国家级|美创、徐医附院共建项目入选工信部《2024年网络安全技术应用典型案例拟支持项目名单》
2024-12-20
全球数据跨境流动合作倡议
2024-11-22
世界互联网大会|美创数据库保险箱(DBSafe)发布!
2024-11-21
世界互联网大会|美创数据认知与分类分级系统(AICogniSort)重磅发布!
2024-11-21
美创案例|盐城公积金管理中心数据安全创新实践
2024-11-15
存储域
数据库加密 诺亚防勒索访问域
数据库防水坝 数据库防火墙 数据库安全审计 动态脱敏流动域
静态脱敏 数据水印 API安全 医疗防统方运维服务
数据库运维服务 中间件运维服务 国产信创改造服务 驻场运维服务 供数服务安全咨询服务
数据出境安全治理服务 数据安全能力评估认证服务 数据安全风险评估服务 数据安全治理咨询服务 数据分类分级咨询服务 个人信息风险评估服务 数据安全检查服务微软将其追踪的一个朝鲜黑客组织Moonstone Sleet与FakePenny勒索软件攻击联系起来,这些攻击导致数百万美元的赎金要求。虽然该威胁组织的战术、技术和程序(TTP)在很大程度上与其他朝鲜攻击者重叠,但它也逐渐采用了新的攻击方法以及其自定义的基础设施和工具。此前被追踪为Storm-17的Moonstone Sleet已被观察到使用特洛伊化软件(如PuTTY)、恶意游戏和npm包、自定义恶意软件加载器,以及设立虚假软件开发公司(如StarGlow Ventures、C.C. Waterfall)与潜在受害者在LinkedIn、Telegram、自由职业网络或通过电子邮件互动,来攻击金融和网络间谍目标。“当微软首次检测到Moonstone Sleet活动时,该行为体与Diamond Sleet有很强的重叠,广泛重用已知的Diamond Sleet恶意软件(如Comebacker)的代码,并使用已建立的Diamond Sleet技术访问组织,如通过社交媒体传递特洛伊化软件,”微软表示。
https://www.microsoft.com/en-us/security/blog/2024/05/28/moonstone-sleet-emerges-as-new-north-korean-threat-actor-with-new-bag-of-tricks/
新型ShrinkLocker勒索软件使用BitLocker加密文件
一种名为ShrinkLocker的新型勒索软件通过使用Windows BitLocker创建新的启动分区来加密企业系统的文件。ShrinkLocker之所以得名,是因为它通过缩小可用的非启动分区来创建启动卷。它已被用于攻击政府机构以及疫苗和制造业部门的公司。使用BitLocker加密计算机的勒索软件并不新鲜。一名威胁行为者曾使用Windows的这一安全功能加密了比利时一家医院40台服务器上的100TB数据。另一个攻击者用它加密了莫斯科一家肉类生产和分销公司的系统。在2022年9月,研究人员警告称,伊朗国家支持的攻击者利用BitLocker加密运行Windows 10、Windows 11或Windows Server 2016及更新版本的系统。研究人员表示ShrinkLocker具有以前未报道的功能,以最大化攻击的破坏力。ShrinkLocker用Visual Basic脚本(VBScript)编写,这是微软于1996年引入的一种语言,目前正在逐步淘汰——从Windows 11 24H2版本开始作为按需功能提供(目前处于发布预览阶段)。
参考链接:
OmniVision在2023年勒索软件攻击后披露数据泄露事件
总部位于加利福尼亚的成像传感器制造商OmniVision警告称,去年该公司遭遇了Cactus勒索软件攻击,导致数据泄露。OmniVision是中国韦尔半导体的子公司,设计和开发用于智能手机、笔记本电脑、网络摄像头、汽车、医疗成像系统等领域的成像传感器。2023年,该公司拥有2200名员工,年收入达14亿美元。上周五,OmniVision通知了加利福尼亚州当局,称该公司在2023年9月4日至9月30日期间发生了一起安全漏洞事件,当时其系统被勒索软件加密。“2023年9月30日,OVT了解到一起安全事件,导致某些OVT系统被未经授权的第三方加密,”公告中写道。
参考链接:
勒索软件攻击遵循既定的模式利用VMware ESXi漏洞
无论部署了何种文件加密恶意软件,针对VMware ESXi基础设施的勒索软件攻击都遵循既定模式。虚拟化平台是组织IT基础设施的核心组成部分,但它们往往存在固有的错误配置和漏洞,使其成为威胁行为者滥用的有利且高效的目标。研究人员通过其涉及各种勒索软件家族(如LockBit、HelloKitty、BlackMatter、RedAlert (N13V)、Scattered Spider、Akira、Cactus、BlackCat和Cheerscrypt)的事件响应工作发现,对虚拟化环境的攻击遵循类似的行动顺序。
参考链接:
GhostEngine挖矿攻击利用漏洞驱动程序关闭EDR安全功能
恶意加密挖矿活动代号'REF4578',部署名为GhostEngine的恶意负载,利用漏洞驱动程序关闭安全产品并部署XMRig矿工。国外厂商在发布的报告中指出了这些加密挖矿攻击的非同寻常的复杂性,并分享了检测规则以帮助防御者识别和阻止这些攻击。报告未将该活动归因于已知的威胁行为者,也未分享有关目标或受害者的详细信息,因此该活动的来源和范围仍不明。
参考链接:
LockBit声称针对加拿大连锁药店London Drugs发起了勒索软件攻击
LockBit勒索软件团伙声称他们是四月对加拿大连锁药店London Drugs进行网络攻击的幕后黑手,并威胁将在谈判失败后公开被盗数据。London Drugs在阿尔伯塔省、萨斯喀彻温省、马尼托巴省和不列颠哥伦比亚省的80多家门店中拥有超过9000名员工,提供医疗保健和药房服务。4月28日的一次网络攻击迫使London Drugs关闭了整个加拿大西部的所有零售店。该公司表示,尚未发现客户或员工数据受到影响的证据。“如果我们的调查显示任何个人信息被泄露,我们将根据适用的隐私法通知受影响者和相关隐私专员,”该药店连锁店当时表示。
参考链接:
美创科技第59号安全实验室,专注于数据安全技术领域研究,聚焦于安全防御理念、攻防技术、漏洞挖掘等专业研究,进行知识产权转化并赋能于产品。自2021年起,累计向CNVD、CNNVD等平台提报数千个高质量原创漏洞,并入选国家信息安全漏洞库(CNNVD)技术支撑单位(二级)、信创政务产品安全漏洞库支撑单位,团队申请发明专利二十余项,发表多篇科技论文,著有《数据安全实践指南》、《内网渗透实战攻略》等。