免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表哈客都观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和哈客都无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与哈客都一律不予承担。
1 新型安卓银行木马BingoMod窃取资金并删除设备数据
研究人员近日发现了一种新型安卓远程访问木马(RAT)BingoMod,该木马不仅能从受感染设备进行欺诈性转账,还能清除设备数据以删除恶意软件痕迹。BingoMod于2024年5月底被发现,目前仍在活跃开发中。由于早期版本源代码中存在罗马尼亚语注释,研究人员推测其幕后黑手可能是讲罗马尼亚语的威胁行为者。BingoMod具备远程访问能力,使威胁行为者能够直接从受感染设备上进行账户接管(ATO),利用设备欺诈(ODF)技术。这一技术在其他安卓银行木马如Medusa、Copybara和TeaBot中也有观察到。
https://www.cleafy.com/cleafy-labs/bingomod-the-new-android-rat-that-steals-money-and-wipes-data
2 黑客利用免费TryCloudflare服务投放远程控制木马
研究人员警告称,威胁行为者正越来越多地滥用Cloudflare Tunnel服务进行恶意软件活动,通常投放远程控制木马。此类活动首次于今年2月被检测到,黑客利用TryCloudflare免费服务分发多种RAT,包括AsyncRAT、GuLoader、VenomRAT、Remcos RAT和Xworm。在最新的攻击活动中,研究人员观察到,威胁行为者通过税务主题邮件引诱目标,邮件中的URL或附件链接到LNK负载文件,启动后运行BAT或CMD脚本以部署PowerShell。攻击的最终阶段下载Python安装程序以投放最终负载。
https://www.proofpoint.com/us/blog/threat-insight/threat-actor-abuses-cloudflare-tunnels-deliver-rats
3 黑客通过开发者问答平台传播恶意Python包
研究人员发现,黑客滥用问答平台Stack Exchange,引导开发者下载恶意Python包,这些包能够窃取加密货币钱包中的资金。研究人员报告称,这些恶意包在安装后会自动执行,启动一系列事件以控制受害者的系统,同时窃取数据并掏空其加密货币钱包。这场始于2024年6月25日的攻击活动,专门针对Raydium和Solana的加密货币用户。这些包已被从PyPI仓库移除,总下载次数为2082次。恶意包内含有完整的信息窃取功能,能够窃取网页浏览器密码、Cookie、信用卡详情、加密货币钱包信息,以及Telegram、Signal和Session等消息应用的数据。它还具备截屏、搜索包含GitHub恢复码和BitLocker密钥的文件的功能。
https://checkmarx.com/blog/stackexchange-abused-to-spread-malicious-python-package-that-drains-victims-crypto-wallets/
4 超2万台暴露在互联网的VMware ESXi实例受影响
根据研究人员报告,超过20000台暴露在互联网的VMware ESXi服务器受CVE-2024-37085漏洞影响。微软本周警告称,多个勒索软件团伙正在利用这一近期修补的漏洞(CVSS评分为6.8)在VMware ESXi中进行攻击。CVE-2024-37085是VMware ESXi中的身份验证绕过漏洞。恶意行为者通过拥有足够的Active Directory(AD)权限,可以重新创建已从AD中删除的配置AD组(默认情况下为“ESXi Admins”),从而获得对ESXi主机的完全访问权限。微软报告称,多个以财务为动机的团伙如Storm-0506、Storm-1175和Octo Tempest已利用此漏洞部署勒索软件。
https://www.microsoft.com/en-us/security/blog/2024/07/29/ransomware-operators-exploit-esxi-hypervisor-vulnerability-for-mass-encryption/
5 最新数据表明勒索软件攻击不再关注大品牌
据研究人员报告称,4月至6月间监控到的所有勒索软件攻击中,10%来自独立操作员,这是一个巨大的激增。这些黑客很可能是Alphv(又名BlackCat)或LockBit的前附属黑客,或因“有毒”勒索软件品牌的曝光、干扰和利润损失风险增加而决定独立行动。并非所有被解散的勒索软件团伙的前附属黑客都选择独立行动。今年早些时候,一名受害者向Dark Angels勒索软件团伙支付了迄今为止最高的公开勒索金额——7500万美元。Dark Angels自2022年5月起运营,运行Dunghill数据泄漏网站,但“引起的关注非常少”。勒索软件攻击的不断创新突显了其盈利驱动,医院、血库、学校和关键基础设施的反复攻击就是证明。近年来,随着勒索软件即服务(RaaS)组织的兴起,创新不断。这些组织将开发加密锁定恶意软件、运行数据泄漏基础设施和处理谈判的操作员与使用恶意软件攻击目标的附属黑客配对,通常附属黑客可获得每次勒索金额的70%或80%。
https://www.coveware.com/blog/2024/7/29/ransomware-actors-pivot-away-from-major-brands-in-q2-2024
6 Cencora确认2月攻击中患者健康信息被窃取
制药巨头Cencora确认,在今年2月的一次网络攻击中,患者的受保护健康信息(PHI)和个人身份信息(PII)被泄露。Cencora在2月首次披露网络攻击时警告称,威胁行为者窃取了个人信息。在周三提交给美国证券交易委员会(SEC)的FORM 8-K文件中,Cencora确认了受保护健康信息和个人身份信息也被窃取。这是Cencora首次确认受保护健康信息被泄露。然而,与Cencora合作的一些美国最大制药公司已经披露,在此次攻击中患者健康信息被泄露。这些信息包括患者的名字、地址、出生日期、健康诊断以及药物和处方。受到此次数据泄露影响的制药公司包括诺华、拜耳、艾伯维、再生元制药、基因泰克、英赛特药业、住友制药美国、阿卡迪亚制药、葛兰素史克集团、安道药业和丹德隆制药。
https://www.bleepingcomputer.com/news/security/cencora-confirms-patient-health-info-stolen-in-february-attack/
发表评论