Amadey 恶意软件在被黑机器上部署 LockBit 3.0 勒索软件

Hackernews 编译,转载请注明出处: 研究人员警告称,Amadey恶意软件被用于在受损系统上部署LockBit 3.0勒索软件。 AhnLab安全应急响应中心(ASEC)在今天发布的一份新报告中表示:“用于安装LockBit的恶意软件Amadey bot正通过两种方法进行分发:一种是使用恶意Word文档文件,另一种是利用伪装成Word文件图标的可执行文件。” Amadey于2018年首次被发现,是一个“罪犯对罪犯(C2C)僵尸网络信息窃取者项目”,正如黑莓研究和情报团队所描述的那样,在地下罪犯网站上可以购买,价格高达600美元。 虽然它的主要功能是从受感染的主机收集敏感信息,但它还兼作传递下一阶段工件的通道。今年7月初,它是使用SmokeLoader传播的,这是一种有与自身功能没有太大区别的恶意软件。 就在上个月,ASEC还发现了伪装成韩国流行的即时通讯服务KakaoTalk的恶意软件,作为网络钓鱼活动的一部分。 这家网络安全公司的最新分析基于2022年10月28日上传到VirusTotal的微软Word文件(“심시아.docx”)。该文档包含一个恶意VBA宏,当受害者启用该宏时,它会运行PowerShell命令以下载并运行Amadey。 在另一种攻击链中,Amadey伪装成一个看似无害的文件,上面带有Word图标,但实际上是一个通过网络钓鱼消息传播的可执行文件(“Resume.exe”)。ASEC表示,它无法识别被用作诱饵的电子邮件。 成功执行Amadey后,恶意软件从远程服务器获取并启动其他命令,其中包括PowerShell(.ps1)或二进制(.exe)格式的LockBit勒索软件。 LockBit 3.0,也称为LockBit Black,于2022年6月推出,同时推出了一个新的暗网门户和第一个勒索软件操作漏洞赏金计划,承诺在其网站和软件中发现漏洞可获得高达100万美元的奖励。 研究人员总结道:“由于LockBit勒索软件正在通过各种方法分发,因此建议用户谨慎使用。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

SmokeLoader 活动分发新的 Laplas Clipper 恶意软件

Hackernews 编译,转载请注明出处: 研究人员发现一个SmokeLoader活动,该活动正在分发恶意软件针对加密货币用户,如SystemBC和Raccoon Stealer 2.0,以及一个新的被追踪为Laplas的clipper恶意软件。 专家们在过去两周内检测到了180多个不同的clipper恶意软件样本,这一情况证实了该威胁在最近几周已被广泛部署。 Clipper是一系列恶意软件,旨在通过将受害者的钱包地址与攻击者拥有的钱包地址交换来劫持加密货币交易。 Clipper恶意软件监视受害者系统的剪贴板,然后每当用户复制数据时,它都会验证它是否是有效的加密货币钱包地址,并将其替换为攻击者的钱包地址。 Cyble发布的帖子写道:“Laplas是新的clipper恶意软件,它生成的钱包地址与受害者的钱包地址相似。受害者不会注意到地址的差异,这大大增加了clipper活动成功的机会。” 这个clipper可以瞄准多个钱包,包括比特币、以太坊、比特币现金、莱特币、Dogecoin、Monero、Ripple、ZCash、Dash、Ronin、Tron和Steam Trade URL。 以下是Laplas Clipper的定价选项: $29 / 周 $59 / 月 $159 / 3个月 $299 / 半年 $549 / 年 clipper提供了一个易于使用的仪表板,允许操作员检查受感染计算机的状态和活动TA钱包地址的详细信息。 报告总结道:“Smoke Loader是一个众所周知的、高度可配置的、有效的恶意软件,TA正在积极修复。它是一个模块化的恶意软件。这表明它可以从C&C服务器获取新的执行指令,并下载更多恶意软件以扩展功能。在这种情况下,TA使用三种不同的恶意软件家族来获取经济利益。RecordBreaker是Raccoon Stealer的复活版本,用于窃取敏感信息,SystemBC是一种多功能威胁,结合了代理和远程访问特洛伊木马功能,新的Laplas clipper执行剪贴板劫持以窃取受害者的加密货币。”   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

“Justice Blade” 黑客组织攻击沙特阿拉伯

Hackernews 编译,转载请注明出处: 自称“Justice Blade”的黑客组织公布了Smart Link BPO Solutions泄露的数据,该公司是一家外包IT供应商,与沙特阿拉伯王国和海湾合作委员会其他国家的主要企业和政府机构合作。 黑客声称窃取了大量数据,包括CRM记录、个人信息、电子邮件通信、合同和账户凭证。 当天,Justice Blade还建立了一个包含私人通信频道的Telegram帐户。从攻击者泄露的截屏和视频来看,该事件可能是由于有针对性的网络入侵影响了Active Directory内部应用程序和服务。 黑客还发布了该地区各公司之间的活动RDP会话和Office 365通信的截图,以及可能与FlyNas(航空公司)和SAMACares(由沙特阿拉伯中央银行管理的项目)有关的用户名单,其中包含超过10万条记录。 据Resecurity, Inc. (USA)称,由于企业和政府部门之间的重叠,保护财富500强主要公司的数据泄露可能成为该地区首批供应链网络安全事件之一。黑客可能会使用被盗数据来瞄准其他感兴趣的公司和个人。 Resecurity安全专家提到,之前在暗网和TOR网络中的各种地下市场中发现了属于Smart Link BPO Solutions的多个泄露凭据,“Justice Blade”可能利用这些凭据成功实施网络攻击。根据目前掌握的数据来看,11月2日左右,一家公司网站遭到破坏,并以“黑客和泄露”的方式进行。在此之前,10月30日,Metasploit Framework的活动可能被受害者公司检测到,该公司在入侵后由黑客部署。 根据泄露的公司员工之间的通信,属于员工的泄露账户很可能被用来进行攻击。 然而,没有证据表明这次攻击可能是出于经济动机,因为到目前为止还没有登记赎金要求。“Justice Blade”似乎是一个以沙特阿拉伯为目标的意识形态团体,在其网站上公布政府官员的照片以泄露数据。 Smart Link BPO Solutions是Al Khaleej培训和教育集团的一个业务部门。AL Khaleej集团在2012年福布斯中东地区上市,成为海湾合作委员会地区最强大的100家公司之一。 目前尚不清楚该事件是否与伊朗和沙特阿拉伯之间日益紧张的关系有关。据美联社(AP)报道,就在最近,沙特阿拉伯与美国官员分享了情报,表明伊朗可能正在为攻击沙特做准备。 据多名消息人士透露,执法部门和联邦监管机构正在调查该事件,以确定妥协的全部范围和最终影响。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

970 万用户数据泄露,Medibank 拒绝支付赎金

Hackernews 编译,转载请注明出处: 澳大利亚医疗保险公司Medibank证实,在勒索软件事件发生后,约970万客户的个人数据被盗。 据公司称,该攻击于10月12日在其IT网络中被发现,并称其“与勒索软件事件的前兆一致”,促使该公司隔离其系统,但不是在攻击者泄露数据之前。 “这个数字代表了大约510万Medibank客户,280万ahm客户和180万国际客户。”Medibank指出。 泄露的详细信息包括姓名、出生日期、地址、电话号码和电子邮件地址,以及ahm客户的医疗保险号码(但不是有效期),以及国际学生客户的护照号码(但不是有效期)和签证详细信息。 该公司进一步表示,该事件导致约16万名Medibank客户,约30万名ahm客户和约2万名国际客户的健康索赔数据被盗。 这一类别包括服务提供商名称、客户接受某些医疗服务的地点以及与诊断和实施的程序相关的代码。 然而,Medibank表示,财务信息和身份证件(如驾照)并没有作为安全漏洞的一部分被窃取,自2022年10月12日以来也没有发现异常活动。 “鉴于这起犯罪的性质,不幸的是,我们现在认为所有被访问的客户数据都可能被罪犯窃取。”该公司敦促客户警惕任何潜在的泄露。 在一份独立的投资者声明中,该公司还表示不会向黑客支付任何赎金,并表示这样做只会鼓励攻击者勒索其客户并使澳大利亚成为更大的目标。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

黑客使用恶意版本的 KeePass 和 SolarWinds 软件分发 RomCom RAT

被称为RomCom的黑客正在利用SolarWinds、KeePass和PDF Technologies的品牌力量,开展一系列新的攻击活动。黑莓威胁研究和情报团队在分析最近关于RomComRAT报告中发现的网络工件时,察觉到了这些活动,该报告称通过仿冒版本的高级IP扫描仪软件针对乌克兰军事机构。 RomCom在其活动中模仿了以下产品:SolarWinds网络性能监视器,KeePass开源密码管理器和PDF Reader Pro。 RomCom黑客正在积极部署针对乌克兰受害者和全球英语目标的新运动。根据TOS,英国受害者可能是一个新的目标,而乌克兰仍然是主要焦点。这是基于两个恶意网站的服务条款 (TOS) 和新创建的命令和控制 (C2) 的SSL证书。 为了应对攻击,RomCom黑客执行以下简化方案:从供应商处获取原始合法HTML代码进行欺骗,注册类似于合法域的恶意域,木马化合法应用程序,将恶意捆绑包上传到欺骗网站,向受害者部署有针对性的钓鱼电子邮件,或者使用其他感染者载体。 11月1日,该团队又有了另一项发现。RomCom黑客发起了一场新的攻击活动,滥用名为KeePass的流行密码管理器。当有人从假冒但看起来合法的KeePass网站下载应用程序时,攻击者会将一个名为“KeePass-2.52”的恶意捆绑包投放到受害者的计算机上。 RomCom RAT,古巴勒索软件和工业间谍有明显的联系。工业间谍是一个相对较新的勒索软件组织,于2022年4月出现。然而,考虑到目标的地理位置和特征,结合当前的地缘政治局势,目前尚不清楚RomCom黑客的真正动机是否纯粹是网络犯罪。   更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/2005/ 消息来源:BlackBerry,封面来自网络,译者:Shirley。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

LockBit 3.0 团伙声称从 Kearney&Company 窃取了数据

Hackernews 编译,转载请注明出处: 勒索软件集团LockBit声称窃取了咨询和IT服务提供商Kearney&Company的数据。 Kearney是首屈一指的注册会计师事务所,为政府实体提供财务管理服务。该公司为美国政府提供审计、咨询和IT服务。它帮助联邦政府提高了其金融业务的整体效率。 11月5日,Kearney公司被列入Lockbit 3.0集团的受害者名单中,该团伙威胁称,如果公司不支付赎金,将在2022年11月26日前公布被盗数据。目前,勒索软件团伙已经公布了被盗数据的样本,其中包括财务文件、合同、审计报告、账单文件等。 勒索软件团伙要求支付200万美元以销毁被盗数据,并要求支付1万美元以将计时器延长 24 小时。 本周,LockBit勒索软件集团声称已经入侵了其他主要组织,包括跨国汽车大陆集团和国防巨头Thales。 6月,LockBit勒索软件运营商发布了LockBit3.0,其中包含重要的创新,包括漏洞赏金计划和Zcash支付。 该团伙至少自2019年以来一直活跃,如今它是最活跃的勒索软件团伙之一。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Fortinet 修复了 16 个漏洞,其中 6 个被评为严重漏洞

Hackernews 编译,转载请注明出处: Fortinet解决了该公司某些产品中的16个漏洞,其中6个漏洞的严重程度很高。 其中一个高严重性漏洞是FortiADC日志页面中的持续XSS,跟踪为CVE-2022-38374。该漏洞的根本原因是FortiADC中网页生成漏洞[CWE-79]期间输入的中和不当。未经身份验证的远程攻击者可触发此漏洞,通过流量和事件日志视图中观察到的HTTP字段执行存储的跨站脚本 (XSS) 攻击。 该公司解决的另一个问题是CLI命令中的命令注入漏洞,跟踪为FortiTester的CVE-2022-33870。 FortiTester命令行解释器中操作系统命令漏洞[CWE-78]中使用的特殊元素的不当中和,可能允许经过身份验证的攻击者通过对现有命令的特制参数执行未经授权的命令。 另一个漏洞,被追踪为CVE-2022-26119,影响FortiSIEM,被描述为“明文存储的Glassfish本地凭证”。 具有命令行访问权限的本地攻击者可以利用该漏洞,通过硬编码密码直接在Glassfish服务器上执行操作。 此处提供了2022年11月解决的漏洞的完整列表。 10月,Fortinet证实,被追踪为CVE-2022-40684的关键身份验证绕过漏洞正在野外被恶意利用。该问题影响了FortiGate防火墙和FortiProxy web代理。 攻击者可以利用该漏洞登录易受攻击的设备。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

LockBit 3.0 团伙声称从 Thales 窃取了数据

Hackernews 编译,转载请注明出处: 勒索软件集团LockBit 3.0声称窃取了法国国防和科技集团Thales的数据。 Thales是全球高科技领导者,在全球拥有81000多名员工。集团投资于数字和深度技术创新——大数据、人工智能、互联互通、网络安全和量子——通过将人置于决策的核心,构建对社会发展至关重要的信任未来。 10月31日,Thales被列入Lockbit 3.0集团的受害者名单中,该团伙威胁称,如果公司不支付赎金,将在2022年11月7日前公布被盗数据。目前,勒索软件团伙尚未公布任何涉嫌被盗数据的样本。 Thales告诉路透社,它尚未收到任何直接的赎金通知。 该公司补充称,已对涉嫌的安全漏洞展开调查,并通知了法国ANSSI国家网络安全局。 该公司发言人表示,公司尚未向警方提出投诉。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

微软 Azure Cosmos DB 的严重“CosMiss”RCE 漏洞被披露

Hackernews 编译,转载请注明出处: 微软周二表示,它解决了Azure Cosmos DB的Jupyter Notebooks中的身份验证绕过漏洞,该漏洞启用了完全读写访问权限。 这家科技巨头表示,该漏洞于2022年8月12日出现,并于2022年10月6日在全球范围内得到纠正,两天后,Orca Security披露了该漏洞,并将其称为CosMiss。 研究人员Lidor Ben Shitrit和Roee Sagi说:“如果攻击者知道笔记本的‘forwardingId’,即笔记本工作区的UUID,他们将拥有笔记本的完全权限,而无需进行身份验证,包括读写访问权限,以及修改运行笔记本的容器的文件系统的能力。” 此容器修改最终可以通过覆盖与Cosmos DB 资源管理器相关联的Python文件来生成反向 shell,从而为在笔记本容器中获取远程代码执行铺平道路。 然而,要想成功利用该漏洞,攻击者必须拥有唯一的128位forwardingId,并在一小时内使用该id,之后临时笔记本将自动删除。 Redmond说:“即使知道forwardingId,该漏洞也无法执行笔记本,无法自动将笔记本保存在受害者(可选)连接的GitHub存储库中,也无法访问Azure Cosmos DB帐户中的数据。” 微软在自己的公告中指出,它没有发现恶意活动的证据,并补充说客户不需要采取任何行动。它还将该问题描述为“难以利用”,因为128位forwadingID的随机性及其有限的使用寿命。 “不使用Jupyter Notebooks的客户(99.8%的Azure Cosmos DB客户不使用Jupyter Notebooks)不容易受到此漏洞的影响。”该公司进一步表示。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Snatch 集团声称入侵了军事供应商 HENSOLDT France

Hackernews 编译,转载请注明出处: Snatch勒索软件组织声称已经入侵了法国公司HENSOLDT France。HENSOLDT是一家专门从事军事和国防电子产品的公司。 HENSOLDT France公司为法国和国外的航空、国防、能源和运输部门提供各种关键电子解决方案、产品和服务,无论是航空、海军还是陆地应用。 根据公司网站,HENSOLDT France公司提供任务管理系统、世界级传感器、嵌入式系统;测试与仿真;氢气和电力转换、命令与控制、机械解决方案、支持和咨询以及安全通信和网络安全。 该公司开发特定的电子解决方案,并为危险环境提供专用的COTS解决方案。它们完全符合军事和航空标准,以及测试、集成和仿真解决方案,以确保关键系统的开发。 Snatch勒索软件组织将HENSOLDT France添加到其Tor泄密网站公布的受害者名单中。 该组织发布了被盗数据样本(94 MB)作为黑客攻击的证据。 Snatch勒索软件于2019年底首次被发现,Sophos研究人员发现了该勒索软件可以将感染的计算机重新启动到安全模式,以绕过常驻安全解决方案。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文