Lancefly利用后门Merdoor攻击南亚和东南亚的组织

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Lancefly利用后门Merdoor攻击南亚和东南亚的组织

宣布时间 2023-05-17

1、Lancefly利用后门Merdoor攻击南亚和东南亚的组织

Symantec在5月15日披露了APT组织Lancefly针对南亚和东南亚的政府、航空和电信组织的攻击活动。自2018年以来，Lancefly一直在针对性的攻击活动中分发隐蔽的自界说后门Merdoor，以在目标网络上建立持久性、执行命令和记录键盘。一旦进入目标系统，攻击者就会通过DLL侧载将Merdoor后门注入合法进程perfhost.exe或svchost.exe，旨在绕过检测。此外，攻击活动还使用了更新版本的ZXShell rootkit。

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lancefly-merdoor-zxshell-custom-backdoor

2、Check Point发现Camaro Dragon攻击欧洲外交组织的活动

5月16日，Check Point称其发现了Camaro Dragon通过熏染住宅TP-Link路由器，来攻击欧洲外交事务组织的活动。尚未确定攻击者如何使用恶意固件镜像熏染TP-Link路由器，但可能是通过漏洞利用或暴力破解管理员凭据。视察发现了两个木马化固件镜像样本，与合法版本进行比力，发现内核和uBoot部门是相同的。但是，恶意固件使用了一个自界说的SquashFS文件系统，该系统包罗特别的恶意文件组件，作为Horse Shell后门的一部门。

https://research.checkpoint.com/2023/the-dragon-who-sold-his-camaro-analyzing-custom-router-implant/

3、航空公司airBaltic将部门搭客的预订信息发送给其他人

据媒体5月15日报道，拉脱维亚的旗舰航空公司airBaltic因技术错误，将部门搭客的预订信息发送给其他搭客。5月14日，多名airBaltic搭客称其收到了发给其他人的电子邮件。泄露信息包罗姓名、出生日期和邮件地址等。airBaltic透露该事件并非由网络攻击引起，5月12日，在airBaltic的邮件分发系统中检测到内部技术问题，因此少数搭客（约占0.009%的预订）收到了错误的邮件。

https://www.bleepingcomputer.com/news/security/airline-exposes-passenger-info-to-others-due-to-a-technical-error/

4、Cisco披露RA Group针对美国和韩国公司的攻击活动

Cisco Talos于5月15日披露了新勒索团伙RA Group的攻击活动，入侵了三个美国的组织和一个韩国的组织。该活动至少从4月22日开始活跃，涉及多个垂直行业，包罗制药、保险、财富管理和制造公司。攻击者使用了泄露的勒索软件Babuk的源代码。RA Group的加密法式接纳间歇加密，加密数据时，会使用curve25519和eSTREAM cipher hc-128算法。研究人员透露该活动正处于早期阶段。

https://blog.talosintelligence.com/ra-group-ransomware/

5、Academy Mortgage遭到BlackCat团伙的勒索攻击

媒体5月15日报道，Academy Mortgage遭到了勒索团伙BlackCat的攻击。在同意支付3850万美元以解决联邦指控的几个月后，Academy Mortgage又遭到了勒索攻击。5月14日，勒索团伙将Academy Mortgage添加到其网站，称其获得了机密数据并准备宣布，包罗客户/合作伙伴的数据、个人信息、财政和机密数据等。攻击者还提到了该公司之前的麻烦，称考虑到贵公司在2022年12月面临的指控，数据泄露可能会对公司的声誉和信誉造成毁灭性影响。BlackCat体现该公司拒绝支付任何用度。

https://www.databreaches.net/only-months-after-dealing-with-one-problem-academy-mortgage-gets-hit-with-a-ransomware-attack/

6、Group-IB宣布关于勒索软件Qilin的技术分析陈诉

5月15日，Group-IB宣布了关于勒索软件Qilin的RaaS法式的分析陈诉。Qilin，又名Agenda，在2022年8月被发现，一直针对要害行业的公司，使用Rust和Go语言（Golang）开发的勒索软件。3月，Group-IB发现Qilin在RaaS模式下运作，并为其隶属组织提供管理面板，分为argets、Blogs、Stuffers、News、Payments和FAQs等部门，以更有效地管理攻击。据悉，这些隶属组织可从每笔赎金中赚取80%至85%的收益。

https://www.group-ib.com/blog/qilin-ransomware/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究