每周安全速递³¹⁶｜朝鲜黑客组织与Play勒索病毒联手展开重大网络攻击





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

全球数据跨境流动合作倡议

2024-11-22

世界互联网大会|美创数据库保险箱（DBSafe）发布！

2024-11-21

世界互联网大会｜美创数据认知与分类分级系统（AICogniSort）重磅发布！

2024-11-21

美创案例｜盐城公积金管理中心数据安全创新实践

2024-11-15

5=1！美创科技在中国数据安全软件市场主要厂商份额位列第五

2024-11-01

每周安全速递³¹⁸|Bitdefender发布ShrinkLocker勒索软件解密工具

2024-11-15

每周安全速递³¹⁷｜勒索组织Hellcat声称已窃取Schneider Electric公司超过40GB的压缩数据

2024-11-08

每周安全速递³¹⁵｜勒索软件攻击冒用LockBit名声以恐吓受害者

2024-10-25

每周安全速递³¹⁴｜Underground勒索软件组织声称攻击日本科技巨头卡西欧

2024-10-18

每周安全速递³¹³｜Trinity勒索软件团伙瞄准医疗机构威胁患者数据安全

2024-10-12

每周安全速递³¹⁶｜朝鲜黑客组织与Play勒索病毒联手展开重大网络攻击

发布时间：2024-11-01 阅读次数： 300 次

本周热点事件威胁情报

朝鲜黑客组织与Play勒索病毒联手展开重大网络攻击

根据研究人员的最新报告，朝鲜黑客组织Jumpy Pisces（也称为Andariel等）近期与Play勒索病毒团伙合作，实施了一系列网络攻击，显示出其财务动机。这一活动发生在2024年5月至9月，标志着该国家支持的组织首次与地下勒索网络合作。Jumpy Pisces与朝鲜的侦察总局有关，曾使用其他两种勒索病毒。虽然Symantec指出该组织在2024年8月曾针对美国三家不同组织进行攻击，但未实际部署勒索病毒，但此事件显然展示了其与Play勒索病毒的联系。Play勒索病毒自2023年10月以来影响了约300个组织。研究人员的调查显示，Andariel通过一个被侵入的用户账户获得初始访问权限，并利用Sliver命令与控制（C2）框架和名为Dtrack的后门进行横向移动和持久化操作。这一系列活动最终导致Play勒索病毒的部署，然而，Jumpy Pisces是否真正成为Play的加盟者仍未明确。

参考链接：

https://unit42.paloaltonetworks.com/north-korean-threat-group-play-ransomware/

PSAUX勒索软件攻击22000台CyberPanel实例

10月29日，约22000台暴露的CyberPanel实例因严重远程代码执行漏洞（RCE）遭到PSAUX勒索软件大规模攻击。该漏洞存在于CyberPanel 2.3.6版本，攻击者利用此漏洞实现远程未授权的根权限访问，并在服务器上加密数据。安全研究员DreyAnd发现，CyberPanel的身份验证、命令注入和安全过滤机制存在缺陷，使得攻击者能够执行任意命令并实施勒索。攻击导致几乎所有受影响实例脱机，涉及超过15万域名和数据库的管理。虽然GitHub已更新安全修复，但尚未发布正式版本或CVE编号。目前，研究人员已发布一个解密工具，受害者需谨慎备份数据以免因错误密钥导致数据损坏。

参考链接：

https://www.bleepingcomputer.com/news/security/massive-psaux-ransomware-attack-targets-22-000-cyberpanel-instances/

Fog勒索软件利用SonicWall VPN漏洞入侵企业网络

最近，Fog和Akira勒索软件团伙通过SonicWall VPN账户，利用CVE-2024-40766漏洞，频繁侵入企业网络。SonicWall在2024年8月底修复了该漏洞，并在随后一周警告称该漏洞已被积极利用。最新的报告指出，Akira和Fog勒索软件行动至少进行了30次入侵，这些入侵都始于通过SonicWall VPN账户的远程访问。在这些案例中，75%与Akira有关，其余的则归因于Fog勒索软件。值得注意的是，这两个威胁团伙似乎共享基础设施，显示出两者之间非正式合作的延续。尽管研究人员不能完全确定所有案例都利用了该漏洞，但所有被入侵的终端都运行着易受攻击的旧版本。在大多数情况下，从入侵到数据加密的时间很短，通常约为十个小时，最快甚至达到1.5至2小时。许多攻击中，攻击者通过VPN/VPS访问终端，隐藏其真实IP地址。在随后的攻击阶段，威胁者迅速加密，主要针对虚拟机及其备份。被侵入系统的数据窃取涉及文档和专有软件，但攻击者对超过六个月（或更敏感文件超过30个月）的文件不感兴趣。Fog勒索软件于2024年5月推出，通常利用被盗的VPN凭证进行初始访问。

参考链接：

https://arcticwolf.com/resources/blog/arctic-wolf-labs-observes-increased-fog-and-akira-ransomware-activity-linked-to-sonicwall-ssl-vpn/

四名REvil勒索软件成员在俄被判刑

四名REvil勒索软件组织的前成员在俄罗斯被判处多年监禁，此次判决标志着俄罗斯境内对黑客和洗钱活动的少见定罪。这四名男子分别是阿尔忒弥斯·扎耶茨（Artem Zaets）、阿列克谢·马洛泽莫夫（Alexei Malozemov）、达尼尔·普齐列夫斯基（Daniil Puzyrevsky）和鲁斯兰·汉斯维亚罗夫（Ruslan Khansvyarov）。他们因非法支付处理被定罪，普齐列夫斯基和汉斯维亚罗夫还因使用和传播恶意软件而受到指控。据俄罗斯媒体《生意人报》报道，圣彼得堡驻军军事法庭于10月25日宣布了对这四人的判决，扎耶茨和马洛泽莫夫分别被判处4.5年和5年的监禁，而汉斯维亚罗夫和普齐列夫斯基则被判处5.5年和6年的监禁。这四名男子是在美国要求下对REvil勒索软件组织进行调查的过程中被识别出来的，该组织的领导人与针对外国科技公司的网络攻击有关。

参考链接：

https://www.kommersant.ru/doc/7263987

Black Basta勒索软件伪装IT员工通过Microsoft Teams入侵网络

Black Basta勒索软件团伙近期通过Microsoft Teams开展社会工程攻击，假扮公司IT帮助台联系员工，以协助解决垃圾邮件问题为由实施攻击。该团伙自2022年4月活跃以来，已对全球数百家企业发动攻击。最近的攻击中，攻击者通过Microsoft Teams作为外部用户联系员工，冒充公司IT支持，协助处理垃圾邮件问题。他们创建的账户使用类似于“帮助台”的Entra ID租户，诱导目标用户安装AnyDesk或启动Windows Quick Assist工具，以获得设备远程访问权限。一旦获得访问权限，攻击者会安装“AntispamAccount.exe”等有效负载，最终部署Cobalt Strike以全面控制受害者设备，进一步侵入网络。研究人员建议企业限制Microsoft Teams中外部用户的通信权限，启用日志记录以检测可疑聊天活动。该攻击背后的黑客被认为来自俄罗斯，进一步显示了对企业网络安全的严重威胁。

参考链接：

https://www.reliaquest.com/blog/black-basta-social-engineering-technique-microsoft-teams/

Qilin.B勒索软件新变种加强加密与检测规避

研究人员发现Qilin勒索软件的最新变种Qilin.B，展现出更强的加密和规避能力。Qilin.B利用AES-256-CTR和Chacha20双重加密算法，结合RSA-4096加密密钥管理，提高了文件解密难度。此外，Qilin.B通过不断清理Windows事件日志、终止与安全工具相关的服务、以及删除卷影副本，抵御分析和检测。该变种还会结束与备份和虚拟化服务有关的进程，如Veeam、SQL和SAP，进一步阻碍受害者的恢复操作。研究报告指出，这一勒索软件变体标志着Qilin家族的持续进化，成为更具威胁性的网络攻击工具。同时，Rust语言的使用在勒索软件开发中也日益普及，如新发现的Embargo勒索软件，显示出更复杂的攻击链条。

参考链接：

https://www.halcyon.ai/blog/new-qilin-b-ransomware-variant-boasts-enhanced-encryption-and-defense-evasion

上一条：每周安全速递³¹⁷｜勒索组织Hellcat声称已窃取Schneider Electric公司超过40GB的压缩数据
下一条：每周安全速递³¹⁵｜勒索软件攻击冒用LockBit名声以恐吓受害者