网络犯罪分子瞄准AWS环境，利用配置错误推送钓鱼活动

首页 > 宁静研究 > 宁静通报 > 宁静简讯

网络犯罪分子瞄准AWS环境，利用配置错误推送钓鱼活动

宣布时间 2025-03-04

1. 网络犯罪分子瞄准AWS环境，利用配置错误推送钓鱼活动

3月3日，据Palo Alto Networks Unit 42的视察，网络犯罪分子正针对亚马逊网络服务（AWS）环境，向目标推送网络钓鱼活动。一个名为TGR-UNK-0011的活动集群（与JavaGhost组织有重叠）自2019年以来一直活跃，历史上专注于网站改动，但自2022年起转向发送网络钓鱼邮件以谋取经济利益。这些攻击并未利用AWS漏洞，而是利用受害者环境中AWS访问密钥的配置错误，通过滥用SES和WorkMail服务发送钓鱼消息，从而绕过电子邮件�；�。攻击者一旦获得对AWS账户的访问权限，就会生成临时凭证和登录URL，隐藏身份并检察账户资源。他们还利用SES和WorkMail建立钓鱼基础设施，创建新用户并设置SMTP凭证发送邮件。JavaGhost创建了多种IAM用户，其中未使用的用户似乎作为恒久持久性机制。此外，他们还创建了一个新IAM角色，允许从另一个控制的AWS账户访问目标账户。Unit 42指出，该组织在攻击过程中留下相同标志，通过创建名为Java_Ghost的EC2宁静组，组描述为“我们存在但不行见”，这些宁静组不包罗任何宁静规则。

https://thehackernews.com/2025/03/hackers-exploit-aws-misconfigurations.html

2. 帕劳卫生部遭麒麟勒索软件攻击后迅速恢复

3月4日，太平洋岛国帕劳的卫生部近期遭受了一次由知名犯罪团伙Qilin提倡的勒索软件攻击。此次攻击导致帕劳卫生与公众服务部（MHHS）的IT系统被入侵，部门文件被窃取。帕劳国家医院作为该国要害医疗机构，其运营因此受到威胁。然而，在帕劳、澳大利亚网络宁静专家和财政部官员的协助下，政府迅速查明事件真相，并在48小时内恢复了医院的正常运营。同时，美国网络司令部“前沿防御”小组也在现场进行取证收集和分析。麒麟黑客威胁要宣布窃取的数据，但帕劳官员并未试图协商赎金。尽管部门被盗信息已被宣布，包罗患者账单摘要等个人信息，但MHHS认为这些信息泄露不会对帕劳个人的宁静造成重大影响，但仍建议民众保持警惕，防范潜在的欺诈和网络钓鱼邮件。此外，麒麟勒索软件团伙近期还针对其他医疗机构、地方政府和大型公司展开了攻击，引起了广泛关注。

https://therecord.media/palau-health-ministry-ransomware-recover

3. 假技术支持使用电话和Microsoft Teams诱骗用户安装勒索软件

3月3日，网络宁静研究人员发出警告，一种新的骗局正在肆虐，网络犯罪分子假扮成技术支持人员，通过发送大量电子邮件并利用 Microsoft Teams 或电话诱骗受害者登录，进而获取远程访问权限。他们使用合法的Windows法式Quick Assist来提供远程技术支持，但实则在安装名为BackConnect的后门恶意软件，使攻击者能够完全控制受熏染的系统。这一骗局与污名昭著的Black Basta勒索软件组织紧密相关，该组织曾在2024年因类似手法被标志，并据报道在2023年从受害者那里赚取了凌驾1亿美元。此外，一些Black Basta成员已经转向Cactus勒索软件团伙，最近的Cactus攻击中使用的要领与Black Basta惊人地相似。这些攻击主要针对北美的制造业、金融、投资咨询和房地产行业，自2024年10月以来尤为活跃。攻击者利用社交工程和滥用正版软件和云服务相结合的方式，使恶意行为看起来像正常的计算机活动。网络宁静不仅在于拥有正确的软件，更在于意识到犯罪分子如何试图欺骗人们。因此，Microsoft Teams用户应保持警惕，制止受到此类骗局的侵害。

https://hackread.com/fake-it-support-calls-microsoft-teams-users-install-ransomware/

4. 俄罗斯电信巨头Beeline再遭DDoS攻击

3月3日，俄罗斯电信公司Beeline遭受了定向漫衍式拒绝服务（DDoS）攻击，导致部门用户互联网中断，这是近几周内针对该公司的第二次重大攻击。此次攻击影响了Beeline的移动应用法式、网站和互联网服务，用户在访问时遇到困难，莫斯科和周边地域的用户纷纷投诉连接问题。Beeline已接纳措施稳定服务，但未提供更多细节。今年2月，Beeline也曾遭受类似攻击，导致大面积服务中断。此次攻击与1月俄罗斯电信巨头MegaFon遭受的攻击相似，均由大规模DDoS攻击造成，被认为是针对电信行业的严重黑客活动主义网络攻击之一。Beeline之前归荷兰公司Veon所有，Veon在入侵乌克兰后开始剥离其俄罗斯业务。此次攻击是俄罗斯电信行业一系列网络事件之一，包罗Rostelecom疑似遭受网络攻击、乌克兰网络联盟声称对俄罗斯互联网提供商Nodex的攻击卖力，以及Rapporto陈诉其基础设施遭受网络攻击等。

https://therecord.media/russian-telecom-beeline-outages-cyber

5. 新的ClickFix攻击通过Microsoft Sharepoint部署Havoc框架

3月3日，新发现的ClickFix网络钓鱼活动诱骗受害者执行恶意PowerShell命令，以部署Havoc后利用框架来远程访问受熏染设备。ClickFix 是去年泛起的一种社会工程计谋，威胁行为者通过创建显示虚假错误的网站或附件，提示用户单击按钮修复错误。单击后，恶意PowerShell命令会被复制到剪贴板，然后提示用户粘贴到命令提示符中，实际上执行的是远程站点上的恶意脚本，下载并安装恶意软件。在最近的一次ClickFix活动中，威胁行为者利用Microsoft云服务，发送钓鱼邮件声称有“限制通知”，诱使用户打开HTML文档后显示假的错误提示，引导用户执行PowerShell命令。该命令启动托管在威胁行为者SharePoint服务器上的脚本，检查设备是否在沙盒环境中，然后修改注册表、安装Python解释器，并下载并执行Python脚本以部署Havoc框架。Havoc框架允许攻击者远程控制设备，通过Microsoft Graph API与威胁行为者的服务通信，混入通例网络通信以逃避检测。ClickFix攻击越来越受欢迎，被用于部署种种恶意软件，威胁行为者还不停革新技术，利用社交媒体平台诱骗用户。

https://www.bleepingcomputer.com/news/security/new-clickfix-attack-deploys-havoc-c2-via-microsoft-sharepoint/

6. 波兰航天局遭网络攻击，太空机组成黑客新目标

3月3日，波兰航天局（POLSA）周日宣布其遭受了网络攻击，并已断开与互联网的连接进行视察，同时其网站截至周一仍无法访问。国家网络宁静服务部门已检测到对POLSA IT基础设施的未经授权访问，并正在�；な苡跋斓南低�，同时努力识别攻击者。目前尚不清楚此次攻击是由勒索软件组织还是政治动机的黑客提倡，也未透露黑客入侵系统的具体细节。POLSA是波兰卖力太空活动的政府机构，也是欧洲航天局成员，其可能成为黑客的诱人目标，因为与军事和情报机构的合作可能袒露敏感的国防相关信息、卫星运营或机密研究，危及国家宁静。波兰已成为亲俄黑客的主要目标，今年网络攻击数量翻倍，为此波兰已投资7.6亿美元加强网络宁静。

https://therecord.media/poland-space-cyberattack-agency-investigate

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究