俄罗斯UNC5812威胁组织瞄准乌军新兵

首页 > 宁静研究 > 宁静通报 > 宁静简讯

俄罗斯UNC5812威胁组织瞄准乌军新兵

宣布时间 2024-10-30

1. 俄罗斯UNC5812威胁组织瞄准乌军新兵

10月28日，俄罗斯威胁组织“UNC5812”被揭露开展混合间谍/影响活动，针对乌克兰军队新兵使用Windows和Android恶意软件。该组织通过假冒“民防”角色设立网站和Telegram频道，流传名为“Sunspinner”的虚假招募规避应用法式，以数据窃取和实时监视为目的。谷歌已实施�；ご胧�，但此次行动显示了俄罗斯在网络战领域的连续使用和广泛能力。UNC5812不冒充政府机构，并发表阻挡乌克兰招募和发动行动的言论，旨在激起民众的不信任和反抗情绪。该虚假应用法式提供Windows和Android下载，分别安装恶意软件加载器Pronsis Loader和信息窃取法式PureStealer，以及商业后门CraxsRAT。为了执行恶意活动，该应用法式诱骗用户禁用Android反恶意软件工具并授予危险权限。Google已更新Google Play�；すπШ虲hrome的“宁静浏览”功效，以检测和阻止相关恶意软件。https://www.bleepingcomputer.com/news/security/russia-targets-ukrainian-conscripts-with-windows-android-malware/

2. 俄罗斯Midnight Blizzard黑客组织提倡新型信息窃取活动

10月30日，俄罗斯黑客组织“午夜暴雪”（Midnight Blizzard）近期针对政府事情人员提倡新型信息窃取活动，利用鱼叉式网络钓鱼电子邮件发送远程桌面协议（RDP）配置文件，使受害者设备遭受完全访问权限的攻击。微软威胁情报团队追踪到该活动自10月22日起，已向全球包罗英国、欧洲、澳大利亚和日本等数十个国家/地域的政府、学术界、国防、非政府组织等部门发送数千封此类邮件。这些邮件中包罗敏感设置，可导致大量信息泄露，甚至宁静密钥和销售点设备也可能受到影响。黑客还通过冒充微软员工等方式诱骗受害者打开邮件。此次活动尤为引人注目，因为使用RDP配置文件是Midnight Blizzard战术的新进步。亚马逊和乌克兰政府计算机应急响应小组也发现了类似活动，其中亚马逊指出俄罗斯外国情报局（SVR）正针对政府机构、公司和军队提倡网络钓鱼活动，旨在窃取俄罗斯对手的凭证。

https://therecord.media/russia-midnight-blizzard-hackers-target-government-sector

3. 大规模PSAUX勒索软件攻击瞄准22,000个CyberPanel实例

10月29日，凌驾22,000个CyberPanel实例因存在远程代码执行（RCE）漏洞而袒露于风险之中，这些实例在PSAUX勒索软件攻击中几乎全部沦陷。宁静研究员DreyAnd发现CyberPanel 2.3.6（及可能受影响的2.3.7版本）存在身份验证缺陷、命令注入及宁静过滤器绕过等宁静问题，可导致未经授权的远程根访问。他已于2024年10月23日向CyberPanel开发人员披露漏洞并在GitHub 上提交了针对身份验证问题的修复法式。与此同时，威胁情报搜索引擎LeakIX陈诉称，大量存在漏洞的CyberPanel实例被PSAUX勒索软件攻击，导致近一半位于美国的实例（约10,170个）及管理的凌驾152,000个域和数据库受到威胁。一夜之间，受影响的实例数量大幅下降，仅剩约400个可访问。PSAUX勒索软件通过漏洞和错误配置攻击袒露的Web服务器，加密服务器文件并留下勒索信。目前，LeakIX已宣布解密器用于解密在此次攻击中加密的文件，但使用前需备份数据并测试其有效性，以防因错误密钥导致数据损坏。

https://www.bleepingcomputer.com/news/security/massive-psaux-ransomware-attack-targets-22-000-cyberpanel-instances/

4. 加拿大税务局数据泄露引发信任�；�，隐私违规行为激增

10月29日，在今年的纳税季节岑岭期，加拿大发生了一起严重的税务数据泄露事件。黑客窃取了H&R Block Canada的机密数据，并利用这些信息未经授权访问了数百名加拿大人的个人加拿大税务局（CRA）账户。黑客更改了直接存款信息，提交了虚假申报表，并从公款中骗取了凌驾600万美元的虚假退款。此次事件促使加拿大税务局加强了媒体渠道准备，以应对公众对此次数据泄露及该机构为何向诈骗者支付数百万美元的问题。然而，公众并未获悉此计划，税务部长和加拿大税务局也均未回应相关问题。H&R Block公司体现，没有证据表明此次入侵事件源自该公司，其数据、系统、软件和宁静均未受到损害。加拿大税务局未能确定黑客的身份，但排除了自身系统被入侵或内部人员加入的可能性。此外，加拿大税务局还面临其他严重问题，包罗隐私泄露事件数量激增，以及公众对�；つ伤叭私鹎透鋈诵畔⒌幕故バ湃蔚姆缦�。

https://www.cbc.ca/news/canada/canada-revenue-agency-taxpayer-accounts-hacked-1.7363440

5. 新工具可绕过Google Chrome的新Cookie加密系统

10月28日，网络宁静研究员亚历山大-哈根纳宣布了一款名为“Chrome-App-Bound-Encryption-Decryption”的工具，该工具能绕过谷歌新推出的应用法式绑定加密技术，从Chrome浏览器中提取已生存的凭据，增加了Chrome用户的风险。谷歌在7月推出的这一加密技术，旨在通过Windows服务以系统权限对cookies进行加密，�；っ舾行畔⒚馐芏褚馊砑セ�。然而，9月时已有多个信息窃取者找到绕过要领。昨天，哈根纳在GitHub上果然了这款旁路工具及其源代码。该工具利用Chrome浏览器内部的IElevator服务，解密存储在当地状态文件中的App-Bound加密密钥。虽然使用该工具需要管理员权限，但许多Windows用户都使用具有管理权限的账户，因此这通常容易实现。据恶意软件分析师称，哈根纳的要领与早期信息窃取者接纳的绕过要领类似，虽然谷歌一直在努力革新防御措施，但使用新工具仍能轻易窃取Chrome浏览器中的用户秘密。谷歌体现，虽然这段代码需要管理员权限，但恶意软件的数量仍在增加，它们通过差异方式锁定用户。

https://www.bleepingcomputer.com/news/security/new-tool-bypasses-google-chromes-new-cookie-encryption-system/

6. Discord Bots被恶意利用：PySilon RAT威胁网络宁静

10月29日，网络宁静公司AhnLab在最近的一份陈诉中指出，原本用于良性服务器管理的Discord Bots现在被用于部署远程访问木马（RAT），其中最新的案例涉及名为PySilon的恶意软件变种。PySilon是一种利用Discord Bot平台渗透系统并获取敏感数据的RAT，它扭曲了Discord Bot原本提供的服务器管理、自动消息响应等功效，在Discord基础设施内恶意运行。这款使用Python开发的RAT恶意软件可在GitHub上访问，威胁行为者可以轻松构建自界说版本，并通过调整服务器ID和机器人令牌等详细信息，使用构建器法式创建个性化的恶意软件版本。执行后，PySilon会在攻击者的服务器内创建一个新通道，将初始系统信息转发给操作员，从而实现黑客与受熏染设备的持久通信链接。PySilon具有广泛的命令范围，可用于间谍、数据窃取和破坏等活动，包罗收集个人和系统信息、屏幕和音频记录、键盘记录以及文件夹加密等。AhnLab强调，检测此类威胁具有挑战性，因为数据是使用为正�；魅斯π凳┑墓俜紻iscord服务器传输的，掩盖了其恶意性质。

https://securityonline.info/pysilon-a-discord-bot-turned-malicious-rat-for-data-theft-and-surveillance/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究