HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）表示，截至上月，Medusa 勒索软件已影响美国 300 多家关键基础设施行业的组织。 这一消息来自 CISA、联邦调查局（FBI）和多州信息共享与分析中心（MS-ISAC）今天联合发布的通告。 “CISA、FBI 和 MS-ISAC 警告称，截至 2025 年 2 月，Medusa 开发者及其合作伙伴已攻击 300 多个受害组织，受影响行业涵盖医疗、教育、法律、保险、科技及制造业等多个关键基础设施领域。” FBI、CISA 和 MS-ISAC 呼吁各组织采取通告中的缓解措施，以降低 Medusa 勒索软件攻击的风险和影响。 通告指出，为防范 Medusa 勒索软件攻击，建议采取以下安全措施： 修补已知安全漏洞，确保操作系统、软件和固件在合理时间内完成更新； 进行网络分段，限制受感染设备在组织内部的横向移动； 过滤网络流量，阻止未知或不受信任来源访问内部系统的远程服务。 Medusa 勒索软件最早于 2021 年 1 月出现，但该组织直到 2023 年才开始活跃，并推出“Medusa Blog”泄密网站，以被盗数据为筹码施压受害者支付赎金。 自其出现以来，Medusa 已在全球范围内造成超过 400 名受害者，并因 2023 年 3 月攻击明尼阿波利斯公立学校（MPS）并公布被盗数据的视频而引发媒体关注。 2023 年 11 月，该组织还在暗网勒索平台上泄露了据称从丰田金融服务公司（Toyota Financial Services）窃取的文件。此前，丰田拒绝支付 800 万美元的赎金，并通知客户数据遭泄露。 Medusa 最初是封闭式勒索软件，仅由一个黑客组织负责开发和运营。后来，该组织转型为“勒索软件即服务”（RaaS）模式，采用合作伙伴体系，但核心开发者仍负责关键运营，包括赎金谈判。 “Medusa 开发者通常在网络犯罪论坛和黑市上招募初始访问经纪人（IABs）获取受害目标的访问权限。” 通告补充道，”这些合作伙伴可能获得 100 美元至 100 万美元不等的报酬，并有机会专门为 Medusa 工作。” 需要注意的是，多个恶意软件组织都使用“Medusa”这一名称，包括一个基于 Mirai 的勒索软件机器人网络和 2020 年发现的 Android 恶意软件即服务（MaaS）组织（又称 TangleBot）。 由于这一名称的广泛使用，Medusa 勒索软件常被误认为是 MedusaLocker 勒索软件，尽管两者实际上是完全不同的黑客组织。 上个月，CISA 和 FBI 还联合发布警报，警告“Ghost”勒索软件已入侵全球 70 多个国家的多个行业，包括关键基础设施领域。 消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子通过发送虚假的版权索赔来勒索 YouTubers，迫使他们在视频中推广恶意软件和加密货币矿工。 这些威胁行为者利用 Windows Packet Divert (WPD) 工具在俄罗斯的流行程度，这些工具帮助用户绕过互联网审查和政府对网站及在线服务的限制。 YouTubers 为迎合这一受众群体，发布了关于如何使用各种基于 WPD 的工具绕过审查的教程，并成为威胁行为者的目标，这些行为者伪装成这些工具的版权持有者。 在大多数情况下，威胁行为者声称是所展示限制绕过工具的原始开发者，向 YouTube 提出版权索赔，然后联系创作者，提供解决方案，即在视频中包含他们提供的下载链接。 同时，他们威胁说，如果不遵守，将在 YouTube 上再增加两次“打击”，根据平台的“三次打击”政策，可能导致频道被封禁。 在其他情况下，攻击者直接联系创作者，伪装成工具的开发者，声称原始工具有一个新版本或新的下载链接，要求创作者在视频中更改链接。 YouTubers 出于对失去频道的担忧，屈服于威胁行为者的勒索，同意在视频中添加指向托管这些所谓的 WPD 工具的 GitHub 存储库的链接。然而，这些是被植入木马的版本，包含了一个加密矿工下载器。 卡巴斯基观察到这种推广被植入木马的 WPD 工具的行为发生在一段有超过 400,000 次观看的 YouTube 视频中，恶意链接在被移除前达到了 40,000 次下载。 一个拥有 340,000 订阅者的 Telegram 频道也以同样的伪装推广了恶意软件。 “根据我们的遥测，这场恶意软件活动已经影响了俄罗斯 2,000 多名受害者，但实际数字可能更高，”卡巴斯基警告说。 恶意软件加载程序是从 GitHub 存储库下载的包含 Python 恶意软件加载程序的恶意存档，通过修改后的启动脚本（“general.bat”）使用 PowerShell 启动。 如果受害者的防病毒软件干扰了这一过程，启动脚本会提示用户禁用防病毒软件并重新下载文件。 可执行文件仅针对俄罗斯 IP 地址获取第二阶段加载程序并在设备上执行。 第二阶段负载是另一个可执行文件，其大小被膨胀到 690 MB 以逃避防病毒分析，同时它还具备反沙盒和虚拟机检查功能。 恶意软件加载程序通过添加排除项和创建名为 “DrvSvc” 的 Windows 服务来关闭 Microsoft Defender 保护，以实现重启后的持久性。 最终，它下载最终负载，SilentCryptoMiner，这是一个修改版的 XMRig，能够开采多种加密货币，包括 ETH、ETC、XMR 和 RTM。 coin miner 每 100 分钟从 Pastebin 获取远程配置，以便动态更新。 为了逃避检测，它被加载到如 “dwm.exe” 的系统进程中，使用进程空心化技术，并在用户启动如 Process Explorer 和 Task Manager 的监控工具时暂停挖矿活动。 尽管卡巴斯基发现的这场活动主要针对俄罗斯用户，但相同的策略也可能被用于更广泛范围的操作，这些操作还可能投放信息窃取器或勒索软件等风险更高的恶意软件。 用户应避免从 YouTube 视频或描述中的网址下载软件，尤其是来自较小到中等规模的频道，这些频道更容易受到欺诈和勒索的影响。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： “雷根”加载器是一种“复杂且不断演变的恶意软件工具包”，被包括“雷根”锁屏软件（又名“怪兽螳螂”）、芬7、芬8以及“无情螳螂”（前身为REvil）在内的多个网络犯罪和勒索软件团伙所使用。 瑞士网络安全公司PRODAFT在一份声明中表示：“雷根”加载器在维持对受感染系统的访问中发挥着关键作用，帮助攻击者长期潜伏在网络中进行攻击活动。 尽管它与“雷根”锁屏软件团伙有关联，但尚不清楚该团伙是拥有该工具还是将其出租给他人。不过可以肯定的是，其开发者不断添加新功能，使其更具模块化，更难被检测。 “雷根”加载器也被称为“萨多尼克”，最早于2021年8月由Bitdefender记录，当时芬8针对美国一家未具名金融机构的攻击未能成功。该恶意软件自2020年起就被投入使用。 2023年7月，博通旗下的赛门铁克披露芬8使用该后门的更新版本来投放现已失效的“黑猫”勒索软件。 “雷根”加载器的核心功能是能够在目标环境中建立长期立足点，同时运用一系列技术规避检测，确保攻击活动的持续性。 PRODAFT指出：“该恶意软件利用基于PowerShell的有效载荷执行操作，采用强大的加密和编码方法（包括RC4和Base64）来隐藏其活动，并运用复杂的进程注入策略来建立和维持对受感染系统的隐秘控制。” “这些功能共同增强了其规避检测和在目标环境中持续存在的能力。” 该恶意软件以包含多个组件的档案文件包的形式提供给合作伙伴，以便实现反向Shell、本地权限提升和远程桌面访问等功能。它还被设计为与攻击者建立通信，使攻击者能够通过命令与控制（C2）面板远程控制受感染的系统。 “雷根”加载器通常利用PowerShell在受害者系统上执行，并整合了大量反分析技术，以抵抗检测并模糊控制流逻辑。 此外，它还能够通过运行DLL插件和Shellcode以及读取和窃取任意文件内容来开展各种后门操作。为了在网络中横向移动，“雷根”加载器还使用了另一个基于PowerShell的跳板文件。 另一个关键组件是一个名为“bc”的Linux可执行ELF文件，它被设计用于协助远程连接，使攻击者能够在受感染的系统上直接启动和执行命令行指令。 PRODAFT表示，“bc”与QakBot和IcedID等其他已知恶意软件家族中的BackConnect模块类似，它们都允许攻击者与受害者的设备进行远程交互。“这是网络犯罪分子的常见手段，尤其是针对企业受害者，因为他们的设备通常处于网络隔离状态。”该公司补充道，“它采用了高级的混淆、加密和反分析技术，包括基于PowerShell的有效载荷、RC4和Base64解密程序、动态进程注入、令牌操作以及横向移动能力。这些功能体现了现代勒索软件生态系统的复杂性和适应性不断增强。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国特勤局与司法部刑事司、联邦调查局、欧洲刑警组织以及荷兰国家警察、德国联邦刑事警察局、法兰克福总检察院、爱沙尼亚国家刑事警察和芬兰国家调查局等其他执法部门合作，查封了俄罗斯加密货币交易所 Garantex 的网站域名 。 据两位知情人士透露，Garantex 涉嫌协助勒索软件团伙和暗网市场转移资金，其域名已被美国特勤局根据弗吉尼亚州东区美国检察官办公室的搜查令查封并控制。Garantex 的官方网站已被替换为一个通知，上面写着：“根据搜查令，Garantex 的域名已被美国特勤局查封。” 此外，据知情人士表示，Garantex 的主要运营地点包括莫斯科的联邦大厦和圣彼得堡，其他被制裁的虚拟货币交易所也在这些地方运营。此外，Garantex 在 2022 年 2 月失去了在爱沙尼亚提供虚拟货币服务的执照，因为爱沙尼亚金融情报局发现了其与犯罪活动钱包的关联，以及反洗钱和反恐融资政策的严重合规问题。 美国财政部外国资产控制办公室（OFAC）于 2022 年 4 月对 Garantex 实施了制裁，原因是其与俄罗斯勒索软件团伙和暗网市场 Hydra 有关联，这两者也都遭到制裁。此后，OFAC 又对 Cryptex 和 PM2BTC 等加密货币交易所实施了制裁，原因是它们为俄罗斯勒索软件团伙和其他网络犯罪组织洗钱。 然而，尽管面临多方制裁，Garantex 仍在寻找机会继续运营。该交易所周四在其电报频道表示：“尽管困难重重，我们仍在坚持，并努力解决这些问题。我们不会放弃，所有在俄罗斯钱包中的 Tether（USDT）目前都面临风险。”   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自 2023 年 1 月首次出现以来，Medusa 勒索软件背后的威胁行为者已经声称近 400 个受害者，2023 年至 2024 年间，这类以经济利益为动机的攻击事件增加了 42%。 据 Symantec 威胁猎手团队在一份报告中表示，仅在 2025 年的前两个月，该组织就声称发起了 40 多起攻击。网络安全公司正跟踪这个集群，将其命名为 Spearwing。 “与其他多数勒索软件操作者一样，Spearwing 及其分支机构会实施双倍勒索攻击，在加密网络之前先窃取受害者的数据，以免受害者不支付赎金，从而增加对受害者的压力。” Symantec 表示。 “如果受害者拒绝支付，该组织则威胁在他们的数据泄露网站上发布被盗数据。” 尽管像 RansomHub（又名 Greenbottle 和 Cyclops）、Play（又名 Balloonfly）以及 Qilin（又名 Agenda、Stinkbug 和 Water Galura）这样的勒索软件即服务（RaaS）玩家已经从 LockBit 和 BlackCat 的破坏中受益，但 Medusa 感染事件的激增表明，该威胁行为者也有可能急于填补这两个多产的勒索软件留下的空白。 随着勒索软件的构成继续处于不稳定状态，最近几个月，像 Anubis、CipherLocker、Core、Dange、LCRYX、Loches、Vgod 和 Xelera 这样的新 RaaS 操作不断地出现在网络空间中。 Medusa 有向医疗机构和非营利组织索要 10 万至 1500 万美元赎金的记录，同时还把金融和政府机构作为攻击目标。 该勒索软件的攻击链涉及利用面向公众的应用程序中的已知安全漏洞来获取初始访问权限，主要是 Microsoft Exchange Server。还怀疑该威胁行为者很可能正在利用初始访问代理来突破感兴趣的网络。 一旦成功进入，黑客就会使用 SimpleHelp、AnyDesk 或 MeshAgent 等远程管理和监控（RMM）软件来保持持续访问，并使用经过验证的自带易受攻击驱动程序（BYOVD）技术来终止使用 KillAV 的杀毒进程。值得注意的是，KillAV 之前也被用于 BlackCat 勒索软件攻击。 “使用合法的 RMM 软件 PDQ Deploy 是 Medusa 勒索软件攻击的另一大特征。” Symantec 表示，“攻击者通常会利用它来投放其他工具和文件，并在受害者的网络中横向移动。” 在 Medusa 勒索软件攻击过程中部署的其他工具包括用于访问和运行数据库查询的 Navicat、用于数据泄露的 RoboCopy 和 Rclone。 “与其他针对性勒索软件组织一样，Spearwing 往往会攻击各个行业的大型组织。” Symantec 表示，“勒索软件组织通常完全由利润驱动，而不受任何意识形态或道德观念的约束。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 部署 Black Basta 和 CACTUS 勒索软件家族的威胁行为者被发现依赖相同的 BackConnect（BC）模块来维持对受感染主机的持续控制，这表明以前与 Black Basta 有关联的附属机构可能已经转向 CACTUS。 “一旦渗透，它就授予攻击者广泛的远程控制功能，允许他们在受感染的机器上执行命令，”Trend Micro 在周一的分析中表示，“这使他们能够窃取敏感数据，如登录凭据、财务信息和个人文件。” 值得注意的是，BC 模块的细节，由于其与 QakBot 加载程序的重叠，被网络安全公司跟踪为 QBACKCONNECT，首次于 2025 年 1 月下旬由沃尔玛的网络情报团队和 Sophos 文档，后者将该集群命名为 STAC5777。 在过去的 2024 年，Black Basta 攻击链越来越多地利用电子邮件炸弹战术来诱使潜在目标在联系后安装 Quick Assist，这些威胁行为者以 IT 支持或帮助台人员的身份出现。 访问然后作为渠道，通过 OneDriveStandaloneUpdater.exe 侧载恶意 DLL 加载程序（“winhttp.dll”），这是一个负责更新 Microsoft OneDrive 的合法可执行文件。加载程序最终解密并运行 BC 模块。 CACTUS 勒索软件 Trend Micro 观察到一次 CACTUS 勒索软件攻击，该攻击使用了相同的植入 BackConnect 的方式，但还超越了这一点，进行了各种后期利用操作，如横向移动和数据泄露。然而，加密受害者网络的努力以失败告终。 这种战术的汇聚在最近的 Black Basta 聊天记录泄露的背景下显得尤为重要，这些记录揭示了网络犯罪团伙的内部运作和组织结构。 具体来说，已经发现该团伙的成员共享了有效的凭据，其中一些来自信息窃取日志。其他一些突出的初始访问点是远程桌面协议（RDP）门户和 VPN 端点。 “威胁行为者正在使用这些战术、技术和程序（TTP）—— 电话钓鱼、Quick Assist 作为远程工具，以及 BackConnect—— 来部署 Black Basta 勒索软件，”Trend Micro 表示。 “具体来说，有证据表明，成员已经从 Black Basta 勒索软件团伙转向了 CACTUS 勒索软件团伙。这一结论是通过对 CACTUS 团伙使用的类似战术、技术和程序（TTP）的分析得出的。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子正在利用 Paragon 分区管理器的 BioNTdrv.sys 驱动程序中的安全漏洞发动勒索软件攻击，以提升权限并执行任意代码。 这一零日漏洞（CVE-2025-0289）是微软发现的五个漏洞之一，据CERT协调中心（CERT/CC）表示。 “这些漏洞包括任意内核内存映射和写入漏洞、空指针解引用、不安全的内核资源访问以及任意内存移动漏洞。”CERT/CC 说道。 在一种假设的攻击场景中，本地访问 Windows 机器的攻击者可以利用这些漏洞提升权限或通过利用 ‘BioNTdrv.sys’ 由微软签名的事实来引发拒绝服务（DoS）状况。 这还为所谓的自带漏洞驱动程序（BYOVD）攻击铺平了道路，在这些攻击中，驱动程序未安装的系统会受到攻击，从而使威胁行为者能够获得提升的权限并执行恶意代码。 影响 BioNTdrv.sys 1.3.0 和 1.5.1 版本的漏洞列表如下： CVE-2025-0285：由于未验证用户提供的数据长度，7.9.1 版本中存在任意内核内存映射漏洞。攻击者可以利用此漏洞提升权限。 CVE-2025-0286：由于对用户提供的数据长度验证不当，7.9.1 版本中存在任意内核内存写入漏洞。此漏洞允许攻击者在受害者的机器上执行任意代码。 CVE-2025-0287：由于输入缓冲区中缺少有效的 MasterLrp 结构，7.9.1 版本中存在空指针解引用漏洞。这允许攻击者执行任意内核代码，从而提升权限。 CVE-2025-0288：由于 memmove 函数未能净化用户控制的输入，7.9.1 版本中存在任意内核内存漏洞。这允许攻击者写入任意内核内存并实现权限提升。 CVE-2025-0289：由于在将 MappedSystemVa 指针传递给 HalReturnToFirmware 之前未进行验证，17 版本中存在不安全的内核资源访问漏洞。这允许攻击者破坏受影响的服务。 Paragon 软件公司已经通过 2.0.0 版本的驱动程序解决了这些漏洞，易受攻击的驱动程序版本已被添加到微软的驱动程序阻止列表中。 这一事件发生在 Check Point 揭示了一起大规模恶意软件活动的几天后，该活动利用了与 Adlice 产品套件相关的另一个易受攻击的 Windows 驱动程序（“truesight.sys”）来绕过检测并部署 Gh0st RAT 恶意软件。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软发现了 Paragon 分区管理器的五个 BioNTdrv.sys 驱动程序漏洞，其中一个被勒索软件团伙利用进行零日攻击，以在 Windows 系统中获取 SYSTEM 权限。 这些易受攻击的驱动程序被用于 “自带易受攻击驱动程序”（BYOVD）攻击，威胁行为者将内核驱动程序放到目标系统上以提升权限。 “具有本地访问权限的攻击者可以利用这些漏洞提升权限或在受害者的机器上造成拒绝服务（DoS）场景，”CERT/CC 的警告中解释道。 “此外，由于攻击涉及一个微软签名的驱动程序，攻击者可以利用自带易受攻击驱动程序（BYOVD）技术来利用系统，即使未安装 Paragon 分区管理器。” 由于 BioNTdrv.sys 是内核级驱动程序，威胁行为者可以利用漏洞以与驱动程序相同的权限执行命令，绕过保护和安全软件。 微软研究人员发现了所有五个漏洞，并指出其中一个是 CVE-2025-0289，被勒索软件团伙利用进行攻击。然而，研究人员并未披露哪些勒索软件团伙将此漏洞作为零日漏洞利用。 “微软观察到威胁行为者（TAs）在 BYOVD 勒索软件攻击中利用这一弱点，特别是使用 CVE-2025-0289 来实现 SYSTEM 级权限提升，然后执行进一步的恶意代码，”CERT/CC 的公告中写道。 “Paragon Software 已经修复了这些漏洞，并且易受攻击的 BioNTdrv.sys 版本已被微软的易受攻击驱动程序阻止列表阻止。” 微软发现的 Paragon 分区管理器漏洞如下： CVE-2025-0288：由于 ‘memmove’ 函数处理不当导致的任意内核内存写入，允许攻击者写入内核内存并提升权限。 CVE-2025-0287：由于输入缓冲区中缺少对 ‘MasterLrp’ 结构的验证，导致空指针解引用，启用任意内核代码执行。 CVE-2025-0286：由于用户提供的数据长度验证不当导致的任意内核内存写入，允许攻击者执行任意代码。 CVE-2025-0285：由于未验证用户提供的数据，导致任意内核内存映射，通过操纵内核内存映射实现权限提升。 CVE-2025-0289：由于在传递给 ‘HalReturnToFirmware’ 之前未验证 ‘MappedSystemVa’ 指针，导致不安全的内核资源访问，可能会导致系统资源被攻陷。 前四个漏洞影响 Paragon 分区管理器 7.9.1 及更早版本，而 CVE-2025-0298（正在被积极利用的漏洞）影响 17 及更早版本。 建议该软件的用户升级到最新版本，其中包含 BioNTdrv.sys 版本 2.0.0，解决了上述所有漏洞。 然而，需要注意的是，即使未安装 Paragon 分区管理器的用户也并非安全无虞。BYOVD 战术并不依赖于软件在目标机器上存在。 相反，威胁行为者将易受攻击的驱动程序包含在他们自己的工具中，允许他们将其加载到 Windows 中并提升权限。 微软已更新其 “易受攻击驱动程序阻止列表”，以阻止该驱动程序在 Windows 中加载，因此用户和组织应确认保护系统已激活。 您可以通过进入 “设置”→“隐私和安全”→“Windows 安全”→“设备安全”→“核心隔离”→“微软易受攻击驱动程序阻止列表”，并确保该设置已启用，来检查阻止列表是否已启用。 Windows 易受攻击驱动程序阻止列表设置 来源：BleepingComputer Paragon Software 网站上的一则警告也指出，用户必须在今天之前升级 Paragon 硬盘管理器，因为它使用了相同的驱动程序，而该驱动程序将在今天被微软阻止。 虽然目前尚不清楚哪些勒索软件团伙正在利用 Paragon 漏洞，但 BYOVD 攻击在网络犯罪分子中越来越受欢迎，因为它允许他们轻松获得 Windows 设备的 SYSTEM 权限。 已知利用 BYOVD 攻击的威胁行为者包括 Scattered Spider、Lazarus、BlackByte 勒索软件、LockBit 勒索软件等。 因此，启用微软易受攻击驱动程序阻止列表功能非常重要，以防止易受攻击的驱动程序在您的 Windows 设备上被利用。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 白蚁勒索软件团伙声称对澳大利亚最大的生育服务提供商 Genea 近期的数据泄露事件负责，窃取了敏感的医疗保健数据。 这家体外受精（IVF）提供商自 1986 年开始运营（当时名为悉尼 IVF）。它在新南威尔士州、南澳大利亚州、西澳大利亚州、墨尔本、堪培拉和昆士兰的 22 家生育诊所提供广泛的服务，包括生育治疗、检查、遗传服务、保存选项和捐赠者计划。 据澳大利亚国家广播公司报道，Genea 和另外两家公司（Monash IVF 和 Virtus）占据了该国行业总收入的 80% 以上。 Genea 上周三首次披露，其正在调查一起 “网络事件”，此前在公司网络上检测到 “可疑活动”。在今天发布的一份更新声明中，这家生育服务巨头确认攻击者从其系统中窃取了数据，这些数据随后被发布在网上。 该公司表示，已获得法院命令，禁止他人分享泄露的数据，并且正在与澳大利亚网络安全中心合作调查这起事件。 这份经过删减的法院命令显示，威胁行为者于 2025 年 1 月 31 日通过 Citrix 服务器入侵了 Genea 的网络。随后，他们获得了对该公司主文件服务器、域控制器、备份程序和 BabySentry 主患者管理系统的访问权限。两周后，即 2 月 14 日，攻击者从 Genea 的被入侵系统中窃取了 940.7GB 的数据，并将其转移到了他们控制的一个 DigitalOcean 云服务器上。 正在进行的调查还发现，Genea 被入侵的患者管理系统中包含了以下类型的个人和健康数据，每个受影响个体暴露的信息各不相同： 全名、电子邮件、地址、电话号码、出生日期、紧急联系人和近亲信息， 医疗保险卡号码、私人健康保险详情、国防部门号码、医疗记录号码、患者号码， 病史、诊断和治疗、药物和处方、患者健康问卷、病理和诊断测试结果、医生和专家的记录、预约详情和时间表。 “目前没有证据表明任何财务信息（如信用卡详细信息或银行账户号码）受到此次事件的影响，”Genea 补充道。 “我们还通知了澳大利亚信息专员办公室（OAIC）这起事件的最新进展，”Genea 一位发言人告诉 BleepingComputer。 白蚁勒索软件声称对此负责 尽管 Genea 没有将此次攻击归咎于特定的威胁组织或网络犯罪团伙，但白蚁勒索软件团伙在周一声称对此负责。 在他们暗网泄露网站的新条目中，他们声称窃取了约 700GB 的数据，并泄露了据称从 Genea 网络中窃取的身份证明文件和患者文件的截图。 “我们从公司的服务器中获得了约 700GB 的数据，包括客户的机密和个人数据，”威胁行为者声称。 据威胁情报公司 Cyjax 称，白蚁勒索软件团伙于 2024 年 10 月中旬浮出水面，此后在其暗网门户上列出了来自世界各地和各个行业的 18 名受害者。 2024 年 12 月，该勒索软件团伙还声称入侵了总部位于亚利桑那州的服务（SaaS）提供商 Blue Yonder。这家全球供应链软件提供商拥有超过 3000 名客户，包括微软、雷诺、拜耳、乐购、联想、DHL、3M、Ace Hardware、宝洁、嘉士伯、都乐、沃尔格林、西部数据和 7-Eleven 等知名企业。 与其他勒索软件团伙一样，白蚁网络犯罪团伙也从事数据盗窃、勒索和加密攻击。据网络安全公司 Trend Micro 称，他们使用的是 2021 年 9 月泄露的 Babuk 加密器版本，并且已知会在受害者的加密系统上留下 “How To Restore Your Files.txt” 赎金便条。 Trend Micro 还补充道，白蚁的勒索软件加密器可能仍在开发中，因为它会因代码执行缺陷而提前终止。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 Prodaft 上周内部发布并于昨天公开的一份报告显示，自 2024 年 6 月开始活动以来，被追踪为 “EncryptHub”（又称 Larva-208）的威胁行为者已针对全球各地的组织发起了鱼叉式网络钓鱼和社会工程攻击，以获取企业网络的访问权限。该报告显示，自 2024 年 6 月 EncryptHub 开始运营以来，已至少入侵了 618 家机构。 在获得访问权限后，这些威胁行为者会安装远程监控和管理（RMM）软件，随后部署诸如 Stealc 和 Rhadamanthys 之类的信息窃取木马。在许多被观察到的案例中，EncryptHub 还会在被入侵的系统上部署勒索软件。 Prodaft 告诉 BleepingComputer，该威胁组织与 RansomHub 和 BlackSuit 有关联，曾部署过这两种勒索软件加密器，可能作为它们的初始访问代理或直接附属机构。然而，在许多攻击中，研究人员观察到威胁行为者部署了自定义的 PowerShell 数据加密器，因此他们也有自己的变种。 Larva-208 的攻击手段包括短信钓鱼、语音钓鱼以及模仿 Cisco AnyConnect、Palo Alto GlobalProtect、Fortinet 和 Microsoft 365 等企业 VPN 产品的虚假登录页面。 攻击者通常在发给目标的消息中冒充 IT 支持人员，声称 VPN 访问出现问题或账户存在安全问题，引导他们登录钓鱼网站。 受害者会收到链接，这些链接会将他们重定向到钓鱼登录页面，其凭据和多因素认证（MFA）令牌（会话 cookie）会被实时捕获。 一旦钓鱼过程结束，受害者会被重定向到服务的真实域名，以避免引起怀疑。 EncryptHub 购买了 70 多个模仿上述产品的域名，如 “linkwebcisco.com” 和 “weblinkteams.com”，以增加钓鱼页面的可信度。 这些钓鱼网站托管在 Yalishanda 等不受监管的托管服务提供商上，ProDaft 表示，这些提供商通常不会响应合理的下架请求。 Prodaft 还发现另一个被追踪为 Larva-148 的子组，该子组帮助购买钓鱼活动中使用的域名、管理托管服务并设置基础设施。虽然 Larva-148 可能向 EncryptHub 出售域名和钓鱼工具包，但它们的确切关系尚未明确。 一旦 EncryptHub 入侵目标系统，它会部署各种 PowerShell 脚本和恶意软件，以获得持久性、远程访问、数据窃取和文件加密的能力。 首先，他们诱骗受害者安装 AnyDesk、TeamViewer、ScreenConnect、Atera 和 Splashtop 等 RMM 软件。这使他们能够远程控制被入侵的系统，保持长期访问权限，并实现横向移动。 接下来，他们使用不同的 PowerShell 脚本部署信息窃取木马，如 Stealc、Rhadamanthys 和 Fickle Stealer，以窃取存储在网页浏览器中的数据。这些数据包括保存的凭据、会话 cookie 和加密货币钱包助记词。 BleepingComputer 还看到了针对 Linux 和 Mac 设备执行类似操作的 Python 脚本。 在 BleepingComputer 看到的脚本样本中，威胁行为者试图从被入侵的系统中窃取大量数据，包括： 各种加密货币钱包的数据，包括 MetaMask、Ethereum Wallet、Coinbase Wallet、Trust Wallet、Opera Wallet、Brave Wallet、TronLink、Trezor Wallet 等。 各种 VPN 客户端的配置数据，包括 Cisco VPN Client、FortiClient、Palto Alto Networks GlobalProtect、OpenVPN 和 WireGuard。 各种流行密码管理器的数据，包括 Authenticator、1Password、NordPass、DashLane、Bitwarden、RoboForm、Keeper、MultiPassword、KeePassXC 和 LastPass。 与特定扩展名匹配或文件名包含某些关键词的文件，包括图片、RDP 连接文件、Word 文档、Excel 电子表格、CSV 文件和证书。文件名中的一些目标关键词包括 “pass”、“account”、“auth”、“2fa”、“wallet”、“seedphrase”、“recovery”、“keepass”、“secret” 等。 Larva-208 的最终威胁是勒索软件，其形式为自定义的基于 PowerShell 的加密器，该加密器使用 AES 加密文件并附加 “.crypted” 扩展名，同时删除原始文件。 会为受害者生成一张赎金条，要求通过 Telegram 以 USDT 支付赎金。 Prodaft 表示，EncryptHub 是一个复杂的威胁行为者，会根据目标定制攻击以提高效果，成功入侵了大型组织的高价值目标。 “本报告中考察的 LARVA-208 鱼叉式网络钓鱼行为者体现了针对性网络攻击日益增长的复杂性，”Prodaft 警告说。“通过采用高度定制的社会工程手段、先进的混淆方法和精心制作的诱饵，该威胁行为者展示了强大的能力，能够规避检测并入侵高价值目标。”   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文