首頁 > 安全研究 > 安全通報 > 安全簡訊

DragonForce勒索軟件借SimpleHelp漏洞攻破MSP

發布時間 2025-05-28

1. DragonForce勒索軟件借SimpleHelp漏洞攻破MSP


5月27日,DragonForce勒索軟件團伙成功攻破一家托管服務提供商,并利用其SimpleHelp遠程監控和管理(RMM)平臺實施了一系列惡意活動。Sophos公司受命調查此次攻擊,發現威脅行為者利用了SimpleHelp的較舊漏洞,包括CVE-2024-57727、CVE-2024-57728和CVE-2024-57726,來破壞系統。SimpleHelp作為一種商業遠程支持和訪問工具,常被MSP用于管理系統和部署軟件,此次卻成為攻擊者的利用對象。攻擊者首先利用SimpleHelp對客戶系統進行偵察,收集設備名稱、配置、用戶和網絡連接等信息。隨后,他們試圖竊取數據并在客戶網絡上部署加密器,部分網絡因使用Sophos端點保護而攔截了解密器,但其他客戶則不幸中招,設備被加密,數據被竊取,并用于雙重勒索攻擊。Sophos已分享與此次攻擊相關的IOC,以幫助組織加強網絡防護。長期以來,托管服務提供商一直是勒索軟件團伙的重點攻擊目標,因一次入侵可能導致多家公司受損。一些勒索軟件聯盟專門研究MSP常用工具,如SimpleHelp,這導致了如REvil對Kaseya的大規模勒索軟件攻擊等毀滅性事件。


https://www.bleepingcomputer.com/news/security/dragonforce-ransomware-abuses-simplehelp-in-msp-supply-chain-attack/


2. 俄羅斯網絡間諜組織“洗衣熊”涉嫌入侵荷蘭警方


5月27日,一個此前不為人知的俄羅斯支持的網絡間諜組織“洗衣熊”(Laundry Bear)被追蹤到與2024年9月荷蘭警方安全漏洞事件有關。荷蘭國家警察局去年透露,攻擊者竊取了多名警官的工作聯系信息,荷蘭情報和安全總局(AIVD)與荷蘭國防情報和安全局(MIVD)在周二的聯合警告中,將“洗衣熊”與此次入侵事件聯系起來,并警告稱該組織很可能也入侵了其他荷蘭組織。調查顯示,“洗衣熊”于2024年9月訪問了一名荷蘭警察雇員的賬戶,并通過全球地址列表竊取了與工作相關的聯系信息,攻擊者可能使用了“傳遞 Cookie”攻擊,利用竊取的Cookie冒充所有者,無需用戶名或密碼即可訪問信息。MIVD主管彼得·里斯克表示,該黑客組織成功獲取了全球大量組織和公司的敏感信息,對歐盟和北約國家特別感興趣?!跋匆滦堋币脖晃④浄Q為Void Blizzard,至少自2024年4月以來一直活躍,專注于針對烏克蘭和北約成員國發動與俄羅斯戰略目標一致的攻擊,其策略包括使用竊取的憑證和魚叉式網絡釣魚電子郵件來突破目標防御,并從受害者的受感染系統中收集和竊取文件和電子郵件。


https://www.bleepingcomputer.com/news/security/russian-void-blizzard-cyberspies-linked-to-dutch-police-breach/


3. 黑客偽造殺毒網站以傳播Venom RAT并竊取加密錢包


5月27日,網絡安全研究人員近日披露了兩起新型惡意活動。其一,攻擊者仿冒Bitdefender殺毒軟件下載網站“bitdefender-download[.]com”,誘導用戶下載含VenomRAT遠程訪問木馬的惡意程序。用戶點擊該仿冒網站“Download for Windows”按鈕后,會觸發文件下載流程,但目前相關Bitbucket賬戶已被封禁。下載的ZIP壓縮包中包含整合了VenomRAT木馬配置、開源后期利用框架SilentTrinity及StormKitty信息竊取器的可執行文件。VenomRAT作為Quasar RAT變種,具有數據收集與持久化遠程控制能力。DomainTools情報團隊指出,該釣魚網站基礎設施與多個仿冒加拿大皇家銀行、微軟服務的惡意域名有關聯,這些域名此前已被用于竊取登錄憑證的釣魚活動。攻擊技術鏈顯示,VenomRAT、StormKitty與SilentTrinity各司其職,共同完成攻擊。研究人員強調,此次活動采用模塊化開源組件構建惡意軟件體系,提升了攻擊效率與隱蔽性。同期,另一起ClickFix式攻擊活動也被曝光。攻擊者偽造谷歌Meet頁面,利用虛假錯誤提示誘導用戶執行特定PowerShell命令,部署混淆批處理腳本實現遠程控制。此外,針對Meta的大規模釣魚活動借助谷歌AppSheet無代碼開發平臺,繞過郵件安全協議,通過動態生成唯一案例ID規避傳統檢測系統,偽裝成Facebook支持團隊誘騙用戶點擊鏈接,竊取雙因素認證代碼。


https://thehackernews.com/2025/05/cybercriminals-clone-antivirus-site-to_4.html


4. Everest Group勒索軟件團伙入侵Mediclinic并要求贖金


5月26日,勒索軟件團伙Everest Group聲稱入侵了價值50億美元的醫療帝國Mediclinic,并威脅除非獲得贖金,否則將泄露敏感數據。Mediclinic成立于1983年,在多國運營醫院,年收入高達54億美元。據暗網5月26日通告,該勒索軟件團伙竊取了1000名公司員工個人數據及4GB內部機密數據,并要求公司在五天內與其聯系并達成協議,否則將釋放被盜數據。目前,涉嫌數據泄露的具體范圍尚不清楚,但鑒于Mediclinic從事醫療業務,這些數據可能高度敏感,一旦證實,將危及受影響的個人及公司運營。研究人員指出,泄露內部機密文件對員工尤為危險,攻擊者可能利用竊取的數據進行身份盜竊、欺詐或網絡釣魚攻擊,甚至可能引發對基礎設施的進一步攻擊或法律行動。Everest Group勒索軟件團隊據稱與俄羅斯的BlackByte集團有聯系,自2021年中期以來一直在活動,本月還襲擊了跨國軟飲料生產商可口可樂,竊取了員工數據及機密文件,并策劃了2022年10月針對AT&T的攻擊。


https://cybernews.com/security/mediclinic-everest-ransomware-attack/


5. Rhysida勒索團伙聲稱竊取巴西汽車經銷商Carrera的數據


5月26日,近日,與俄羅斯有關聯的Rhysida勒索軟件團伙聲稱竊取了巴西知名汽車經銷商Carrera的敏感數據,包括護照、合同等,并索要100萬美元贖金以掩蓋真相。該團伙在暗網發布聲明,以典型方式威脅該公司,要求在6月1日前支付巨額贖金,否則將公開數據。Carrera公司總部位于圣保羅,經營多個汽車品牌銷售及相關服務。此次勒索攻擊可能給公司帶來巨額損失,包括資源分配、法律告知、客戶賠償及罰款等,罰款金額可能高達近300萬美元。此外,護照復印件泄露可能導致身份盜竊和欺詐,受影響客戶可能起訴公司要求賠償。除經濟處罰外,公司還可能遭受聲譽損害,影響業務績效。Rhysida組織以雙重勒索手段聞名,已滲透到教育、醫療保健等多個領域,自2023年5月成立以來已造成超過202名受害者。不過,2024年韓國互聯網安全局的研究小組已破解該團伙的加密代碼,并在其網站上分享了免費的Rhysida解密工具和手冊。


https://cybernews.com/security/carrera-chevloret-brazil-ransomware-attack/


6. 黑客聲稱AT&T重大泄密事件暴露了3100萬條記錄


5月26日,攻擊者近日聲稱數千萬條AT&T記錄被泄露至網上,但研究人員認為缺乏足夠證據支撐。該事件詳情發布于一知名黑客論壇,攻擊者稱數據集含多達3100萬條敏感用戶記錄,包括客戶全名、性別、出生日期、稅號、設備ID、CookieID、IP地址、完整地址、電話號碼及電子郵件地址等。研究團隊調查發現,樣本僅含單個用戶詳細信息,無法驗證完整數據庫是否真有3100萬條記錄。不過,假設每個用戶暴露信息量相同,則超300萬AT&T用戶個人信息可能已泄露。研究人員強調,若信息真有3100萬行,將是嚴重用戶隱私泄露。盡管目前無法確認泄露事件,但攻擊者5月非?;钴S,發布了數十條含各種數據的帖子。若AT&T數據泄露被證實,將對受影響個人構成嚴重網絡安全和隱私風險,這些數據足以引發金融欺詐、賬戶盜用和社會工程攻擊。AT&T作為全球最大電信公司之一,年營收超1220億美元,其龐大規模使其成為黑客攻擊目標,去年4月該公司就曾表示客戶數據被從第三方云平臺非法下載,幾乎所有客戶都受影響。


https://cybernews.com/security/att-data-breach-millions-records-claimed/

上一篇 下一篇