提交需求
*
*

*
*
*
立即提交
点击”立即提交”,表明我理解并同意 《美创科技隐私条款》

logo

    产品与服务
    解决方案
    技术支持
    合作发展
    关于美创

    申请试用
      每周安全速递³¹⁶|朝鲜黑客组织与Play勒索病毒联手展开重大网络攻击
      发布时间:2024-11-01 阅读次数: 719 次
      本周热点事件威胁情报



      1

      朝鲜黑客组织与Play勒索病毒联手展开重大网络攻击

      根据研究人员的最新报告,朝鲜黑客组织Jumpy Pisces(也称为Andariel等)近期与Play勒索病毒团伙合作,实施了一系列网络攻击,显示出其财务动机。这一活动发生在2024年5月至9月,标志着该国家支持的组织首次与地下勒索网络合作。Jumpy Pisces与朝鲜的侦察总局有关,曾使用其他两种勒索病毒。虽然Symantec指出该组织在2024年8月曾针对美国三家不同组织进行攻击,但未实际部署勒索病毒,但此事件显然展示了其与Play勒索病毒的联系。Play勒索病毒自2023年10月以来影响了约300个组织。研究人员的调查显示,Andariel通过一个被侵入的用户账户获得初始访问权限,并利用Sliver命令与控制(C2)框架和名为Dtrack的后门进行横向移动和持久化操作。这一系列活动最终导致Play勒索病毒的部署,然而,Jumpy Pisces是否真正成为Play的加盟者仍未明确。


      参考链接:
      https://unit42.paloaltonetworks.com/north-korean-threat-group-play-ransomware/



      2

      PSAUX勒索软件攻击22000台CyberPanel实例
      10月29日,约22000台暴露的CyberPanel实例因严重远程代码执行漏洞(RCE)遭到PSAUX勒索软件大规模攻击。该漏洞存在于CyberPanel 2.3.6版本,攻击者利用此漏洞实现远程未授权的根权限访问,并在服务器上加密数据。安全研究员DreyAnd发现,CyberPanel的身份验证、命令注入和安全过滤机制存在缺陷,使得攻击者能够执行任意命令并实施勒索。攻击导致几乎所有受影响实例脱机,涉及超过15万域名和数据库的管理。虽然GitHub已更新安全修复,但尚未发布正式版本或CVE编号。目前,研究人员已发布一个解密工具,受害者需谨慎备份数据以免因错误密钥导致数据损坏。


      参考链接:
      https://www.bleepingcomputer.com/news/security/massive-psaux-ransomware-attack-targets-22-000-cyberpanel-instances/


      3

      Fog勒索软件利用SonicWall VPN漏洞入侵企业网络
      最近,Fog和Akira勒索软件团伙通过SonicWall VPN账户,利用CVE-2024-40766漏洞,频繁侵入企业网络。SonicWall在2024年8月底修复了该漏洞,并在随后一周警告称该漏洞已被积极利用。最新的报告指出,Akira和Fog勒索软件行动至少进行了30次入侵,这些入侵都始于通过SonicWall VPN账户的远程访问。在这些案例中,75%与Akira有关,其余的则归因于Fog勒索软件。值得注意的是,这两个威胁团伙似乎共享基础设施,显示出两者之间非正式合作的延续。尽管研究人员不能完全确定所有案例都利用了该漏洞,但所有被入侵的终端都运行着易受攻击的旧版本。在大多数情况下,从入侵到数据加密的时间很短,通常约为十个小时,最快甚至达到1.5至2小时。许多攻击中,攻击者通过VPN/VPS访问终端,隐藏其真实IP地址。在随后的攻击阶段,威胁者迅速加密,主要针对虚拟机及其备份。被侵入系统的数据窃取涉及文档和专有软件,但攻击者对超过六个月(或更敏感文件超过30个月)的文件不感兴趣。Fog勒索软件于2024年5月推出,通常利用被盗的VPN凭证进行初始访问。


      参考链接:

      https://arcticwolf.com/resources/blog/arctic-wolf-labs-observes-increased-fog-and-akira-ransomware-activity-linked-to-sonicwall-ssl-vpn/


      4

      四名REvil勒索软件成员在俄被判刑

      四名REvil勒索软件组织的前成员在俄罗斯被判处多年监禁,此次判决标志着俄罗斯境内对黑客和洗钱活动的少见定罪。这四名男子分别是阿尔忒弥斯·扎耶茨(Artem Zaets)、阿列克谢·马洛泽莫夫(Alexei Malozemov)、达尼尔·普齐列夫斯基(Daniil Puzyrevsky)和鲁斯兰·汉斯维亚罗夫(Ruslan Khansvyarov)。他们因非法支付处理被定罪,普齐列夫斯基和汉斯维亚罗夫还因使用和传播恶意软件而受到指控。据俄罗斯媒体《生意人报》报道,圣彼得堡驻军军事法庭于10月25日宣布了对这四人的判决,扎耶茨和马洛泽莫夫分别被判处4.5年和5年的监禁,而汉斯维亚罗夫和普齐列夫斯基则被判处5.5年和6年的监禁。这四名男子是在美国要求下对REvil勒索软件组织进行调查的过程中被识别出来的,该组织的领导人与针对外国科技公司的网络攻击有关。


      参考链接:

      https://www.kommersant.ru/doc/7263987



      5

      Black Basta勒索软件伪装IT员工通过Microsoft Teams入侵网络

      Black Basta勒索软件团伙近期通过Microsoft Teams开展社会工程攻击,假扮公司IT帮助台联系员工,以协助解决垃圾邮件问题为由实施攻击。该团伙自2022年4月活跃以来,已对全球数百家企业发动攻击。最近的攻击中,攻击者通过Microsoft Teams作为外部用户联系员工,冒充公司IT支持,协助处理垃圾邮件问题。他们创建的账户使用类似于“帮助台”的Entra ID租户,诱导目标用户安装AnyDesk或启动Windows Quick Assist工具,以获得设备远程访问权限。一旦获得访问权限,攻击者会安装“AntispamAccount.exe”等有效负载,最终部署Cobalt Strike以全面控制受害者设备,进一步侵入网络。研究人员建议企业限制Microsoft Teams中外部用户的通信权限,启用日志记录以检测可疑聊天活动。该攻击背后的黑客被认为来自俄罗斯,进一步显示了对企业网络安全的严重威胁。


      参考链接:

      https://www.reliaquest.com/blog/black-basta-social-engineering-technique-microsoft-teams/



      6

      Qilin.B勒索软件新变种加强加密与检测规避

      研究人员发现Qilin勒索软件的最新变种Qilin.B,展现出更强的加密和规避能力。Qilin.B利用AES-256-CTR和Chacha20双重加密算法,结合RSA-4096加密密钥管理,提高了文件解密难度。此外,Qilin.B通过不断清理Windows事件日志、终止与安全工具相关的服务、以及删除卷影副本,抵御分析和检测。该变种还会结束与备份和虚拟化服务有关的进程,如Veeam、SQL和SAP,进一步阻碍受害者的恢复操作。研究报告指出,这一勒索软件变体标志着Qilin家族的持续进化,成为更具威胁性的网络攻击工具。同时,Rust语言的使用在勒索软件开发中也日益普及,如新发现的Embargo勒索软件,显示出更复杂的攻击链条。


      参考链接:

      https://www.halcyon.ai/blog/new-qilin-b-ransomware-variant-boasts-enhanced-encryption-and-defense-evasion

      免费试用
      服务热线

      马上咨询

      400-811-3777

      回到顶部