黑客利用MeduzaStealer恶意软件攻击乌克兰征兵应用用户

首页 > 宁静研究 > 宁静通报 > 宁静简讯

黑客利用MeduzaStealer恶意软件攻击乌克兰征兵应用用户

宣布时间 2024-10-18

1. 黑客利用MeduzaStealer恶意软件攻击乌克兰征兵应用用户

10月16日，黑客利用MeduzaStealer恶意软件针对乌克兰潜在征兵工具提倡攻击。他们通过Telegram流传该恶意软件，伪装成乌克兰新政府应用法式Reserve+的技术支持机器人，诱骗用户上传包罗恶意文件的ZIP档案。一旦文件被打开，MeduzaStealer就会熏染目标设备，窃取具有特定扩展名的文档，并随后自我删除。Reserve+应用允许乌克兰有义务服兵役的男性在线更新个人数据，由于收集的数据敏感，已成为黑客的攻击目标。截至7月，已有凌驾450万乌克兰人使用该应用更新数据。乌克兰国防部已陈诉发现假冒的Reserve+应用法式，可能旨在收集个人数据用于袭击或信息和心理行动。此前，与俄罗斯有关的黑客也曾滥用流行移动应用法式和通讯工具攻击乌克兰军事人员。

https://therecord.media/hackers-target-ukraine-draftees-meduzastealer-malware-telegram

2. 新型勒索软件滥用AWS窃取数据，跨平台流传难防控

10月16日，网络宁静研究人员在Trend Micro的陈诉中揭示了一个庞大的勒索软件操作，该操作利用亚马逊网络服务（AWS）基础设施来窃取敏感数据。这种新型勒索软件模仿了污名昭著的LockBit勒索软件家族，但实际上是一个完全差异的实体。攻击者通过AWS的S3传输加速（S3TA）功效，使用硬编码的AWS凭证在攻击者控制的Amazon S3存储桶中上传受害者数据，以实现更快的远距离数据传输。在攻击结束时，设备的壁纸会酿成一张提到LockBit的图像，以增加受害者遵守赎金要求的压力。该勒索软件以Go编程语言编写，具有跨平台特性，能够针对Windows和macOS环境，使其用途广泛且难以控制。AWS已暂停此勒索软件使用的访问密钥，但Trend Micro建议组织保持警惕，更新软件，检查远程访问计谋，并监控与恶意活动相关的AWS账户ID，以更好地检测和应对潜在的基于云的威胁。

https://securityonline.info/lockbit-imposter-new-ransomware-leverages-aws-for-attacks/

3. ClickFix新变种：利用Google Meet诱饵分发恶意软件

10月17日，ClickFix 是一种社会工程计谋，自5月份由网络宁静公司Proofpoint首次陈诉以来，其活动愈发频繁，尤其是在美国和日本。该计谋通过冒充 Google Chrome、Microsoft Word 和 OneDrive 错误消息，诱骗用户复制并执行 PowerShell 代码，从而熏染系统。受害者因此会面临多种恶意软件的攻击，如 DarkGate、Matanbuchus 等。近期，SaaS 网络宁静提供商 Sekoia 指出，ClickFix 活动已发生显著变化，包罗使用 Google Meet 诱饵、针对运输和物流公司的网络钓鱼邮件等。攻击者会发送看似合法的 Google Meet 邀请邮件，诱使受害者访问虚假页面。一旦进入，受害者会收到技术问题提示，若点击“实验修复”，则会启动 ClickFix 熏染过程，导致计算机被恶意软件熏染。Windows 系统主要遭受 Stealc 或 Rhadamanthys 信息窃取软件的攻击，而 macOS 机器上则投放了名为“Launcher_v194”的 AMOS Stealer。此外，Sekoia 还发现了其他几个恶意软件分发渠道，包罗 Zoom、PDF 阅读器、虚假视频游戏等。

https://www.bleepingcomputer.com/news/security/fake-google-meet-conference-errors-push-infostealing-malware/

4. 朝鲜IT欺诈团伙“Nickel Tapestry”利用雇佣关系窃取数据并勒索赎金

10月17日，朝鲜恒久以来一直派遣IT专业人员到富足国家的企业就职，以窃取网络数据或为该国的武器计划谋取收入。这些欺诈性的IT事情者使用虚假或偷来的身份，并通过条记本电脑农场和美国的站点路由流量来掩盖其真实位置。他们制止使用视频通话或在视频会议期间隐藏面部，以防止被发现。据网络宁静公司Secureworks的视察，一个名为“Nickel Tapestry”（Mandiant称为UNC5267）的组织卖力组织和协调这些朝鲜IT事情者。在雇佣这些外部承包商后，一家公司几乎立即遭遇了数据窃取，数据通过公司的虚拟桌面基础设施传输到个人Google Drive云存储。在雇佣关系终止后，该公司开始收到勒索电子邮件，要求支付六位数的加密货币赎金以换取不果然泄露数据。Secureworks还发现，Nickel Tapestry在攻击活动中使用了Astrill VPN、住宅署理和AnyDesk等工具。研究人员警告，朝鲜的IT事情者经常相互协调，提供推荐，因此组织在招聘远程事情者时应保持警惕，并留意欺诈迹象。

https://www.bleepingcomputer.com/news/security/undercover-north-korean-it-workers-now-steal-data-extort-employers/

5. BianLian勒索软件组织声称攻击波士顿儿童健康医生并窃取数据

10月17日，BianLian勒索软件组织声称对波士顿儿童健康医生（BCHP）发动了网络攻击，该组织是一个由300多名儿科医生和专家组成的网络，在纽约和康涅狄格州的多个所在提供医疗服务。9月6日，BCHP的IT供应商遭受了网络攻击，几天后，BCHP检测到其网络上有未经授权的活动，并立即启动了事件响应协议，包罗关闭系统作为�；ご胧�。经视察确认，威胁行为者已获得对BCHP系统的未经授权的访问，并窃取了包罗全名、社会保障号码、地址、出生日期、驾驶执照号码、医疗记录编号、健康保险信息、账单信息以及有限的治疗信息在内的数据。但BCHP的电子病历系统未受影响，因为它们托管在单独的网络上。确认受到影响的个人将在10月25日之前收到BCHP的信，泄露SSN和驾照的人还将获得信用监控和�；し�。BianLian勒索软件组织已宣布对此次攻击卖力，并声称拥有财政和人力资源数据、电子邮件通信、数据库转储等敏感信息，但尚未泄露任何内容，也未披露最后期限，表明他们仍希望与BCHP进行谈判。

https://www.bleepingcomputer.com/news/security/bianlian-ransomware-claims-attack-on-boston-childrens-health-physicians/

6. SideWinder APT组织扩大攻击范围，接纳新型庞大工具包

10月17日，一个名为SideWinder的疑似与印度有关联的高级连续性威胁（APT）行为者，近期对中东和非洲的多个知名实体和战略基础设施发动了攻击。该组织也被称为APT-C-17、Baby Elephant等多个名称。尽管其使用果然的漏洞利用法式和恶意文件作为熏染媒介，看似技术水平较低，但仔细分析其行动细节后，发现其真实能力不容小觑。攻击目标包罗孟加拉国、吉布提等多个国家的政府和军事实体、物流、基础设施和电信公司、金融机构等。最近，SideWinder使用多阶段熏染链通报了一个名为StealerBot的后开发工具包，通过鱼叉式网络钓鱼电子邮件开始，执行一系列下载法式，最终部署恶意软件。该恶意软件能够收集系统信息、下载其他有效负载，并通过后门加载�？橹踩隨tealerBot，用于间谍活动，如窃取密码、文件、记录击键等。此外，SideWinder的地理笼罩范围不停扩大，使用了新的庞大工具包，并与据信来自巴基斯坦的威胁行为者APT36建立联系。

https://thehackernews.com/2024/10/sidewinder-apt-strikes-middle-east-and.html

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究