黑客利用CR4T后门瞄准中东地区的政府机构
发布时间 2024-04-224月20日,CR4T(“CR4T.pdb”)是一种基于 C/C++ 的纯内存植入程序,允许攻击者访问控制台,以便在受感染的计算机上执行命令行、执行文件操作以及在联系 C2 服务器后上传和下载文件。卡巴斯基表示,它还发现了具有相同功能的 Golang 版本的 CR4T,此外还具有执行任意命令和使用Go-ole 库创建计划任务的能力。最重要的是,Golang CR4T 后门可以利用COM 对象劫持技术实现持久性,并利用 Telegram API 进行 C2 通信。俄罗斯网络安全公司卡巴斯基表示,它于 2024 年 2 月发现了该活动,有证据表明该活动可能至少从一年前就开始活跃。该活动的代号为DuneQuixote。Golang 变体的存在表明,DuneQuixote 背后的身份不明的威胁参与者正在积极利用跨平台恶意软件改进他们的攻击方式。
https://thehackernews.com/2024/04/hackers-target-middle-east-governments.html
2. Frontier Communications 在网络攻击后关闭系统
4月20日,电信巨头 Frontier Communications 已通知美国证券交易委员会 (SEC),某些系统在网络攻击后被关闭。该事件是在 4 月 14 日发现的,当时第三方“未经授权访问了其部分信息技术环境。Frontier 表示,它立即启动了事件响应协议,并采取措施控制事件,包括关闭某些系统,这“导致了可能被视为重大的运营中断”。据 Frontier 称,这次攻击很可能是一个网络犯罪组织所为,该组织获得了各种类型的数据,包括个人身份信息。该公司还指出,它已通知执法部门,该事件可能不会对其财务状况或运营业绩产生重大影响。虽然 Frontier 没有说明它遭受了哪种类型的网络攻击,但很可能涉及文件加密勒索软件,因为关闭系统是对勒索软件的典型响应。这家电信巨头还在其网站上发布了通知,告知访问者它正在经历“我们的内部支持系统的技术问题”。客户的互联网服务并未受到攻击的影响,但仅通过电话提供帮助。
https://www.securityweek.com/frontier-communications-shuts-down-systems-following-cyberattack/
3. 联合国开发计划署 (UNDP) 调查其勒索软件攻击事件
4月21日,联合国开发计划署 (UNDP) 正在调查威胁行为者入侵其 IT 系统窃取人力资源数据后发生的网络攻击。联合国开发计划署是联合国的全球发展网络,在 170 多个国家和地区开展工作,依靠联合国成员国和私营部门/多边组织的捐款来帮助消除贫困、消除不平等和排斥。3 月 27 日,开发署收到威胁情报通知,称一名数据勒索者窃取了数据,其中包括某些人力资源和采购信息,联合国开发计划署目前正在调查该事件的性质和范围,并评估此次攻击对信息被盗个人的影响。它还向受该漏洞影响的人发出警报,目前正在与他们合作,以便他们能够保护自己的个人信息免遭滥用。虽然联合国机构尚未将此次攻击与特定威胁组织联系起来,但 8Base 勒索软件团伙于 3 月 27 日在其暗网数据泄露网站上添加了新的 UNDP 条目。攻击者表示,他们的操作员在泄露期间设法泄露的文件包含大量敏感信息。
https://www.bleepingcomputer.com/news/security/united-nations-agency-investigates-ransomware-attack-claimed-by-8Base-gang/
4. MITRE 遭遇网络攻击,黑客利用 Ivanti 零日漏洞
4月19日,网络安全研究和开发领域的领先组织 MITRE 最近披露了一起复杂的网络漏洞,凸显了现代网络威胁不断演变的性质以及强有力的网络安全措施的重要性。该事件于 2024 年 4 月得到证实,涉及 MITRE 的网络实验、研究和虚拟化环境 (NERVE) 的泄露,NERVE 是一个用于研究、开发和原型设计的协作网络。在检测到可疑活动后,MITRE 立即采取行动控制事件,包括使 NERVE 环境下线,并在内部和领先的第三方专家的支持下展开调查。检测到漏洞后,MITRE 联系了当局,通知了受影响的各方,并正在努力恢复以安全方式进行协作的操作替代方案。调查正在进行中,以确定可能被泄露的信息范围。该公司承诺随着调查的继续和结束,分享更多信息。随着调查正在进行中,MITRE提到,没有迹象表明MITRE的核心企业网络或合作伙伴的系统受到此事件的影响。
https://www.cyberkendra.com/2024/04/mitre-suffers-cyber-breach-hacker.html#google_vignette
5. MadMxShell 以 IT 团队为目标开展恶意广告活动
4月21日,在网络攻击不断演变的背景下,新发现的名为“MadMxShell”的后门对 IT 安全构成了独特的威胁。Zscaler ThreatLabz最近的一份报告详细介绍了这个后门,它经过精心设计,旨在逃避检测,同时针对负责组织网络防御的个人。MadMxShell 活动体现了高级网络犯罪分子的狡猾和耐心。攻击者精心创建欺诈性网站,模仿 IT 专业人员常用的合法软件(例如网络扫描仪和系统管理工具)的外观。雪上加霜的是,这些虚假网站还利用 Google Ads 进行积极推广,将其推至搜索结果的顶部,并提高了目标受众的可见度。针对 IT 专业人员的精心选择意味着可能造成广泛的损害。这些人拥有对敏感系统和网络数据的访问权限。受到 MadMxShell 攻击的 IT 团队可能会为攻击者提供破坏性破坏的手段,甚至为他们提供宝贵的访问权限以将其出售给其他犯罪集团。
https://securityonline.info/stealthy-madmxshell-backdoor-targets-it-teams-in-malvertising-campaign/
6. 新的 RedLine Stealer 变种伪装成游戏外挂进行攻击
4月22日,迈克菲实验室的调查结果显示,已经发现一种新的信息窃取程序利用 Lua 字节码来增强隐蔽性和复杂性。该网络安全公司已将其评估为名为 RedLine Stealer 的已知恶意软件的变体,因为命令与控制 (C2) 服务器IP 地址之前已被识别为与该恶意软件相关。RedLine Stealer于 2020 年 3 月首次记录,通常通过电子邮件和恶意广告活动直接或通过漏洞利用工具包和加载器恶意软件(如dotRunpeX和HijackLoader )传播。这种现成的恶意软件能够从加密货币钱包、VPN 软件和网络浏览器中收集信息,例如保存的凭据、自动完成数据、信用卡信息和基于受害者 IP 地址的地理位置。多年来,RedLine Stealer 已被多个威胁参与者纳入其攻击链,使其成为横跨北美、南美、欧洲、亚洲和澳大利亚的流行病毒。McAfee 发现的感染序列滥用了 GitHub,使用 Microsoft 的两个官方存储库来实现 C++ 标准库 ( STL ) 和vcpkg,以 ZIP 存档的形式托管充满恶意软件的有效负载。
https://thehackernews.com/2024/04/new-redline-stealer-variant-disguised.html
京公网安备11010802024551号