數據泄露

發布時間 2025-04-08

1. 德克薩斯州律師協會遭INC勒索軟件攻擊導致數據泄露


4月3日,美國第二大律師協會——德克薩斯州律師協會遭遇重大數據泄露事件,波及超10萬名執業律師。該協會承擔執業許可監管、繼續教育管理、職業道德監督等核心職能,其網絡系統于2025年1月28日至2月9日間遭未經授權訪問,但直至2月12日方被察覺。根據協會向受影響成員發布的通知,攻擊者竊取了包含全名的敏感信息,具體泄露范圍尚未明確。值得注意的是,INC勒索軟件團伙公開宣稱對此次攻擊負責,并于3月9日將該協會列入暗網勒索名單,同時披露了部分據稱為法律案件文件的被盜數據樣本。協會已采取應對措施,為受影響成員提供有效期至7月31日的免費信用及身份盜竊監控服務(由Experian提供支持),并建議成員通過激活碼注冊該服務。此外,協會強烈建議成員考慮啟動信用凍結或在信用檔案中設置欺詐警報,以最大限度降低潛在風險。


https://www.bleepingcomputer.com/news/security/texas-state-bar-warns-of-data-breach-after-inc-ransomware-claims-attack/


2. Everest勒索軟件團伙暗網泄密網站遭未知攻擊下線


4月7日,近日,Everest 勒索軟件團伙的暗網泄密網站遭遇未知攻擊者襲擊,目前已下線。攻擊者將網站內容替換為諷刺信息:“不要犯罪,犯罪是壞事,來自布拉格?!蹦壳?,該網站顯示“未找到洋蔥網站”錯誤,無法加載。盡管攻擊者如何進入網站或網站是否被黑客攻擊尚不明確,但安全專家指出,Everest 使用的 WordPress 模板可能存在潛在漏洞,該漏洞或被利用來破壞勒索軟件操作的泄漏網站。自 2020 年出現以來,Everest 勒索軟件行動策略已發生變化,從僅竊取數據、勒索企業轉變為在攻擊中加入勒索軟件,加密受害者系統。此外,Everest 運營商還因充當其他網絡犯罪團伙和威脅行為者的初始訪問權限經紀人而出名,出售被攻破的公司網絡訪問權限。在過去 5 年中,Everest 的暗網泄密網站增加了 230 多名受害者,成為雙重勒索攻擊的一部分,勒索軟件團伙試圖以發布敏感信息為威脅,迫使受害者支付贖金。


https://www.bleepingcomputer.com/news/security/everest-ransomwares-dark-web-leak-site-defaced-now-offline/


3. VSCode惡意擴展現身微軟市場,借XMRig挖礦牟利


4月7日,近日,ExtensionTotal研究員Yuval Ronen發現,2025年4月4日,微軟門戶上悄然發布了九個偽裝成合法開發工具的VSCode擴展。這些擴展以“Discord Rich Presence for VS Code”“Rojo – Roblox Studio Sync”等名稱示人,安裝量超30萬次,但數字可能被人為夸大,旨在營造合法假象。一旦安裝激活,這些惡意擴展便從外部源獲取并執行PowerShell腳本,同時安裝其模仿的合法擴展以掩人耳目。惡意軟件會創建偽裝成“OnedriveStartup”的計劃任務,并在Windows注冊表中注入腳本,確保系統啟動時自動運行。它還會關閉關鍵Windows服務,如Windows Update,并將自身添加到Windows Defender的排除列表中,以逃避檢測。若未以管理員權限執行,惡意軟件會模仿系統二進制文件,使用惡意MLANG.dll執行DLL劫持,提升權限并執行有效負載。該可執行文件采用base64編碼格式,由PowerShell腳本解碼后連接到輔助服務器,下載并運行XMRig加密貨幣礦工。目前,盡管ExtensionTotal已向微軟報告這些惡意擴展,但它們仍可用。


https://www.bleepingcomputer.com/news/security/malicious-vscode-extensions-infect-windows-with-cryptominers/


4. 黑客冒充烏機構發動攻擊,竊密惡意軟件威脅加劇


4月8日,根據政府最新研究,黑客正利用竊取信息的惡意軟件對烏克蘭關鍵部門發動攻擊。自2月以來,烏克蘭計算機應急響應小組(CERT-UA)一直在追蹤這一活動,其幕后威脅者被追蹤為UAC-0226,但尚未歸咎于任何已知黑客組織。黑客從被入侵的賬戶發送帶有惡意文檔附件的電子郵件,文件名或主題行涉及地雷清除、行政罰款、無人機生產或財產損失賠償等話題,以感染烏克蘭武裝部隊、執法機構和地方政府機構等目標。截至4月,黑客已部署兩種惡意軟件,一種基于GitHub公開代碼,另一種名為GiftedCrook,可竊取瀏覽器數據并發送到Telegram泄露。此外,3月份還發現了至少三起利用新型間諜惡意軟件Wrecksteel的網絡攻擊,黑客通過被盜賬戶發送包含公共文件共享服務鏈接的消息,執行PowerShell腳本后,可提取多種文件并截取屏幕截圖。CERT-UA提供了網絡釣魚電子郵件示例,以警示公眾注意此類攻擊。


https://therecord.media/hackers-impersonate-drone-companies-state-agencies-spy-ukraine


5. WK Kellogg Co遭Clop利用Cleo漏洞實施數據盜竊攻擊


4月7日,美國食品巨頭WK Kellogg Co近日警告員工和供應商,公司數據在2024年Cleo數據盜竊攻擊中遭竊取。Cleo軟件是一款托管文件傳輸實用程序,去年年底,Clop勒索軟件團伙利用兩個零日漏洞CVE-2024-50623和CVE-2024-55956,集體攻擊了該軟件,使威脅行為者能夠入侵服務器并竊取數據。WK Kellogg于2025年2月27日獲悉此事,并立即展開調查。經聯系Cleo后得知,一名未經授權的人于2024年12月7日訪問了Cleo為WK Kellogg托管的服務器。盡管WK Kellogg未具體提及Clop或數據盜竊攻擊,但報告事件的日期與2024年12月發生的一波攻擊相吻合。此外,Clop勒索軟件團伙在將WK Kellogg列入其數據泄露勒索網站后不久,就發布了違規通知。泄露的數據包括個人的姓名和社會保險號。WK Kellogg已與Cleo密切合作,確定了為解決違規行為并防止將來發生類似事件而實施的安全措施。此次事件使WK Kellogg成為受到Clop的Cleo零日攻擊影響的眾多公司中的最新受害者。


https://www.bleepingcomputer.com/news/security/food-giant-wk-kellogg-discloses-data-breach-linked-to-clop-ransomware/


6. 新型Neptune RAT變種威脅加劇,竊密與破壞能力升級


4月7日,近日,一種新的Neptune RAT變種通過YouTube和Telegram等社交平臺廣泛傳播,對Windows用戶構成嚴重威脅。該惡意軟件雖聲稱用于“教育和道德目的”,但實際功能卻遠非如此。Neptune RAT能夠竊取用戶憑證、替換加密貨幣錢包地址,甚至使用勒索軟件功能鎖定文件,使攻擊者能夠全面控制受感染的系統。該惡意軟件在社交平臺上免費分發,隱藏了可執行文件,并使用阿拉伯字符和表情符號替換部分字符串,增加了分析難度。其免費版本會自動生成PowerShell命令,下載并運行其他惡意組件。Neptune RAT包含多種攻擊模塊,如憑證盜竊、剪貼板劫持、勒索軟件和系統損壞等,能夠協同攻擊Windows計算機。為逃避檢測,該惡意軟件會修改注冊表值、添加到Windows任務計劃程序中,并檢查是否在虛擬環境中運行。此外,附加的DLL文件增加了更多功能,包括繞過用戶帳戶控制、竊取數據和實時屏幕監控等。


https://hackread.com/neptune-rat-variant-youtube-steal-windows-passwords/

上一篇 下一篇