Lancefly利用后门Merdoor攻击南亚和东南亚的组织
发布时间 2023-05-171、Lancefly利用后门Merdoor攻击南亚和东南亚的组织
Symantec在5月15日披露了APT组织Lancefly针对南亚和东南亚的政府、航空和电信组织的攻击活动。自2018年以来,Lancefly一直在针对性的攻击活动中分发隐蔽的自定义后门Merdoor,以在目标网络上建立持久性、执行命令和记录键盘。一旦进入目标系统,攻击者就会通过DLL侧载将Merdoor后门注入合法进程perfhost.exe或svchost.exe,旨在绕过检测。此外,攻击活动还使用了更新版本的ZXShell rootkit。
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lancefly-merdoor-zxshell-custom-backdoor
2、Check Point发现Camaro Dragon攻击欧洲外交组织的活动
5月16日,Check Point称其发现了Camaro Dragon通过感染住宅TP-Link路由器,来攻击欧洲外交事务组织的活动。尚未确定攻击者如何使用恶意固件镜像感染TP-Link路由器,但可能是通过漏洞利用或暴力破解管理员凭据。调查发现了两个木马化固件镜像样本,与合法版本进行比较,发现内核和uBoot部分是相同的。但是,恶意固件使用了一个自定义的SquashFS文件系统,该系统包含额外的恶意文件组件,作为Horse Shell后门的一部分。
https://research.checkpoint.com/2023/the-dragon-who-sold-his-camaro-analyzing-custom-router-implant/
3、航空公司airBaltic将部分乘客的预订信息发送给其他人
据媒体5月15日报道,拉脱维亚的旗舰航空公司airBaltic因技术错误,将部分乘客的预订信息发送给其他乘客。5月14日,多名airBaltic乘客称其收到了发给其他人的电子邮件。泄露信息包括姓名、出生日期和邮件地址等。airBaltic透露该事件并非由网络攻击引起,5月12日,在airBaltic的邮件分发系统中检测到内部技术问题,因此少数乘客(约占0.009%的预订)收到了错误的邮件。
https://www.bleepingcomputer.com/news/security/airline-exposes-passenger-info-to-others-due-to-a-technical-error/
4、Cisco披露RA Group针对美国和韩国公司的攻击活动
Cisco Talos于5月15日披露了新勒索团伙RA Group的攻击活动,入侵了三个美国的组织和一个韩国的组织。该活动至少从4月22日开始活跃,涉及多个垂直行业,包括制药、保险、财富管理和制造公司。攻击者使用了泄露的勒索软件Babuk的源代码。RA Group的加密程序采用间歇加密,加密数据时,会使用curve25519和eSTREAM cipher hc-128算法。研究人员透露该活动正处于早期阶段。
https://blog.talosintelligence.com/ra-group-ransomware/
5、Academy Mortgage遭到BlackCat团伙的勒索攻击
媒体5月15日报道,Academy Mortgage遭到了勒索团伙BlackCat的攻击。在同意支付3850万美元以解决联邦指控的几个月后,Academy Mortgage又遭到了勒索攻击。5月14日,勒索团伙将Academy Mortgage添加到其网站,称其获得了机密数据并准备发布,包括客户/合作伙伴的数据、个人信息、财务和机密数据等。攻击者还提到了该公司之前的麻烦,称考虑到贵公司在2022年12月面临的指控,数据泄露可能会对公司的声誉和信誉造成毁灭性影响。BlackCat表示该公司拒绝支付任何费用。
https://www.databreaches.net/only-months-after-dealing-with-one-problem-academy-mortgage-gets-hit-with-a-ransomware-attack/
6、Group-IB发布关于勒索软件Qilin的技术分析报告
5月15日,Group-IB发布了关于勒索软件Qilin的RaaS程序的分析报告。Qilin,又名Agenda,在2022年8月被发现,一直针对关键行业的公司,使用Rust和Go语言(Golang)开发的勒索软件。3月,Group-IB发现Qilin在RaaS模式下运作,并为其附属组织提供管理面板,分为argets、Blogs、Stuffers、News、Payments和FAQs等部分,以更有效地管理攻击。据悉,这些附属组织可从每笔赎金中赚取80%至85%的收益。
https://www.group-ib.com/blog/qilin-ransomware/
京公网安备11010802024551号