研究人員稱Moonstone Sleet組織與FakePenny勒索軟件攻擊有關聯性
微軟將其追蹤的一個朝鮮黑客組織Moonstone Sleet與FakePenny勒索軟件攻擊聯系起來,這些攻擊導致數百萬美元的贖金要求。雖然該威脅組織的戰術、技術和程序(TTP)在很大程度上與其他朝鮮攻擊者重疊,但它也逐漸采用了新的攻擊方法以及其自定義的基礎設施和工具。此前被追蹤為Storm-17的Moonstone Sleet已被觀察到使用特洛伊化軟件(如PuTTY)、惡意游戲和npm包、自定義惡意軟件加載器,以及設立虛假軟件開發公司(如StarGlow Ventures、C.C. Waterfall)與潛在受害者在LinkedIn、Telegram、自由職業網絡或通過電子郵件互動,來攻擊金融和網絡間諜目標。“當微軟首次檢測到Moonstone Sleet活動時,該行為體與Diamond Sleet有很強的重疊,廣泛重用已知的Diamond Sleet惡意軟件(如Comebacker)的代碼,并使用已建立的Diamond Sleet技術訪問組織,如通過社交媒體傳遞特洛伊化軟件,”微軟表示。
https://www.microsoft.com/en-us/security/blog/2024/05/28/moonstone-sleet-emerges-as-new-north-korean-threat-actor-with-new-bag-of-tricks/
新型ShrinkLocker勒索軟件使用BitLocker加密文件
一種名為ShrinkLocker的新型勒索軟件通過使用Windows BitLocker創建新的啟動分區來加密企業系統的文件。ShrinkLocker之所以得名,是因為它通過縮小可用的非啟動分區來創建啟動卷。它已被用于攻擊政府機構以及疫苗和制造業部門的公司。使用BitLocker加密計算機的勒索軟件并不新鮮。一名威脅行為者曾使用Windows的這一安全功能加密了比利時一家醫院40臺服務器上的100TB數據。另一個攻擊者用它加密了莫斯科一家肉類生產和分銷公司的系統。在2022年9月,研究人員警告稱,伊朗國家支持的攻擊者利用BitLocker加密運行Windows 10、Windows 11或Windows Server 2016及更新版本的系統。研究人員表示ShrinkLocker具有以前未報道的功能,以最大化攻擊的破壞力。ShrinkLocker用Visual Basic腳本(VBScript)編寫,這是微軟于1996年引入的一種語言,目前正在逐步淘汰——從Windows 11 24H2版本開始作為按需功能提供(目前處于發布預覽階段)。
參考鏈接:
https://usa.kaspersky.com/about/press-releases/2024_kaspersky-uncovers-new-bitlocker-abusing-ransomware
OmniVision在2023年勒索軟件攻擊后披露數據泄露事件
總部位于加利福尼亞的成像傳感器制造商OmniVision警告稱,去年該公司遭遇了Cactus勒索軟件攻擊,導致數據泄露。OmniVision是中國韋爾半導體的子公司,設計和開發用于智能手機、筆記本電腦、網絡攝像頭、汽車、醫療成像系統等領域的成像傳感器。2023年,該公司擁有2200名員工,年收入達14億美元。上周五,OmniVision通知了加利福尼亞州當局,稱該公司在2023年9月4日至9月30日期間發生了一起安全漏洞事件,當時其系統被勒索軟件加密。“2023年9月30日,OVT了解到一起安全事件,導致某些OVT系統被未經授權的第三方加密,”公告中寫道。
參考鏈接:
https://www.documentcloud.org/documents/24674250-omnivision
勒索軟件攻擊遵循既定的模式利用VMware ESXi漏洞
無論部署了何種文件加密惡意軟件,針對VMware ESXi基礎設施的勒索軟件攻擊都遵循既定模式。虛擬化平臺是組織IT基礎設施的核心組成部分,但它們往往存在固有的錯誤配置和漏洞,使其成為威脅行為者濫用的有利且高效的目標。研究人員通過其涉及各種勒索軟件家族(如LockBit、HelloKitty、BlackMatter、RedAlert (N13V)、Scattered Spider、Akira、Cactus、BlackCat和Cheerscrypt)的事件響應工作發現,對虛擬化環境的攻擊遵循類似的行動順序。
參考鏈接:
https://www.sygnia.co/blog/esxi-ransomware-attacks/
GhostEngine挖礦攻擊利用漏洞驅動程序關閉EDR安全功能
惡意加密挖礦活動代號'REF4578',部署名為GhostEngine的惡意負載,利用漏洞驅動程序關閉安全產品并部署XMRig礦工。國外廠商在發布的報告中指出了這些加密挖礦攻擊的非同尋常的復雜性,并分享了檢測規則以幫助防御者識別和阻止這些攻擊。報告未將該活動歸因于已知的威脅行為者,也未分享有關目標或受害者的詳細信息,因此該活動的來源和范圍仍不明。
參考鏈接:
https://thehackernews.com/2024/05/ghostengine-exploits-vulnerable-drivers.html
LockBit聲稱針對加拿大連鎖藥店London Drugs發起了勒索軟件攻擊
LockBit勒索軟件團伙聲稱他們是四月對加拿大連鎖藥店London Drugs進行網絡攻擊的幕后黑手,并威脅將在談判失敗后公開被盜數據。London Drugs在阿爾伯塔省、薩斯喀徹溫省、馬尼托巴省和不列顛哥倫比亞省的80多家門店中擁有超過9000名員工,提供醫療保健和藥房服務。4月28日的一次網絡攻擊迫使London Drugs關閉了整個加拿大西部的所有零售店。該公司表示,尚未發現客戶或員工數據受到影響的證據。“如果我們的調查顯示任何個人信息被泄露,我們將根據適用的隱私法通知受影響者和相關隱私專員,”該藥店連鎖店當時表示。
參考鏈接:
https://www.bleepingcomputer.com/news/security/lockbit-says-they-stole-data-in-london-drugs-ransomware-attack/
美創科技第59號安全實驗室,專注于數據安全技術領域研究,聚焦于安全防御理念、攻防技術、漏洞挖掘等專業研究,進行知識產權轉化并賦能于產品。自2021年起,累計向CNVD、CNNVD等平臺提報數千個高質量原創漏洞,并入選國家信息安全漏洞庫(CNNVD)技術支撐單位(二級)、信創政務產品安全漏洞庫支撐單位,團隊申請發明專利二十余項,發表多篇科技論文,著有《數據安全實踐指南》、《內網滲透實戰攻略》等。
浙公網安備 33010502006954號 
