分类: 恶意软件

直指 word 附件,勒索软件 AstraLocker 2.0 来袭!

近期,一种鲜为人知的名为AstraLocker的勒索软件发布了它的第二个主要版本,据威胁分析师称,它能快速发动攻击,并直接从电子邮件附件中删除其有效负载。这种方法是很少见的,因为所有典型的电子邮件攻击都会尽量逃避检测,并尽量减少电子邮件安全产品发出危险信号的几率。 根据一直跟踪AstraLocker的ReversingLabs的说法,攻击者似乎并不关心侦察、有价值文件、以及潜入内网横向移动等。相反,他们追求以最大的力量发起对目标的攻击,来换取快速回报。 勒索软件AstraLocker 2.0使用的诱饵是一个Microsoft Word文档,该文档隐藏了一个带有勒索软件有效载荷的OLE对象,其中嵌入式可执行文件的文件名为“WordDocumentDOC.exe”。要执行有效负载,用户需要在打开文档时出现的警告对话框上单击“Run”。这种处理方法符合Astra的整体“击杀-抓取”策略,选择OLE对象而不是恶意软件发行版中更常见的VBA宏。 另一个选择是使用 SafeEngine Shielder v2.4.0.0 来打包可执行文件,这是一个非常陈旧过时的打包程序,几乎不可能进行逆向工程。在反分析检查以确保勒索软件没有在虚拟机中运行,并且没有在其他活动进程中加载调试器之后,恶意软件会使用Curve25519算法为加密系统做好准备。这些准备工作包括终止可能危及加密的进程,删除卷映像副本,以及停止一系列备份和反病毒服务。 根据 ReversingLabs 的代码分析,AstraLocker 是基于泄露的Babuk源代码,这是一种有缺陷但仍然很危险的勒索软件,好在它已于2021 年9月退出该领域。此外,勒索信中列出的Monero钱包地址之一与Chaos勒索软件的组织有关。这可能意味着相同的威胁行为者在操作这两种恶意软件,这种情况并不少见。但从最新的案例来看,AstraLocker 2.0似乎不是一个老练的威胁行为者的行为,因为他会尽可能地破坏更多目标。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/337881.html 封面来源于网络,如有侵权请联系删除

攻击者与 ISP 内部人士勾结 在 Android 和 iOS 上散布 Hermit 间谍软件

根据Google威胁分析小组(TAG)公布的研究,一个复杂的间谍软件活动正在得到互联网服务提供商(ISP)内部人士的暗中帮助以欺骗用户下载恶意的应用程序。这证实了安全研究组织Lookout早些时候的发现,该组织将这种被称为Hermit的间谍软件与意大利间谍软件供应商RCS实验室联系起来。 一个被攻击和篡改的网站案例 Lookout称,RCS实验室与NSO集团 – 也就是PegASUS间谍软件背后臭名昭著的监控雇佣公司是同一家公司,他们向各国各级政府机构兜售商业间谍软件。Lookout的研究人员认为Hermit已经被哈萨克斯坦政府和意大利当局部署。根据这些发现,Google已经确定了这两个国家的受害者,并表示它将通知受影响的用户。 正如Lookout的报告中所描述的,Hermit是一个模块化的威胁,可以从一个指挥和控制(C2)服务器上下载额外的功能。这使得间谍软件能够访问受害者设备上的通话记录、位置、照片和短信。Hermit还能录制音频,拨打和拦截电话,以及root到Android设备,这使它能够完全控制其核心操作系统。 “含有Hermit的应用程序从未通过Google Play或苹果应用商店提供” 这种间谍软件可以通过将自己伪装成合法来源来感染Android和苹果iPhone手机,通常以移动运营商或消息应用程序的形式出现。Google的网络安全研究人员发现,一些攻击者实际上与互联网服务提供商合作,关闭受害者的移动数据,以推进其计划。然后,不良行为者会通过短信冒充受害者的移动运营商,欺骗用户相信下载一个恶意的应用程序将恢复他们的互联网连接。如果攻击者无法与互联网服务供应商合作,Google说他们会冒充看似真实的消息应用程序,欺骗用户下载。 Lookout和TAG的研究人员说,含有Hermit的应用程序从始至终从未通过Google Play或苹果应用商店提供。然而,攻击者却能够通过注册苹果公司的开发者企业计划,在iOS上分发受感染的应用程序。这使得不怀好意者可以绕过App Store的标准审查程序,获得”满足任何iOS设备上所有iOS代码签名要求”的证书。 苹果公司表示,他们已经注意到并撤销了与该威胁有关的任何账户或证书。除了通知受影响的用户,Google还向所有用户推送了Google Play Protect更新。 阅读安全报告全文: https://blog.google/threat-analysis-group/italian-spyware-vendor-targets-users-in-italy-and-kazakhstan/     转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1285141.htm 封面来源于网络,如有侵权请联系删除

DeadBolt 勒索软件再次发难,威联通正展开调查

据BleepingComputer网站6月17日消息,网络附加存储 (NAS) 供应商威联通(QNAP) 于当日再次向客户发出提醒,要求他们采取措施保护好设备,以免受 DeadBolt 勒索软件新型攻击活动的影响。 QNAP表示,它们于近期检测到新的 DeadBolt 勒索软件活动,根据目前受害者的报告,该攻击活动似乎针对运行 QTS 4.x 系统版本的 QNAP NAS 设备。为此,QNAP强烈建议所有用户立即将其 NAS 设备上的 QTS 或 QuTS hero 操作系统更新到最新版本,确保勒索软件不会通过 Internet 进行远程访问。 根据QNAP披露,受感染的设备升级系统固件后,能让内置的 Malware Remover 应用程序自动隔离已知劫持登录页面的 DeadBolt 赎金记录。若在升级固件输入DeadBolt解密密钥后无法找到赎金记录,可向QNAP支持部门寻求帮助。 如同在今年1月DeadBolt 发动的攻击一样,它会在所劫持设备的登录页面上留下“您的文件已被 DeadBolt 锁定”的警告,受感染设备一旦启动,DeadBolt 就会使用 AES128 加密文件,并在其名称后附加 .deadbolt 的扩展名。为了方便受害者能看到赎金记录,它还替换了 /home/httpd/index.html 文件。在受害者支付了0.03比特币的赎金后,攻击者会向同一比特币地址创建一个比特币交易,其中包含OP_RETURN输出下的解密密钥。 勒索软件专家Michael Gillespie创建了一个免费的Windows解密器,可以帮助解密文件而不使用DeadBolt提供的可执行程序。然而,受DeadBolt勒索软件攻击的QNAP用户仍需要支付赎金,以获得有效的解密密钥来恢复数据。   转自 Freebuf,原文链接:https://www.freebuf.com/news/336646.html 封面来源于网络,如有侵权请联系删除

Bumblebee 恶意软件通过电子邮件劫持在韩国传播

ASEC 分析团队最近发现,许多下载器类型的恶意软件 Bumblebee 正在传播。Bumblebee 下载器正在通过网络钓鱼电子邮件作为 ISO 文件分发,该 ISO 文件包含一个快捷方式文件和一个恶意 dll 文件。此外,还确认了通过电子邮件劫持向国内用户分发的案例。 以下是分发 Bumblebee 下载器的网络钓鱼电子邮件。这封电子邮件会截获一封正常的电子邮件,并在回复用户时附上恶意文件。在收到电子邮件的用户的情况下,判断为正常回复,可以毫无疑问地执行附件,因此需要注意。额外确认的网络钓鱼电子邮件也正在使用电子邮件劫持方法进行分发。除了通过附件进行传播之外,还有一种传播方法是通过在电子邮件正文中包含恶意 URL 来诱导下载。在通过恶意 URL 进行分发的方法中使用 Google Drive 有一个特点。 在钓鱼邮件附件的压缩文件中设置了密码,密码显示在邮件正文中。该文件伪装成发票或请求相关文件名,可见压缩文件内部存在ISO文件。 执行 ISO 文件时,会在 DVD 驱动器中创建 lnk 文件和 dll 文件。lnk文件执行加载通过rundll32.exe创建的恶意dll文件的特定功能的功能。dll 文件是一个实际执行恶意操作并设置了隐藏属性的文件。如果关闭显示隐藏属性文件的选项,则只出现lnk文件,因此很有可能在不知道恶意dll文件存在的情况下运行lnk文件。 lnk 命令 %windir%\system32\rundll32.exeneval.dll,jpHgEctOOP 通过lnk文件执行的恶意dll是打包形式的,解包后会进行多次反沙盒和反分析测试。多个检查过程中的一些如下,它是一个代码,检查用于恶意代码分析的程序是否正在运行,虚拟环境中使用的文件是否存在,以及是否通过mac地址与特定制造商匹配。除了相应的检查外,还通过注册表值、窗口名、设备、用户名、是否存在特定的API来检查是虚拟环境还是分析环境。 如果上述所有过程都通过,则执行了实际的恶意操作。首先,对编码数据进行解码,得到如下的多个C2信息。之后,它通过收集用户PC信息来尝试连接和传输C2。 解码 C2 73.214.29[.]52:443,78.112.52[.]91:443,21.175.22[.]99:443, 107.90.225[.]1:443, 212.114.52[.]46 :443、101.88.16[.]100:443、19.71.13[.]153:443、108.16.90[.]159:443、103.175.16[.]122:443、121.15.221[.]97:443、19.71.13[.]153:443、22.175.0[.]90:443、19.71.13[.]153:443、146.19.253[.]49:443、38.12.57[.]131:443、191.26.101[.]13:443 目前无法连接相关的C2,但如果连接成功,可以根据攻击者的指令进行以下动作。将文件名为“my_application_path”的恶意DLL复制到%APPDATA%文件夹,创建执行复制的dll的vbs文件,将恶意数据注入正常程序,保存并执行从C2接收到的文件名恶意数据“wab.exe” 还有各种附加功能,例如 注入目标程序 \\Windows Photo Viewer\\ImagingDevices.exe \\Windows Mail \\wab.exe \\Windows Mail\\wabmig.exe 近期,Bumblebee 下载器数量大幅增加,存在通过 Bumblebee 下载器下载 Cobalt Strike 等恶意数据的案例。另外,国内用户已经确认使用邮件劫持的方式进行分发,需要用户注意,对邮件中的附件和网址进行限制阅读和访问。目前,在V3中,恶意代码诊断如下。 【文件诊断】 Dropper/Win.DropperX-gen.C5154946 (2022.06.02.02) 木马/Win.BumbleBee.R497004 (2022.06.11.01) Dropper/ISO.Bumblebee (2022.06.13.02) 木马/BAT.Runner (2022.06.13.02) 木马/LNK.Runner (2022.06.13.02) [IOC ] 11999cdb140965db45055c0bbf32c6ec b7936d2eed4af4758d2c5eac760baf1d e50fff61c27e6144823dd872bf8f8762 2c9a4291387fd1472081c9c464a8a4caed20bfa   转自 cnBeta,原文链接:https://mp.weixin.qq.com/s/WqLgxg4jN_43z9RHR_MIwA 封面来源于网络,如有侵权请联系删除

恶意软件竟被上架谷歌商店,下载次数甚至超 200 万次

网络安全研究人员上个月在Google Play商店中发现了广告软件和窃取信息恶意软件,并且至少还有五个在谷歌商店里继续保持上架状态,而它们的下载量已经突破200万次。其中在感染广告软件之后用户设备会显示不必要的广告,这会降低用户体验、耗尽设备电量,甚至产生未经授权的费用。这种软件通常会伪装成设备上的其他应用来隐藏自己,并通过强迫受害者查看或点击附属广告来为远程操作者牟利。但窃取信息的恶意软件更加危险,它会窃取您经常访问的其他网站的登录凭据,包括您的社交媒体和网上银行账户。 Dr. Web antivirus的分析师说,广告软件应用程序和数据窃取木马是今年5月最突出的 Android 威胁之一。在设法渗入Google Play商店的众多威胁中,以下五个仍然可用: PIP Pic Camera Photo Editor – 100 万次下载,恶意软件伪装成图像编辑软件,会窃取用户的Facebook帐户凭据。 Wild & Exotic Animal Wallpaper – 50万次下载,一种广告软件木马,将其图标和名称替换为“SIM Tool Kit”,并将自身添加到省电例外列表中。 ZodiHoroscope – Fortune Finder – 50万次下载,恶意软件通过诱骗用户输入来窃取 Facebook 帐户凭据,据说可以禁用应用内广告。 PIP Camera 2022 – 5万次下载,相机效果应用程序也是Facebook 帐户劫持者。 放大镜手电筒– 1万次下载,提供视频和静态横幅广告的广告软件应用程序。 不过Bleeping Computer表示已与Google联系,告知他们上述应用程序,并表示会验证现有版本是否已被清理并重新提交,或者是否仍然像 Dr. Web 的报告中描述的那样危险。但是,从最近的用户评论来看,这些应用程序仍在展示恶意功能,并且没有兑现其功能承诺。 Dr. Web的防病毒团队5月份还在谷歌商店发现的其他应用程序,包括赛车游戏、已删除的图像恢复工具、针对俄罗斯用户的虚假国家补偿应用程序,以及Only Fans 平台的“免费访问”应用程序,不过这些应用程序目前已从谷歌商店中删除。 Cyble 的研究人员还在 Google Play 商店中发现了Hydra银行木马,最近观察到该木马针对的是欧洲的银行客户。该恶意软件伪装成PDF文档管理器,具有文本到PDF和QR码扫描功能,该恶意软件下载次数累积超过了1万次。Cyble说该恶意应用程序在今年6月9日之前一直在 Play Store上,目前谷歌已将其删除。但是,APKAIO.com和APKCombo.com 等第三方商店仍然可以使用相同的 PDF 应用程序。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/336280.html 封面来源于网络,如有侵权请联系删除

Confluence 服务器被黑客部署 AvosLocker、Cerber2021 勒索软件

近期,勒索软件团伙瞄准了一个远程代码执行 (RCE) 漏洞,该漏洞影响会Atlassian Confluence服务器和数据中心。如果成功利用此OGNL注入漏洞 (CVE-2022-26134),未经身份验证的攻击者可以通过创建新管理员帐户和执行任意代码远程接管未修复补丁的服务器。虽然该漏洞被暴露后Atlassian也及时做出响应,但因其概念验证漏洞也一并被泄露到了网上,这就导致很多黑客都可以利用该漏洞,目前多个僵尸网络和威胁参与者在野外积极利用它来部署加密恶意软件。 瑞士网络威胁情报公司Prodaft的研究人员发现AvosLocker勒索软件分支机构已经加入了这一行列。他们瞄准并入侵暴露在互联网上的未打补丁的Confluence服务器“以大规模系统地感染多个受害者。AvosLocker的命令和控制服务器的截图表明了威胁行为者已经对Confluence下手了。 在采访中,Prodaft 表示通过在各种网络上执行大规模扫描,AvosLocker 威胁参与者正搜索用于运行Atlassian Confluence系统的易受攻击的机器。且AvosLocker 已经成功感染了来自全球不同地区的多个企业,包括但不限于美国、欧洲和澳大利亚。 还被很多受害者表示,Cerber2021勒索软件(也称为CerberImposter)也在积极利用Confluence CVE-2022-26134漏洞。ID-Ransomware的创建者Michael Gillespie说,被识别为CerberImposter的提交文件包括加密的Confluence配置文件,这表明Confluence实例正在被加密。且CVE-2022-26134 POC漏洞的发布与Cerber勒索软件攻击成功次数的增加同时发生。 微软周五晚上还证实,他们已经看到Confluence服务器被利用来安装Cerber2021勒索软件。Cerber此前曾于2021年12月使用CVE-2021-26084漏洞攻击全球范围内的Confluence 服务器,该漏洞允许未经身份验证的攻击者在易受攻击的系统上远程执行代码。网络安全公司Volexity上周将CVE-2022-26134归为一个被积极利用的零日漏洞,CISA还命令联邦机构通过阻止其网络上Confluence服务器的所有互联网流量来缓解该漏洞。在漏洞信息发布一天后,Atlassian发布了安全更新并敦促其客户及时更新补丁以阻止持续的攻击发生。   转自 FreeBuf,原文链接:https://www.freebuf.com/articles/336011.html 封面来源于网络,如有侵权请联系删除

警惕!Emotet 新变体正从 Google Chrome 中窃取你的信用卡信息

日前,有研究显示,臭名昭著的Emotet恶意软件正在积极部署一个新模块,意欲窃取存储在Google Chrome浏览器中的信用卡信息。 根据网络安全公司Proofpoint近日来的观察,这个专门针对Google Chrome浏览器的信用卡窃取程序拥有将收集到的信息转移到不同远程命令和控制 (C2) 服务器上的能力。 2021年1月,在多国联合执法行动的努力下,恶意软件Emotet的基础设施被关闭。此后的10个月,Emotet的活动显著减少,曾一度销声匿迹。然而,在2021年底,Emotet又卷土重来了,并持续高度活跃状态。 Emotet是一种先进的、能够自我传播的模块化木马,通常是通过电子邮件活动或其他有效负载,如勒索软件进行传播。对于Emotet,外界普遍认为其背后是一个名为TA542(又名Mummy Spider或Gold Crestwood)的黑客组织。 直到2022年4月,Emotet依然是最广为流行的恶意软件,在全球范围内,对6%的组织机构产生了影响,紧随其后的是恶意软件Formbook 和 Agent Tesla。根据软件技术公司Check Point的研究,这些恶意软件都是通过OneDrive URL和lnk附件中的PowerShell测试新的交付方法,从而绕过微软的宏限制。 作为大规模垃圾邮件攻击的一部分,针对各国组织机构的钓鱼邮件数量(这些钓鱼邮件通常会劫持现有通信)从2022年2月的3000封暴增到3月的约3万封,这一事实更进一步证实了Emotet恶意软件的相关威胁正在稳步增长。 知名安全软件公司ESET的研究人员表示,Emotet在2022年2月到4月期间发动的攻击活动“转向了更高的档位”, 2022年的前4个月的检测数量与上一个季度(2021年9月至12月)相比,增幅为11000%,足足增加了100倍有余。 这家斯洛伐克安全公司指出,自这个僵尸网络复活以来,日本、意大利和墨西哥一直是其经常攻击的目标。其中最大规模的一次发生2022年3月16日。 “Emotet最近利用lnk和XLL文件发动的攻击的规模明显小于3月在它通过受损的DOC文件发动的攻击”,高级检测工程师Dušan Lacika 表示道,“这表明攻击者在测试新的向量分布时仅仅运用了僵尸网络的一小部分潜力,而这可以取代现在默认禁用的VBA宏。” 此外,身份安全管理领导者CyberArk的研究人员也向我们展示了一种新技术,可以直接从chrome网络浏览器的内存中提取明文凭证。 “凭证数据以明文格式存储在Chrome的内存中”,CyberArk的研究人员Zeev Ben Porat这样说道,“除了登录特定web应用程序时输入的动态数据外,攻击者可以通过浏览器将存储在密码管理器中的所有密码加载到内存中。” 这其中也包括了与cookie相关的信息,例如会话cookie,攻击者很可能通过它来提取信息并劫持用户的账户,即便用户受到多重身份验证的保护。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/335861.html 封面来源于网络,如有侵权请联系删除

恶意软件 Symbiote 将感染 Linux 系统上所有正在运行的进程

近期,一种新发现的名为Symbiote的Linux恶意软件会感染目标系统上所有正在运行的进程,窃取帐户凭据并为其背后的操作员提供后门访问权限。据调查,该恶意软件会将自身注入所有正在运行的进程,就像是一个系统里的寄生虫,即使再细致的深入检查期间也不会留下可识别的感染迹象。它使用 BPF(柏克莱封包过滤器)挂钩功能来嗅探网络数据包并隐藏自己的通信通道以防止安全工具的检测。 BlackBerry和 Intezer Labs 的研究人员发现并分析了这种新型威胁,他们在一份详细的技术报告中揭示了该新恶意软件的详细信息。据他们介绍,Symbiote 自去年以来一直被积极开发中。 与典型的可执行文件形式不同,Symbiote是一个共享对象(SO)库,它使用LD_PRELOAD指令加载到正在运行的进程中,以获得相对于其他SOs的优先级。通过第一个加载,Symbiote可以挂钩“libc”和“libpcap”函数,并执行各种操作来隐藏它的存在,比如隐藏寄生进程、隐藏部署了恶意软件的文件等等。 安全研究人员在近期发布的一份报告中透露: “当恶意软件将自己注入程序中时,它可以选择显示哪些结果。如果管理员在受感染的机器上启动数据包捕获,以调查一些可疑的网络流量,Symbiote就会把自己注入到检查软件的过程中,并使用BPF挂钩过滤掉可能暴露其活动的结果。”为了隐藏其在受损机器上的恶意网络活动,Symbiote会清除它想要隐藏的连接条目,通过BPF进行包过滤,并移除其域名列表中的UDP traffic。 这种隐秘的新恶意软件主要通过连接“libc读取”功能从被黑的Linux设备中自动获取证书。在针对高价值网络中的Linux服务器时,这是一项至关重要的任务,因为窃取管理员帐户凭据为畅通无阻的横向移动和无限制地访问整个系统开辟了道路。Symbiote还通过PAM服务为其背后的威胁参与者提供对机器的远程SHH访问,同时它还为威胁参与者提供了一种在系统上获得 root 权限的方法。该恶意软件的目标主要是拉丁美洲从事金融行业的实体,他们会冒充巴西银行、该国联邦警察等。研究人员表示由于恶意软件作为用户级 rootkit 运行,因此在检测是否感染时就很困难。 “网络遥测技术可以用来检测异常的DNS请求,安全工具,如AVs和edr应该静态链接,以确保它们不被用户的rootkits‘感染’,”专家表示,随着大型和有价值的公司网络广泛使用这种架构,这种用于攻击Linux系统的先进和高度规避的威胁预计将在未来显著增加。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/335834.html 封面来源于网络,如有侵权请联系删除

恶意软件正”借壳“知名清理程序 CCleaner 进行传播

据Bleeping Computer网站6月8日消息,一种被称为“FakeCrack”的恶意软件,正通过感染流行系统清理程序 CCleaner进行传播。 据Avast的分析师们发现,这款恶意软件是一个强大的信息窃取程序,可以收集个人数据和加密货币资产,并通过数据窃取代理路由互联网流量。他们报告称,每天从其客户遥测数据中检测到平均 10000 次感染尝试,这些受害者中的大多数来自法国、巴西、印度尼西亚和印度。 攻击者遵循黑帽SEO技术,在谷歌搜索结果中将其恶意软件下载网站排名靠前,比如以破解版的CCleaner Professional 为例,以吸引更多受害者。一旦受害者点击这些”中毒“的搜索结果,会引导至一个提供 ZIP 文件下载的登录页面。此登录页面通常托管在合法的文件托管平台上,例如 filesend.jp 或 mediafire.com。ZIP 使用“1234”之类的弱 PIN 进行密码保护,仅用于保护有效负载免受反病毒检测。存档中的文件通常被命名为“setup.exe”或“cracksetup.exe”,其中包含了恶意软件的可执行文件,Avast已经观察到8种不同的可执行文件版本。 含有恶意软件的 CCleaner Pro搜索结果 恶意软件会企图窃取存储在网络浏览器中的信息,例如帐户密码、保存的信用卡和加密货币钱包凭证,并会监控剪贴板中复制的钱包地址,将其替换为受恶意软件控制的地址以转移支付。此剪贴板劫持功能适用于各种加密货币地址,包括比特币、以太坊、Cardano、Terra、Nano、Ronin 和比特币现金地址。 恶意软件监控剪贴板 该恶意软件还使用代理通过中间人攻击来窃取加密货币市场帐户凭据,这种攻击对于受害者来说很难检测或意识到。 Avast在报告中指出,攻击者能够设置 IP 地址来下载恶意代理自动配置脚本 (PAC),通过在系统中设置这个 IP 地址,每次受害者访问任何列出的域时,流量都会被重定向到攻击者控制下的代理服务器。 由于该活动已经很普遍,并且感染率很高,因此尽量避免下载使用破解软件,即使下载站点在搜索引擎中的排名很高。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/335665.html 封面来源于网络,如有侵权请联系删除

知名安全厂商 Mandiant 遭 LockBit 勒索软件入侵?官方否认

知名的勒索软件团伙LockBit 2.0当地时间6月6日声称它拥有来自谷歌子公司Mandiant的数据,该公司是威胁情报和事件响应领域的明星企业。 据多家新闻网站报道,LockBit团伙的数据泄露网站现在将Mandiant.com列为受害者之一,并附有“所有可用数据将被公布”的通知。该勒索软件组织当天早些时候在其数据泄露网站上发布了一个新页面,称他们据称从Mandiant 窃取的356,841个文件将在网上泄露。 该团伙的暗网泄密网站在计时器显示距离倒计时结束仅剩不到三个小时的时间。 由于泄漏页面上的文件列表为空,LockBit尚未透露它声称从Mandiant的系统中窃取了哪些文件。但是,该页面显示一个名为“mandiantyellowpress.com.7z”的 0 字节文件,该文件似乎与 mandiantyellowpress[.]com 域(6日当天注册)有关。访问此页面会重定向到 ninjaflex[.]com 站点。BleepingComputer 联系LockBit索赔的更多细节时,这家威胁情报公司表示尚未找到违规的证据。 Mandiant通过发表声明迅速回应了记者的置评请求:“Mandiant 知道这些与LockBit相关的声明。在这一点上,我们没有任何证据支持他们的说法。我们将继续关注事态的发展。”Mandiant 营销传播高级经理Mark Karayan向 BleepingComputer做了如上表态。 巧合的是,LockBit声明发布之际,全球最大的网络安全会议之一 RSA会议在旧金山开幕。 这也是在Mandiant表示有证据表明它命名为UNC2165的威胁组织已经不再使用Hades勒索软件而转而支持LockBit之后的四天。报告认为,这是因为美国已经制裁了名为Evil Corp的团伙。Mandiant说,UNC2165似乎是Evil Corp的附属机构,因此勒索软件压力的转变可能是试图将该团伙与受制裁实体拉开距离, Mandiant最初是一家独立公司,2013年12月被FireEye以10亿美元收购。2021年6月FireEye被 Symphony Technology Group以12亿美元收购后,谷歌以 54亿美元收购Mandiant,目标是将其整合到它的谷歌云部门。 Emsisoft的威胁分析师Brett Callow警告不要从表面上接受LockBit的说法。“LockBit过去曾做出虚假声明,我怀疑这是其中的另一个。事实上,对于 Mandiant最近的报道声称Evil Corp正在使用LockBit的附属计划试图逃避 [美国] 制裁,这很可能只不过是一个巨魔。LockBit将宣布的时间安排在RSAC的开始这一事实也可能表明它是一个旨在引起尴尬的巨魔。” 移动应用和网站安全提供商The Media Trust的首席执行官Chris Olson表示同意。“由于Mandiant声称‘我们没有任何证据’来支持LockBit的说法,这是一个发展中的故事,我们应该持保留态度。过去,LockBit在其网站上发布了名称, 只是在没有解释的情况下删除了它们 ——它还通过第三方供应商窃取了组织的数据,同时错误地声称直接破坏了受害者。在更多信息出现之前,Mandiant的故事可能会朝着这两个方向发展。 LockBit勒索软件团伙自 2019年9月以来一直作为勒索软件即服务 (RaaS) 活跃,并在勒索软件参与者被禁止在网络犯罪论坛上发帖后于2021年6月重新启动为LockBit 2.0 RaaS。“LockBit采用勒索软件即服务 (RaaS) 模型,这意味着无法直接识别可能发起此漏洞的行为者。自从Mandiant开始在全球网络战的前线行动以来,这对于 Mandiant所获得的敌人来说可能是一种有用的策略。2013年,它牵连中国参与者参与网络间谍活动——2020年,它帮助调查了应对SolarWinds黑客事件负责的俄罗斯组织。最近,它一直在追踪总部位于俄罗斯的网络犯罪组织“Evil Corp”,该组织已开始与LockBit合作以逃避美国的制裁。 “目前,我们不知道LockBit的说法是否属实。但如果是这样,它们可能会对网络安全研究公司产生严重影响,这些公司越来越多地成为全球网络参与者的目标。” 过去遭受LockBit 2.0变种攻击的勒索软件受害者包括保加利亚国家难民署、法国司法部和埃森哲。   转自 网空闲话,原文链接:https://mp.weixin.qq.com/s/dLZLVvQVAzCYNYFLV5zOow 封面来源于网络,如有侵权请联系删除