Bling Libra计谋转变:从数据偷窃到云勒索

宣布时间 2024-08-29
1. Bling Libra计谋转变:从数据偷窃到云勒索


8月27日 ,Unit 42网络宁静团队揭示 ,污名昭著的Bling Libra威胁组织已显著转变其计谋 ,从以往通过地下市场贩卖窃取数据 ,转变为针对云环境实施勒索攻击 。这一变化尤为令人担忧 ,因为Bling Libra已乐成利用AWS凭证入侵多家企业的云账户 ,特别是通过Amazon S3资源 。他们精心筹谋的入侵行动 ,包罗细致的数据探索和隐蔽的活动追踪 ,使得攻击初期难以被察觉 。利用S3浏览器和WinSCP等工具 ,Bling Libra不仅绘制了受害者的存储桶结构 ,还删除了要害数据 ,进一步加剧了损失 。愈甚者 ,在完成破坏后 ,该组织创建了讥笑性的新S3存储桶 ,并提倡勒索邮件 ,要求支付赎金以恢复数据和停止攻击 。Unit 42的陈诉深入分析了这些工具的使用方式 ,为防御者提供了识别恶意活动的线索 。鉴于云服务的普及 ,陈诉强调组织应接纳最小特权原则和强化宁静措施 ,如利用IAM访问分析和AWS服务控制计谋 ,以有效抵御此类高级威胁 。


https://securityonline.info/bling-libras-tactical-evolution-exploiting-cloud-misconfigurations-for-extortion/


2. Poortry工具集进化:从EDR杀手到全面擦除者


8月27日 ,Sophos X-Ops最新陈诉揭示了恶意工具集Poortry的最新进展 ,该工具旨在针对Windows系统上的端点检测和响应(EDR)软件提倡攻击 。自2022年被Mandiant发现以来 ,Poortry通过其加载法式“Stonestop”成为多个勒索软件组织的要害工具 ,不停进化以逃避检测 。最新版本的Poortry不仅限于禁用EDR软件 ,更能从磁盘中彻底清除宁静软件的要害组件 ,从而为其背后的勒索软件攻击扫清门路 。Poortry的核心计谋是利用Windows内核模式驱动法式的广泛权限 ,通过解除挂钩和终止�;そ汤慈乒不� 。其开发者利用多种要领绕过代码签名验证 ,包罗滥用泄露的证书、伪造时间戳以及实验直接通过Microsoft的WHQL证明签名流程获取合法证书 。尽管面临微软和Sophos的曝光与封堵 ,Poortry依然通过灵活调整计谋保持活跃 。尤为值得关注的是 ,Poortry在2024年7月的一次事件中首次展示了其删除EDR组件的新能力 ,这显著增加了组织面临的风险 。


https://securityonline.info/poortry-edr-killer-evolves-now-wipes-security-software-from-windows-systems/


3. Park'N Fly遭黑客入侵 ,百万客户数据泄露


8月27日 ,Park'N Fly是加拿大知名机场外停车服务提供商 ,近期遭遇严重数据泄露事件 ,约100万客户的个人信息被黑客非法获取 。威胁者利用窃取的VPN凭证 ,在7月中旬侵入公司网络 ,并在7月11日至13日期间实施了未授权访问 。泄露的信息包罗客户全名、电子邮件、住址、航班号及民航局号码 ,但幸运的是 ,财政和支付卡信息未被波及 。Park'N Fly迅速接纳行动 ,五天内恢复了受影响的系统 ,并加强了宁静措施以防止未来类似事件的发生 。公司CEO卡罗·马雷洛向客户及合作伙伴致歉 ,并允许将全力�;び没畔� 。受影响的客户在社交媒体上表达了对数据泄露的担忧 ,并对公司数据保留政策提出质疑 。Park'N Fly提醒所有受影响的客户保持高度警惕 ,防范潜在的网络钓鱼攻击 。


https://www.bleepingcomputer.com/news/security/parkn-fly-notifies-1-million-customers-of-data-breach/


4. 利用Atlassian Confluence漏洞CVE-2023-22527进行加密劫持


8月28日 ,Trend Micro 研究人员揭示了针对 Atlassian Confluence 数据中心和服务器版本的严重漏洞(CVE-2023-22527)的广泛加密劫持活动 。该漏洞于2024年1月16日由Atlassian果然 ,其CVSS评分为满分10 ,表明其极高危害性 。该漏洞通过模板注入机制 ,允许未授权攻击者远程执行代码 ,控制服务器 。自2024年6月中旬起 ,利用此漏洞的加密货币挖掘攻击急剧增加 ,主要由三个威胁行为者主导 ,他们接纳差异计谋部署XMRig挖矿机 ,盗用计算资源以牟利 。其中一个行为者直接利用ELF文件负载部署挖矿机 ,而另一行为者则接纳庞大手段 ,通过SSH脚本渗透系统 ,清除竞争挖矿进程 ,禁用云宁静服务 ,并收集敏感信息以扩大攻击范围 。这些行为者还通过创建多个cron作业来维持对受熏染服务器的控制 ,确保挖矿活动连续进行 ,并消除潜在的宁静障碍 。为应对此威胁 ,管理员应立即更新Confluence至最新版本 ,并强化宁静措施 。


https://www.trendmicro.com/en_us/research/24/h/cve-2023-22527-cryptomining.html


5. BlackByte 勒索软件新攻势:利用VMware ESXi漏洞与VPN访问


8月29日 ,BlackByte 勒索软件组织正借助新发现的 VMware ESXi 漏洞及VPN访问途径 ,对全球企业提倡新一轮猛烈攻击 。思科Talos 团队揭露了其攻击计谋 ,BlackByte 不仅利用CVE-2024-37085漏洞绕过身份验证 ,还通过VPN等远程访问机制隐秘渗透 ,以低可见性方式扩大熏染范围 。该组织还擅长利用窃取的Active Directory凭据自我流传 ,加剧了其破坏力 。尽管其果然数据泄露网站仅展示部门攻击案例 ,但Talos 研究显示其实际活动远超预期 。制造业、运输/仓储、专业服务、信息技术及公共行政成为其重点攻击目标 。为应对此威胁 ,组织需紧急修补VMware ESXi等系统 ,实施MFA ,审核VPN配置 ,并限制要害网络访问 。同时 ,禁用或限制NTLM使用 ,部署高效的端点检测和响应系统 ,并构建全面的宁静计谋 ,融合主动威胁情报与事件响应能力 ,以全面抵御BlackByte等勒索软件的侵害 。


https://hackread.com/blackbyte-ransomware-vmware-flaw-vpn-based-attacks/


6. 伊朗APT33利用Tickler恶意软件攻击美国政府和国防等机构


8月28日 ,伊朗黑客组织APT33 ,别名Peach Sandstorm和Refined Kitten ,近年来频繁发动网络攻击 ,其最新手段涉及使用新型Tickler恶意软件 ,重点针对美国和阿联酋的政府、国防、卫星、石油及天然气部门的组织 。2024年4月至7月间 ,该组织通过Microsoft Azure基础设施实施命令与控制(C2) ,利用欺诈性Azure订阅进行情报收集 。此前 ,APT33已乐成利用密码喷洒攻击侵入国防、航天、教育及政府部门 ,尤其是通过教育行业盗用账户来获取Azure资源 。此外 ,APT33在2023年还接纳类似计谋 ,利用FalseFont后门恶意软件攻击全球国防承包商 。微软对此类攻击保持高度警惕 ,指出APT33自2023年2月以来 ,已对全球数千个组织进行了大规模密码喷洒攻击 ,威胁领域进一步扩展到制药业 。为应对这一威胁 ,微软宣布自10月15日起 ,所有Azure登录实验均需通过多重身份验证(MFA) ,旨在显著增强账户宁静性 。


https://www.bleepingcomputer.com/news/security/APT33-Iranian-hacking-group-uses-new-tickler-malware-to-backdoor-us-govt-defense-orgs/