法国政府网站因严重的分布式拒绝服务攻击而中断
发布时间 2024-03-133月12日,总理加布里埃尔·阿塔尔办公室的一份声明承认,截至周日晚间,一些网站已陷入困境,并提到了前所未有的强度的常规攻击。该语言似乎指的是分布式拒绝服务攻击,而 Cloudflare 的Radar服务恰好检测到了此类攻击。Cloudflare 报告称,该事件于周日凌晨开始,迅速升级,短暂消退,然后又卷土重来,持续了大约六个小时的重大攻击。法国的数字化转型机构——部际数字理事会 (DINUM) 争先恐后地设置障碍来抵御攻击。匿名苏丹声称对这次袭击负责,然后声称DINUM 的防御无效,干扰仍在继续。Cloudflare 的数据显示,第 7 层攻击在周一和周二激增。这种不满可能还会持续下去。Cloudflare 的 Radar 上周报告了规模较小的 DDoS 攻击,但这些攻击并未成为新闻,也没有严重扰乱法国政府的运作。据报道,上周日的袭击影响了总理府、民航局和经济部。
https://www.theregister.com/2024/03/12/france_ddos/
2. KrustyLoader 后门攻击 Windows 和 Linux 系统
3月12日,网络安全领域的最新发展包括 KrustyLoader 的出现,这是一种基于 Rust 的复杂后门,引起了多个行业专家的注意。这种恶意软件拥有 Windows 和 Linux 变体,涉及一系列有针对性的攻击,对跨平台的网络安全防御产生重大影响。KrustyLoader 的Linux 变体因其针对 Avanti 设备的针对性攻击而在 2023 年底和 2024 年初成为头条新闻。这些攻击被认为是中国关系威胁组织 UNC5221 所为。该组织利用了两个严重漏洞CVE- 2024-21887和CVE-2023-46805,允许在 Ivanti Connect Secure (ICS) 和 Ivanti Policy Secure Gateway 设备上进行未经身份验证的远程代码执行 (RCE) 或身份验证绕过。利用这些漏洞促进了 KrustyLoader 的下载和执行,随后部署了利用后工具包 Sliver。尽管针对这些漏洞发布了补丁,但未修补的系统仍然面临风险。
https://gbhackers.com/krustyloader-backdoor/
3. Infostealer 伪装成 Adobe Reader 安装程序
3月12日,AhnLab 安全情报中心 (ASEC) 最近发现了伪装成 Adobe Reader 安装程序的信息窃取程序的分布。威胁参与者以 PDF 形式分发文件,提示用户下载并运行该文件。假冒的PDF文件是用葡萄牙语编写的,消息告诉用户下载并安装Adobe Reader。通过告诉用户需要 Adobe Reader 才能打开该文件,它会提示用户下载恶意软件并进行安装。下载的文件采用Adobe Reader图标的形式,其名称设置为Reader_Install_Setup.exe。通过伪装 Adobe Reader 安装程序,它会提示用户运行它。默认情况下,Windows 系统将路径“%AppData%\Local\Microsoft\WindowsApps”注册为 PATH 环境变量。因此,当 sdiagnhost.exe 进程加载 BluetoothDiagnosticUtil.dll 时,就会加载恶意 DLL 文件。通过上述过程,威胁参与者可以通过 DLL 劫持绕过用户帐户控制 (UAC)。
https://asec.ahnlab.com/en/62853/
4. Equilend 警告员工他们的数据被勒索软件团伙窃取
3月11日,总部位于纽约的证券借贷平台 EquiLend Holdings 在发给员工的数据泄露通知信中证实,他们的数据在 1 月份的勒索软件攻击中被盗。这家金融科技公司于 1 月 24 日告诉 BleepingComputer,它被迫在两天前(即 1 月 22 日)关闭部分系统,以遏制违规行为。虽然 Equilend 没有立即披露事件的性质,但 LockBit 勒索软件在给彭博社的一份声明中声称对此次攻击负责。尽管这家金融科技公司没有证实 LockBit 的说法,但它于 2 月 2 日通过一个专门页面透露了有关该事件的更多信息,称 1 月份的泄露是由勒索软件攻击造成的。
https://www.bleepingcomputer.com/news/security/equilend-warns-employees-their-data-was-stolen-by-ransomware-gang/#google_vignette
5. BIANLIAN 在勒索攻击中利用 JETBRAINS TEAMCITY 漏洞
3月11日,GuidePoint Security 的研究人员在调查最近与BianLian勒索软件组织相关的攻击时注意到,威胁行为者通过利用 TeamCity 服务器中的缺陷获得了对目标的初始访问权限。BianLian 勒索软件于 2022 年 8 月出现,该恶意软件被用来攻击各个行业的组织,包括制造、媒体和娱乐以及医疗保健。2023 年 1 月,安全公司 Avast发布了BianLian 勒索软件的免费解密器,允许恶意软件的受害者恢复锁定的文件。研究人员调查的攻击背后的威胁行为者利用 TeamCity 缺陷 CVE-2024-27198 或 CVE-2023-42793 来获得对受害者环境的初始访问权限。攻击者在易受攻击的服务器上创建新用户并执行恶意命令以进行后利用和横向移动。然后,威胁行为者在目标环境中发现了两个构建服务器,他们从这些服务器扩大了在受害者组织中的立足点,并转向进一步利用。研究人员注意到,BianLian 组织多次尝试执行他们的自定义 GO 后门,但都失败了,然后转向靠土地为生,并利用 PowerShell 实现他们的后门。
https://securityaffairs.com/160357/hacking/bianlian-group-ttack-jetbrains-teamcity.html?web_view=true
6. 新银行木马 CHAVECLOAK 通过网络钓鱼策略瞄准巴西用户
3月11日,巴西的用户是一种名为CHAVECLOAK的新型银行木马的目标,该木马通过带有 PDF 附件的网络钓鱼电子邮件进行传播。Fortinet FortiGuard 实验室研究员 Cara Lin表示:“这种复杂的攻击涉及 PDF 下载 ZIP 文件,然后利用 DLL 侧面加载技术来执行最终的恶意软件。”攻击链涉及使用以合同为主题的 DocuSign 诱饵来诱骗用户打开包含用于阅读和签署文档的按钮的 PDF 文件。实际上,单击该按钮会导致从使用 Goo.su URL 缩短服务缩短的远程链接检索安装程序文件。安装程序中存在一个名为“Lightshot.exe”的可执行文件,它利用 DLL 侧面加载来加载“Lightshot.dll”,这是一种有助于窃取敏感信息的 CHAVECLOAK 恶意软件。这包括收集系统元数据并运行检查以确定受感染的计算机是否位于巴西,如果是,则定期监视前台窗口以将其与银行相关字符串的预定义列表进行比较。
https://thehackernews.com/2024/03/new-banking-trojan-chavecloak-targets.html
京公网安备11010802024551号