Gafgyt僵屍網絡新(xīn)變種通過弱SSH密碼攻擊GPU進行加密貨币挖礦
研究人員發現了一種Gafgyt僵屍網絡新(xīn)變種,該變種通過弱SSH密碼攻擊機器,最終利用(yòng)被攻陷實例的GPU計算能(néng)力進行加密貨币挖礦。最新(xīn)的攻擊鏈涉及暴力破解SSH服務(wù)器的弱密碼,以部署下一階段的有(yǒu)效載荷,促進使用(yòng)“systemd-net”的加密貨币挖礦攻擊,但在此之前會終止已在被攻陷主機上運行的競争性惡意軟件。它還執行一個蠕蟲模塊,一個基于Go的SSH掃描器名(míng)為(wèi)ld-musl-x86,負責掃描互聯網中(zhōng)安(ān)全性差的服務(wù)器并将惡意軟件傳播到其他(tā)系統,有(yǒu)效地擴大僵屍網絡的規模。這包括SSH、Telnet以及與遊戲服務(wù)器和AWS、Azure和Hadoop等雲環境相關的憑據。
https://www.aquasec.com/blog/gafgyt-malware-variant-exploits-gpu-power-and-cloud-native-environments/
Black Basta有(yǒu)關聯的攻擊者利用(yòng)SystemBC惡意軟件進行憑證盜竊
研究人員發現,一個與Black Basta勒索軟件組織有(yǒu)關的社會工(gōng)程攻擊活動,旨在進行憑證盜竊并部署名(míng)為(wèi)SystemBC的惡意軟件。這一攻擊鏈涉及多(duō)次入侵嘗試,目标是用(yòng)戶的敏感數據。攻擊者使用(yòng)一個名(míng)為(wèi)“AntiSpam.exe”的可(kě)執行文(wén)件,聲稱下載電(diàn)子郵件垃圾過濾器,并要求用(yòng)戶輸入Windows憑證以完成更新(xīn)。接下來執行多(duō)個二進制文(wén)件、DLL文(wén)件和PowerShell腳本,包括一個基于Golang的HTTP信标,與遠(yuǎn)程服務(wù)器建立聯系,一個SOCKS代理(lǐ)和SystemBC。這些攻擊活動隻是最近幾周内發現的大量釣魚和社會工(gōng)程攻擊中(zhōng)的最新(xīn)一波,威脅行為(wèi)者還越來越多(duō)地利用(yòng)假二維碼進行惡意活動。
參考鏈接:
https://www.rapid7.com/blog/post/2024/08/12/ongoing-social-engineering-campaign-refreshes-payloads/
RansomHub勒索軟件攻擊者武器庫新(xīn)增“EDRKillShifter”破壞工(gōng)具(jù)
研究人員近日發現,一名(míng)犯罪團夥在對一組織發起名(míng)為(wèi)RansomHub的勒索軟件攻擊時,嘗試部署了一款新(xīn)型的EDR(端點檢測和響應)破壞工(gōng)具(jù)“EDRKillShifter”。雖然這次勒索軟件攻擊沒有(yǒu)成功,但事後分(fēn)析揭露了這一專為(wèi)終止端點保護軟件而設計的工(gōng)具(jù)。EDRKillShifter工(gōng)作(zuò)原理(lǐ)是通過一個“加載器”可(kě)執行文(wén)件,它是一個合法驅動程序的傳遞機制,該驅動程序容易被濫用(yòng)。攻擊者必須執行帶有(yǒu)密碼字符串的命令行來運行EDRKillShifter。使用(yòng)正确的密碼運行時,該可(kě)執行文(wén)件會解密嵌入的名(míng)為(wèi)BIN的資源,并在内存中(zhōng)執行它。BIN代碼解壓并執行最終的有(yǒu)效載荷。這最終的有(yǒu)效載荷,用(yòng)Go編程語言編寫,會放置并利用(yòng)多(duō)種不同的易受攻擊、合法的驅動程序以獲取足夠權限以取消EDR工(gōng)具(jù)的保護。該工(gōng)具(jù)的樣本分(fēn)析顯示,所有(yǒu)樣本共享相同的版本數據,原始文(wén)件名(míng)為(wèi)Loader.exe,産(chǎn)品名(míng)為(wèi)ARK-Game,二進制文(wén)件的語言屬性是俄語。這些樣本都需要傳遞給命令行的唯一64字符密碼。如果密碼錯誤(或未提供),它将不會執行。當執行時,EDRKillShifter将一個名(míng)為(wèi)BIN的加密資源加載到内存中(zhōng),還會将該數據複制到一個新(xīn)文(wén)件Config.ini中(zhōng),并将該文(wén)件寫入執行二進制文(wén)件的同一文(wén)件系統位置。
參考鏈接:
https://news.sophos.com/en-us/2024/08/14/edr-kill-shifter/
FBI關閉了攻擊數十家公(gōng)司勒索軟件團夥的服務(wù)器
FBI克利夫蘭分(fēn)局宣布成功破獲了由網名(míng)“Brain”領導的勒索軟件組織“Radar/Dispossessor”,并拆除了三台美國(guó)服務(wù)器、三台英國(guó)服務(wù)器、十八台德(dé)國(guó)服務(wù)器、八個美國(guó)域名(míng)和一個德(dé)國(guó)域名(míng)。自2023年8月成立以來,Radar/Dispossessor迅速發展成為(wèi)一個國(guó)際性影響力的勒索軟件組織,專門針對中(zhōng)小(xiǎo)型企業及組織,涉及生産(chǎn)、開發、教育、醫(yī)療、金融服務(wù)和運輸等多(duō)個行業。調查發現,該組織在美國(guó)及阿根廷、澳大利亞、比利時、巴西、洪都拉斯、印度、加拿(ná)大、克羅地亞、秘魯、波蘭、英國(guó)、阿聯酋和德(dé)國(guó)等國(guó)家攻擊了43家公(gōng)司。FBI在調查期間識别出了多(duō)個與Brain及其團隊相關的網站。盡管目前受影響的企業和組織總數尚未确定,FBI鼓勵任何有(yǒu)關于Brain或Radar Ransomware的信息,或其業務(wù)或組織曾成為(wèi)勒索軟件目标或受害者的人,聯系互聯網犯罪投訴中(zhōng)心或撥打1-800-call-FBI,身份可(kě)以保持匿名(míng)。
參考鏈接:
https://www.fbi.gov/contact-us/field-offices/cleveland/news/international-investigation-leads-to-shutdown-of-ransomware-group?7194ef805fa2d04b0f7e8c9521f97343
勒索軟件組織Rhysida聲稱竊取兩家醫(yī)療系統數據
勒索軟件組織Rhysida宣稱對兩家新(xīn)的醫(yī)療系統——Bayhealth和Community Care Alliance(CCA)進行了大規模數據盜竊。Rhysida威脅将患者的敏感健康和個人信息在暗網上出售或公(gōng)開。位于特拉華州的非營利醫(yī)療系統Bayhealth擁有(yǒu)多(duō)家醫(yī)院、4000名(míng)員工(gōng)和650名(míng)醫(yī)生及其他(tā)臨床醫(yī)護人員。Rhysida聲稱竊取了Bayhealth患者的個人信息,并要求支付25個比特币(約150萬美元)作(zuò)為(wèi)贖金。同時,位于羅德(dé)島的Community Care Alliance提供心理(lǐ)健康、成瘾、住房和創傷相關問題的服務(wù)。Rhysida聲稱竊取了一個包含超過2.5 TB數據的SQL數據庫,内含地址、社會安(ān)全号碼、電(diàn)話号碼和信用(yòng)卡号碼等個人信息。CCA尚未對此作(zuò)出公(gōng)開回應或在其網站上發布相關聲明。
參考鏈接:
https://www.govinfosecurity.com/rhysida-claims-major-data-theft-from-2-more-health-systems-a-25997
浙公(gōng)網安(ān)備 33010502006954号 
