https://www.aquasec.com/blog/gafgyt-malware-variant-exploits-gpu-power-and-cloud-native-environments/
Black Basta有關(guān)聯(lián)的攻擊者利用SystemBC惡意軟件進(jìn)行憑證盜竊
研究人員發(fā)現(xiàn),一個與Black Basta勒索軟件組織有關(guān)的社會工程攻擊活動,旨在進(jìn)行憑證盜竊并部署名為SystemBC的惡意軟件。這一攻擊鏈涉及多次入侵嘗試,目標(biāo)是用戶的敏感數(shù)據(jù)。攻擊者使用一個名為“AntiSpam.exe”的可執(zhí)行文件,聲稱下載電子郵件垃圾過濾器,并要求用戶輸入Windows憑證以完成更新。接下來執(zhí)行多個二進(jìn)制文件、DLL文件和PowerShell腳本,包括一個基于Golang的HTTP信標(biāo),與遠(yuǎn)程服務(wù)器建立聯(lián)系,一個SOCKS代理和SystemBC。這些攻擊活動只是最近幾周內(nèi)發(fā)現(xiàn)的大量釣魚和社會工程攻擊中的最新一波,威脅行為者還越來越多地利用假二維碼進(jìn)行惡意活動。
參考鏈接:
https://www.rapid7.com/blog/post/2024/08/12/ongoing-social-engineering-campaign-refreshes-payloads/
RansomHub勒索軟件攻擊者武器庫新增“EDRKillShifter”破壞工具
研究人員近日發(fā)現(xiàn),一名犯罪團(tuán)伙在對一組織發(fā)起名為RansomHub的勒索軟件攻擊時,嘗試部署了一款新型的EDR(端點檢測和響應(yīng))破壞工具“EDRKillShifter”。雖然這次勒索軟件攻擊沒有成功,但事后分析揭露了這一專為終止端點保護(hù)軟件而設(shè)計的工具。EDRKillShifter工作原理是通過一個“加載器”可執(zhí)行文件,它是一個合法驅(qū)動程序的傳遞機(jī)制,該驅(qū)動程序容易被濫用。攻擊者必須執(zhí)行帶有密碼字符串的命令行來運行EDRKillShifter。使用正確的密碼運行時,該可執(zhí)行文件會解密嵌入的名為BIN的資源,并在內(nèi)存中執(zhí)行它。BIN代碼解壓并執(zhí)行最終的有效載荷。這最終的有效載荷,用Go編程語言編寫,會放置并利用多種不同的易受攻擊、合法的驅(qū)動程序以獲取足夠權(quán)限以取消EDR工具的保護(hù)。該工具的樣本分析顯示,所有樣本共享相同的版本數(shù)據(jù),原始文件名為Loader.exe,產(chǎn)品名為ARK-Game,二進(jìn)制文件的語言屬性是俄語。這些樣本都需要傳遞給命令行的唯一64字符密碼。如果密碼錯誤(或未提供),它將不會執(zhí)行。當(dāng)執(zhí)行時,EDRKillShifter將一個名為BIN的加密資源加載到內(nèi)存中,還會將該數(shù)據(jù)復(fù)制到一個新文件Config.ini中,并將該文件寫入執(zhí)行二進(jìn)制文件的同一文件系統(tǒng)位置。
參考鏈接:
https://news.sophos.com/en-us/2024/08/14/edr-kill-shifter/
FBI關(guān)閉了攻擊數(shù)十家公司勒索軟件團(tuán)伙的服務(wù)器
FBI克利夫蘭分局宣布成功破獲了由網(wǎng)名“Brain”領(lǐng)導(dǎo)的勒索軟件組織“Radar/Dispossessor”,并拆除了三臺美國服務(wù)器、三臺英國服務(wù)器、十八臺德國服務(wù)器、八個美國域名和一個德國域名。自2023年8月成立以來,Radar/Dispossessor迅速發(fā)展成為一個國際性影響力的勒索軟件組織,專門針對中小型企業(yè)及組織,涉及生產(chǎn)、開發(fā)、教育、醫(yī)療、金融服務(wù)和運輸?shù)榷鄠€行業(yè)。調(diào)查發(fā)現(xiàn),該組織在美國及阿根廷、澳大利亞、比利時、巴西、洪都拉斯、印度、加拿大、克羅地亞、秘魯、波蘭、英國、阿聯(lián)酋和德國等國家攻擊了43家公司。FBI在調(diào)查期間識別出了多個與Brain及其團(tuán)隊相關(guān)的網(wǎng)站。盡管目前受影響的企業(yè)和組織總數(shù)尚未確定,F(xiàn)BI鼓勵任何有關(guān)于Brain或Radar Ransomware的信息,或其業(yè)務(wù)或組織曾成為勒索軟件目標(biāo)或受害者的人,聯(lián)系互聯(lián)網(wǎng)犯罪投訴中心或撥打1-800-call-FBI,身份可以保持匿名。
參考鏈接:
https://www.fbi.gov/contact-us/field-offices/cleveland/news/international-investigation-leads-to-shutdown-of-ransomware-group?7194ef805fa2d04b0f7e8c9521f97343
勒索軟件組織Rhysida聲稱竊取兩家醫(yī)療系統(tǒng)數(shù)據(jù)
勒索軟件組織Rhysida宣稱對兩家新的醫(yī)療系統(tǒng)——Bayhealth和Community Care Alliance(CCA)進(jìn)行了大規(guī)模數(shù)據(jù)盜竊。Rhysida威脅將患者的敏感健康和個人信息在暗網(wǎng)上出售或公開。位于特拉華州的非營利醫(yī)療系統(tǒng)Bayhealth擁有多家醫(yī)院、4000名員工和650名醫(yī)生及其他臨床醫(yī)護(hù)人員。Rhysida聲稱竊取了Bayhealth患者的個人信息,并要求支付25個比特幣(約150萬美元)作為贖金。同時,位于羅德島的Community Care Alliance提供心理健康、成癮、住房和創(chuàng)傷相關(guān)問題的服務(wù)。Rhysida聲稱竊取了一個包含超過2.5 TB數(shù)據(jù)的SQL數(shù)據(jù)庫,內(nèi)含地址、社會安全號碼、電話號碼和信用卡號碼等個人信息。CCA尚未對此作出公開回應(yīng)或在其網(wǎng)站上發(fā)布相關(guān)聲明。
參考鏈接:
https://www.govinfosecurity.com/rhysida-claims-major-data-theft-from-2-more-health-systems-a-25997