TA544利用WikiLoader针对意大利的企业分发Ursnif
发布时间 2023-08-021、TA544利用WikiLoader针对意大利的企业分发Ursnif
Proofpoint在7月31日披露了利用新恶意软件WikiLoader针对意大利企业的攻击活动。WikiLoader是一个复杂的下载程序,因为它会向Wikipedia发出请求并检查响应内容中是否包含字符串“The Free”而得名。Proofpoint于2022年12月27日首次在野外检测到该恶意软件,由TA544传播。研究人员称,至少有8个活动在分发WikiLoader,来自TA544和TA551,均针对意大利的组织。此外,虽然大多数攻击者已不再使用启用宏的文档来传播恶意软件,但TA544仍在攻击链中使用它们,包括传播WikiLoader。
https://www.proofpoint.com/us/blog/threat-insight/out-sandbox-wikiloader-digs-sophisticated-evasion
2、美国服饰公司Hot Topic遭到撞库攻击泄露客户的信息
据媒体8月1日报道,美国服饰及授权音乐零售连锁店Hot Topic透露其遭到了多起攻击事件,导致客户的敏感信息泄露。该公司在美国拥有675家商店,以及每月近1000万访问量的在线商店。该公司解释说,黑客使用窃取的帐户凭据多次访问了Rewards平台,可能获得了客户的数据。经调查,攻击者于2023年2月7日、3月11日、5月19日至21日、5月27日至28日和6月18日至21日,使用有效帐户凭据对网站和移动应用执行了自动攻击。该公司表示,Hot Topic不是泄露凭证的来源,但也无法找到来源。
https://www.bleepingcomputer.com/news/security/retail-chain-hot-topic-discloses-wave-of-credential-stuffing-attacks/
3、Henry Ford Health遭钓鱼攻击近17万患者信息泄露
据7月27日报道,美国的学术医疗机Henry Ford Health称其3名员工遭到钓鱼攻击,影响了168215个患者的信息。该机构在声明中表示,攻击事件发生于3月30日,该组织已将被影响的电子邮件帐户保护起来并展开调查。5月16,确定患者的健康信息包含在电子邮箱中,并且可能已被攻击者窃取,涉及姓名、实验室结果、手术类型、诊断、电话号码、病历号和内部跟踪号等信息。该公司表示,他们正在实施额外的安全措施,并将为员工提供安全培训。
https://www.bankinfosecurity.com/phishing-scam-affects-nearly-170k-henry-ford-health-patients-a-22672
4、Cado发现可针对Redis服务器的P2PInfect蠕虫新变体
7月31日,Cado发现了一种针对Redis的新型恶意软件活动。该恶意软件被开发者命名为P2Pinfect,用Rust开发,充当僵尸网络代理。研究人员分析的样本包括一个嵌入式PE文件以及一个ELF二进制文件,这表明了Windows和Linux之间具有跨平台兼容性。它还利用复制功能来攻击Redis数据存储的实例。此外,P2Pinfect试图通过Cron未经身份验证的RCE机制攻击Redis主机。该活动背后的攻击者身份尚不清楚,P2PInfect的目的也不清楚。
https://www.cadosecurity.com/redis-p2pinfect/
5、Minecraft mod漏洞BleedingPipe已被大规模利用
媒体7月31日报道称,黑客正在利用Minecraft mod中的RCE漏洞BleedingPipe在服务器和客户端执行恶意命令,从而控制设备。BleedingPipe漏洞最初于2022年3月被利用,但很快就被mod开发者修复了。然而在7月早些时候,Forge论坛的一篇帖子称,有人利用未知RCE来大规模窃取玩家的Discord和Steam会话cookie。进一步研究发现,多个Minecraft mod中也存在BleedingPipe漏洞。攻击者正在扫描受该漏洞影响的Minecraft服务器并执行攻击,因此修复服务器上易被攻击的mod至关重要。
https://www.bleepingcomputer.com/news/security/hackers-exploit-bleedingpipe-rce-to-target-minecraft-servers-players/
6、Bahamut通过假冒的Android应用SafeChat窃取信息
7月28日,CYFIRMA称其发现了一个可疑的Android恶意软件,伪装成虚假的聊天应用SafeChat,窃取手机的通话记录、短信和GPS位置等数据。该恶意软件被怀疑是Coverlm的变种,会窃取Telegram、Signal、WhatsApp、Viber和Facebook Messenger等通讯应用的数据。该活动与印度黑客团伙Bahamut有关,主要通过WhatsApp上的鱼叉式钓鱼消息进行,主要针对南亚地区。此外,该活动与印度的另一个黑客团伙DoNot的活动有相似之处。
https://www.cyfirma.com/outofband/apt-bahamut-targets-individuals-with-android-malware-using-spear-messaging/
京公网安备11010802024551号