每周安(ān)全速遞³²²|Black Basta勒索軟件利用(yòng)社交工(gōng)程與多(duō)階段感染流程展開攻擊
發布時間:2024-12-13
閱讀次數: 884 次
Black Basta勒索軟件利用(yòng)社交工(gōng)程與多(duō)階段感染流程展開攻擊安(ān)全研究員發現Black Basta勒索軟件組織(UNC4393)通過精(jīng)細化的社交工(gōng)程與多(duō)階段感染流程,針對全球企業發起了一系列複雜攻擊。攻擊者通過電(diàn)子郵件轟炸掩護,冒充IT支持人員在Microsoft Teams上與受害者接觸,并誘騙其安(ān)裝(zhuāng)遠(yuǎn)程管理(lǐ)工(gōng)具(jù)(如QuickAssist、AnyDesk)。攻擊者還利用(yòng)二維碼技(jì )術繞過多(duō)因素認證(MFA),盜取受害者憑證後實施遠(yuǎn)程控制。攻擊者在控制受害者操作(zuò)系統後将部署Zbot和DarkGate等惡意工(gōng)具(jù)進行憑證竊取、橫向移動及數據洩露,并最終投放Black Basta勒索軟件,加密關鍵數據以勒索贖金。與以往手法相比,新(xīn)攻擊進一步改進了負載投放與混淆技(jì )術,隐蔽性更強。
https://hackread.com/black-basta-gang-ms-teams-email-bombing-malware/
羅馬尼亞能(néng)源供應商(shāng)Electrica集團正在調查一起持續的勒索軟件攻擊羅馬尼亞電(diàn)力供應商(shāng)Electrica集團遭受勒索軟件攻擊,公(gōng)司關鍵系統未受影響,但由于安(ān)全協議增強,客戶服務(wù)可(kě)能(néng)會暫時中(zhōng)斷。這些措施旨在保護運營和個人數據。Electrica已啓動内部應急程序,與網絡安(ān)全機構合作(zuò)調查攻擊來源并控制其影響。能(néng)源部長(cháng)确認攻擊未波及電(diàn)網SCADA系統,網絡設備已隔離。此次事件可(kě)能(néng)與羅馬尼亞總統選舉因俄方幹預被取消相關,情報部門報告超過85000次網絡攻擊針對選舉系統,部分(fēn)網站憑證洩露至俄羅斯網絡犯罪平台。Electrica提醒客戶警惕釣魚風險,繼續優先保障電(diàn)力供應及數據安(ān)全。
https://securityaffairs.com/171832/hacking/electrica-group-ransomware-attack.html德(dé)勤回應Brain Cipher勒索組織的攻擊德(dé)勤回應Brain Cipher勒索組織聲稱其竊取了公(gōng)司超過1TB數據的指控。該組織在暗網網站上列出了德(dé)勤英國(guó),并威脅将在五天内公(gōng)開這些數據,除非支付贖金。據德(dé)勤發言人表示,這次事件與德(dé)勤網絡外部的單一客戶系統有(yǒu)關,公(gōng)司内部系統未受影響。Brain Cipher自2024年4月起活躍,曾攻擊印尼數據中(zhōng)心,引發重大服務(wù)中(zhōng)斷。該組織使用(yòng)基于LockBit的加密軟件,并竊取受害者數據,與SenSayQ和EstateRansomware組織存在聯系。SenSayQ以針對教育和制造業的精(jīng)準攻擊聞名(míng),而EstateRansomware則以複雜的多(duō)階段感染流程和高效數據加密方式見長(cháng),均對全球多(duō)個行業構成嚴重威脅。
https://www.securityweek.com/deloitte-responds-after-ransomware-groups-claims-data-theft/
Check Point Research發布Akira勒索軟件Rust版本分(fēn)析報告Check Point Research深入分(fēn)析了2024年初傳播的Akira勒索軟件Rust版本的構造及控制流,重點研究其針對ESXi服務(wù)器的獨特功能(néng)。報告揭示了Rust語言慣用(yòng)語法、模闆代碼及編譯器優化如何共同作(zuò)用(yòng),形成複雜的彙編結構。Akira v2是Akira勒索軟件即服務(wù)(RaaS)平台的新(xīn)變種,采用(yòng)Rust語言開發,支持跨平台功能(néng),特别針對ESXi服務(wù)器。Rust程序以難以逆向分(fēn)析而聞名(míng)。分(fēn)析顯示,該惡意軟件以多(duō)線(xiàn)程方式執行加密邏輯,核心控制流包括Main、default_action、lock及lock_closure等函數。Main函數負責解析命令行參數,default_action确定目标行為(wèi)及文(wén)件,lock啓動線(xiàn)程執行加密,最終由lock_closure完成實際加密邏輯。研究還詳細分(fēn)析了Rust标準庫在内存中(zhōng)處理(lǐ)命令行參數的方式,揭示了程序通過跨平台抽象層(PAL)調用(yòng)C語言FFI獲取參數并将其轉換為(wèi)内存中(zhōng)的動态數組。
參考鏈接:
https://research.checkpoint.com/2024/inside-akira-ransomwares-rust-experiment/
克羅地亞最大的幹貨港口特許經營商(shāng)——裏耶卡港(Luka Rijeka d.d.)近日遭到8Base勒索軟件組織的攻擊。攻擊者聲稱竊取了包括發票、收據、會計文(wén)件、個人數據、合同和保密協議在内的大量敏感信息,并在其Tor洩密網站上公(gōng)布了部分(fēn)詳情。8Base勒索軟件組織要求在2024年12月10日前支付贖金,但裏耶卡港首席執行官杜什科(kē)·格拉博瓦茨(Duško Grabovac)向當地媒體(tǐ)表示,此次事件并未影響港口運營,公(gōng)司也明确表示不會向攻擊者支付贖金。此次網絡攻擊突顯了港口作(zuò)為(wèi)關鍵基礎設施在網絡安(ān)全方面的脆弱性,同時也表明勒索軟件團夥對基礎設施和經濟服務(wù)機構的攻擊日益猖獗,且威脅範圍不僅限于運營中(zhōng)斷,還涉及大量敏感數據洩露。
參考鏈接:
https://securityaffairs.com/171779/cyber-crime/8base-ransomware-croatias-port-of-rijeka.html
由荷蘭公(gōng)共與私營部門合作(zuò)推動的反勒索軟件計劃“Melissa項目”在全球範圍内有(yǒu)效削弱了勒索軟件威脅。根據萊頓大學(xué)的評估,該項目協助執行了包括Genesis Market黑市的取締和LockBit勒索軟件基礎設施的查封等行動。“Melissa項目”由荷蘭網絡安(ān)全中(zhōng)心和Cybersafe Netherlands聯合安(ān)全企業于2023年啓動,旨在通過信息共享推動犯罪中(zhōng)斷與起訴。項目還幫助獲取了超過150個Deadbolt勒索軟件的解密密鑰。評估報告指出,該項目的成功在于其“清晰的目标與有(yǒu)限的範圍”。項目成員每六周定期會議讨論黑客策略,有(yǒu)效拉近了網絡安(ān)全機構與私營企業間的合作(zuò)。參與公(gōng)司包括荷蘭ESET和德(dé)勤。盡管項目取得重大成就,但其法律框架對數據共享的限制被視為(wèi)信息交流的潛在障礙。報告建議在保持勒索軟件聚焦的前提下,吸納更多(duō)網絡安(ān)全專家參與研究,以增強項目的效能(néng)。
參考鏈接:
https://www.govinfosecurity.com/dutch-counter-ransomware-initiative-led-to-global-takedowns-a-26994Termite勒索軟件襲擊供應鏈平台Blue Yonder供應鏈管理(lǐ)平台Blue Yonder及其客戶近日遭遇了由新(xīn)型勒索軟件“Termite”發起的攻擊。研究顯示,“Termite”是臭名(míng)昭著的Babuk勒索軟件的重命名(míng)版本。Cyble研究與情報實驗室(CRIL)分(fēn)析了Termite的樣本,并指出該勒索軟件已經在其洩露網站上列出七個受害者。技(jì )術分(fēn)析表明,Termite在運行後調用(yòng)SetProcessShutdownParameters(0, 0) API,以确保其進程在系統關機時最晚被終止,從而獲得足夠的時間完成加密操作(zuò)。随後,它利用(yòng)OpenSCManagerA() API連接至服務(wù)控制管理(lǐ)器數據庫,獲取對系統服務(wù)的控制權,并終止特定服務(wù)以避免加密過程被中(zhōng)斷。這些服務(wù)包括veeam、vmms和memtas等。Termite的攻擊活動再次警示企業強化網絡安(ān)全防護措施,特别是在服務(wù)管理(lǐ)與供應鏈平台方面。
https://cyble.com/blog/technical-look-at-termite-ransomware-blue-yonder/
官方訂閱号
官方服務(wù)号
第59号
浙公(gōng)網安(ān)備 33010502006954号 
