首頁 > 安全研究 > 安全通報 > 安全簡訊

Medusa勒索軟件將NASCAR列入受害者名單

發布時間 2025-04-09

1. Medusa勒索軟件將NASCAR列入受害者名單


4月8日,Medusa勒索軟件團伙近日將NASCAR(全美運動汽車賽車協會)列入受害者名單,在其暗網泄密網站上要求NASCAR支付400萬美元贖金,否則將公布內部數據。該組織還聲稱McFarland Commercial Insurance Services、Bridgebank Ltd和Pulse Urgent Care也遭攻擊。黑客已發布37張與NASCAR相關的文檔圖片作為證據,其中包含公司品牌材料、設施地圖、員工聯系方式及內部筆記和照片。對泄露文件的快速分析顯示,其中包含賽道詳細地圖、電子郵件地址、員工姓名和職務及憑證相關信息,表明NASCAR的運營和后勤數據已受損。NASCAR尚未回應、承認或否認這些指控,但考慮到其每年數億美元的收入,成為網絡犯罪分子的目標并不奇怪。2025年3月13日,美國聯邦調查局和網絡安全與基礎設施安全局發布聯合公告,敦促各組織加強安全措施,特別建議啟用雙因素身份驗證和監控系統以查找未經授權的證書使用跡象。


https://hackread.com/medusa-ransomware-claims-nascar-breach-latest-attack/


2. 威脅行為者濫用SourceForge分發偽造Office插件竊取加密貨幣


4月8日,威脅行為者正利用合法軟件托管平臺SourceForge分發偽造的Microsoft插件,在受害者計算機上安裝惡意軟件以挖掘和竊取加密貨幣。SourceForge.net是一個受歡迎的開源項目托管和分發平臺,盡管其開放的項目提交模型為濫用提供了空間,但惡意軟件傳播情況較少見。然而,卡巴斯基發現的新活動已影響超過4,604個系統,主要位于俄羅斯。惡意項目“officepackage”冒充Office插件開發工具集合,其描述和文件是GitHub上合法Microsoft項目的副本。當用戶搜索辦公插件時,會得到指向“officepackage.sourceforge.io”的結果。點擊下載按鈕后,受害者會收到一個ZIP文件,其中包含受密碼保護的存檔和一個帶有密碼的文本文件。運行存檔中的MSI文件會釋放多個文件,并執行一個Visual Basic腳本,該腳本從GitHub獲取并執行批處理腳本,以建立持久性并下載額外有效載荷。這些有效載荷包括加密貨幣挖礦程序和剪切程序,前者劫持機器的計算能力為攻擊者挖掘加密貨幣,后者監視并替換剪貼板中的加密貨幣地址。攻擊者還通過Telegram API接收受感染系統的信息,并可引入額外有效載荷。


https://www.bleepingcomputer.com/news/security/fake-microsoft-office-add-in-tools-push-malware-via-sourceforge/


3. RansomEXX勒索軟件團伙利用Windows零日漏洞進行攻擊


4月8日,微軟近日披露,RansomEXX勒索軟件團伙利用Windows通用日志文件系統中的高嚴重性零日漏洞(CVE-2025-29824)獲取受害者系統權限。該漏洞因使用后釋放問題導致,允許低權限本地攻擊者通過低復雜度攻擊獲得系統權限。盡管微軟已發布受影響Windows版本的安全更新,但針對Windows 10 x64和32位系統的補丁將盡快發布。微軟指出,攻擊目標涵蓋美國IT和房地產行業、委內瑞拉金融行業、西班牙軟件公司及沙特阿拉伯零售業。盡管Windows 11版本24H2用戶不受影響,微軟仍敦促用戶盡快應用更新。據悉,RansomEXX勒索軟件團伙在攻擊中首先安裝PipeMagic后門惡意軟件,用于部署漏洞利用、勒索軟件負載及勒索信。自2023年3月起,PipeMagic還被用于部署針對Windows Win32內核子系統的零日漏洞(CVE-2025-24983)的漏洞利用。該惡意軟件由卡巴斯基于2022年發現,可收集敏感數據、提供遠程訪問權限,并允許攻擊者部署額外惡意負載進行橫向移動。


https://www.bleepingcomputer.com/news/security/microsoft-windows-clfs-zero-day-exploited-by-ransomware-gang/


4. CrushFTP漏洞遭黑客利用,敏感數據面臨勒索威脅


4月9日,聯邦網絡安全官員和網絡公司事件響應人員發出警告,黑客正在利用流行文件傳輸工具Crush中的漏洞進行攻擊。CrushFTP于3月21日首次向客戶發出警告,敦促更新系統以修復CVE-2025-31161漏洞,該漏洞由Outpost24研究人員發現。盡管Outpost24計劃等待90天才公開披露,但其他研究人員也發現了該漏洞并提交了自己的CVE編號,導致關鍵信息被公開,攻擊者趁機利用。過去兩周內,防御者們持續警告黑客正在利用該漏洞。周一,Kill勒索軟件團伙聲稱已通過該漏洞獲取了大量敏感數據,并威脅將立即開始勒索受害者。多家事件響應公司證實,組織正通過該漏洞受到攻擊,Shadowserver和Censys均表示互聯網上有數百個暴露的CrushFTP實例。CrushFTP發言人表示,公司已敦促客戶盡快更新系統,并指出雖然有一些變通方法可以緩解該漏洞,但不會在互聯網掃描中顯示,可能會影響未修補服務器數量的統計。Huntress的事故響應人員表示,他們已經發現四家不同公司利用了該漏洞,涉及多個行業。


https://therecord.media/crushftp-vulnerability-exploited


5. 美國財政部貨幣監理署遭黑客入侵,敏感信息面臨風險


4月8日,2023年6月,身份不明的攻擊者入侵了美國財政部下屬的獨立機構貨幣監理署(OCC),獲取了超過150,000封電子郵件。OCC負責監管銀行和聯邦儲蓄協會,確保其合規運營。據彭博社報道,威脅行為者在侵入電子郵件系統管理員賬戶后,獲得了監控員工電子郵件的能力。OCC當時向美國網絡安全和基礎設施安全局報告了此次攻擊,稱其為涉及其電子郵件系統和多個電子郵件賬戶的“網絡安全事件”,并表示對金融部門無影響。然而,后續調查顯示,攻擊者訪問的電子郵件賬戶數量遠超此前認知,涉及約100個銀行監管機構的電子郵件。2025年4月8日,OCC向美國國會通報了2月11日發現的“重大信息安全事件”,并表示受損的系統管理賬戶已于2月12日被禁用。OCC補充稱,攻擊者未經授權訪問了其多名高管和員工的電子郵件,這些郵件包含高度敏感的聯邦監管金融機構財務狀況信息。


https://www.bleepingcomputer.com/news/security/hackers-lurked-in-treasury-occs-systems-since-june-2023-breach/


6. Hudson Rock揭HellCat新攻勢:Jira憑證成勒索突破口


4月8日,Hudson Rock的網絡安全研究人員發現,HellCat勒索軟件組織對美國和歐洲的四家公司發起新一輪網絡攻擊,目標包括Asseco Poland、HighWire Press、Racami和LeoVegas集團。攻擊的共同特征是,信息竊取惡意軟件在實際攻擊發生前竊取了Jira憑證。這些惡意軟件變種如StealC、Raccoon、Redline和Lumma Stealer,早在幾個月甚至幾年前就收集了受感染員工機器上的登錄信息。一旦獲得憑證,HellCat便登錄Atlassian Jira環境,進而進入內部系統,竊取敏感數據并啟動勒索軟件流程。HellCat此前曾使用相同方法入侵多家知名公司,其策略包括在信息竊取者日志中查找憑證,訪問Jira,竊取數據,然后索要贖金。Jira作為許多公司的主要系統,與開發工作流、客戶數據、內部文檔和系統訪問控制緊密相關,因此成為高價值目標。研究人員指出,信息竊取惡意軟件感染用戶設備并竊取已保存的登錄信息、cookie、會話令牌等,這些數據要么在暗網市場上出售,要么被HellCat等組織直接使用。


https://hackread.com/hellcat-ransomware-firms-infostealer-stolen-jira-credentials/

上一篇 下一篇