提交需求
*
*

*
*
*
立即提交
點擊”立即提交”,表明我理解并同意 《美創(chuàng)科技隱私條款》

logo

    產品與服務
    解決方案
    技術支持
    合作發(fā)展
    關于美創(chuàng)

    申請試用
      每周安全速遞3??|Gafgyt僵尸網絡新變種通過弱SSH密碼攻擊GPU進行加密貨幣挖礦
      發(fā)布時間:2024-08-16 閱讀次數: 1204 次
      本周熱點事件威脅情報



      1

      Gafgyt僵尸網絡新變種通過弱SSH密碼攻擊GPU進行加密貨幣挖礦

      研究人員發(fā)現了一種Gafgyt僵尸網絡新變種,該變種通過弱SSH密碼攻擊機器,最終利用被攻陷實例的GPU計算能力進行加密貨幣挖礦。最新的攻擊鏈涉及暴力破解SSH服務器的弱密碼,以部署下一階段的有效載荷,促進使用“systemd-net”的加密貨幣挖礦攻擊,但在此之前會終止已在被攻陷主機上運行的競爭性惡意軟件。它還執(zhí)行一個蠕蟲模塊,一個基于Go的SSH掃描器名為ld-musl-x86,負責掃描互聯網中安全性差的服務器并將惡意軟件傳播到其他系統,有效地擴大僵尸網絡的規(guī)模。這包括SSH、Telnet以及與游戲服務器和AWS、Azure和Hadoop等云環(huán)境相關的憑據。

      參考鏈接:

      https://www.aquasec.com/blog/gafgyt-malware-variant-exploits-gpu-power-and-cloud-native-environments/



      2

      Black Basta有關聯的攻擊者利用SystemBC惡意軟件進行憑證盜竊

      研究人員發(fā)現,一個與Black Basta勒索軟件組織有關的社會工程攻擊活動,旨在進行憑證盜竊并部署名為SystemBC的惡意軟件。這一攻擊鏈涉及多次入侵嘗試,目標是用戶的敏感數據。攻擊者使用一個名為“AntiSpam.exe”的可執(zhí)行文件,聲稱下載電子郵件垃圾過濾器,并要求用戶輸入Windows憑證以完成更新。接下來執(zhí)行多個二進制文件、DLL文件和PowerShell腳本,包括一個基于Golang的HTTP信標,與遠程服務器建立聯系,一個SOCKS代理和SystemBC。這些攻擊活動只是最近幾周內發(fā)現的大量釣魚和社會工程攻擊中的最新一波,威脅行為者還越來越多地利用假二維碼進行惡意活動。


      參考鏈接:

      https://www.rapid7.com/blog/post/2024/08/12/ongoing-social-engineering-campaign-refreshes-payloads/

      3

      RansomHub勒索軟件攻擊者武器庫新增“EDRKillShifter”破壞工具

      研究人員近日發(fā)現,一名犯罪團伙在對一組織發(fā)起名為RansomHub的勒索軟件攻擊時,嘗試部署了一款新型的EDR(端點檢測和響應)破壞工具“EDRKillShifter”。雖然這次勒索軟件攻擊沒有成功,但事后分析揭露了這一專為終止端點保護軟件而設計的工具。EDRKillShifter工作原理是通過一個“加載器”可執(zhí)行文件,它是一個合法驅動程序的傳遞機制,該驅動程序容易被濫用。攻擊者必須執(zhí)行帶有密碼字符串的命令行來運行EDRKillShifter。使用正確的密碼運行時,該可執(zhí)行文件會解密嵌入的名為BIN的資源,并在內存中執(zhí)行它。BIN代碼解壓并執(zhí)行最終的有效載荷。這最終的有效載荷,用Go編程語言編寫,會放置并利用多種不同的易受攻擊、合法的驅動程序以獲取足夠權限以取消EDR工具的保護。該工具的樣本分析顯示,所有樣本共享相同的版本數據,原始文件名為Loader.exe,產品名為ARK-Game,二進制文件的語言屬性是俄語。這些樣本都需要傳遞給命令行的唯一64字符密碼。如果密碼錯誤(或未提供),它將不會執(zhí)行。當執(zhí)行時,EDRKillShifter將一個名為BIN的加密資源加載到內存中,還會將該數據復制到一個新文件Config.ini中,并將該文件寫入執(zhí)行二進制文件的同一文件系統位置。

      參考鏈接:

      https://news.sophos.com/en-us/2024/08/14/edr-kill-shifter/

      4

      FBI關閉了攻擊數十家公司勒索軟件團伙的服務器

      FBI克利夫蘭分局宣布成功破獲了由網名“Brain”領導的勒索軟件組織“Radar/Dispossessor”,并拆除了三臺美國服務器、三臺英國服務器、十八臺德國服務器、八個美國域名和一個德國域名。自2023年8月成立以來,Radar/Dispossessor迅速發(fā)展成為一個國際性影響力的勒索軟件組織,專門針對中小型企業(yè)及組織,涉及生產、開發(fā)、教育、醫(yī)療、金融服務和運輸等多個行業(yè)。調查發(fā)現,該組織在美國及阿根廷、澳大利亞、比利時、巴西、洪都拉斯、印度、加拿大、克羅地亞、秘魯、波蘭、英國、阿聯酋和德國等國家攻擊了43家公司。FBI在調查期間識別出了多個與Brain及其團隊相關的網站。盡管目前受影響的企業(yè)和組織總數尚未確定,FBI鼓勵任何有關于Brain或Radar Ransomware的信息,或其業(yè)務或組織曾成為勒索軟件目標或受害者的人,聯系互聯網犯罪投訴中心或撥打1-800-call-FBI,身份可以保持匿名。


      參考鏈接:

      https://www.fbi.gov/contact-us/field-offices/cleveland/news/international-investigation-leads-to-shutdown-of-ransomware-group?7194ef805fa2d04b0f7e8c9521f97343

      5

      勒索軟件組織Rhysida聲稱竊取兩家醫(yī)療系統數據

      勒索軟件組織Rhysida宣稱對兩家新的醫(yī)療系統——Bayhealth和Community Care Alliance(CCA)進行了大規(guī)模數據盜竊。Rhysida威脅將患者的敏感健康和個人信息在暗網上出售或公開。位于特拉華州的非營利醫(yī)療系統Bayhealth擁有多家醫(yī)院、4000名員工和650名醫(yī)生及其他臨床醫(yī)護人員。Rhysida聲稱竊取了Bayhealth患者的個人信息,并要求支付25個比特幣(約150萬美元)作為贖金。同時,位于羅德島的Community Care Alliance提供心理健康、成癮、住房和創(chuàng)傷相關問題的服務。Rhysida聲稱竊取了一個包含超過2.5 TB數據的SQL數據庫,內含地址、社會安全號碼、電話號碼和信用卡號碼等個人信息。CCA尚未對此作出公開回應或在其網站上發(fā)布相關聲明。

      參考鏈接:

      https://www.govinfosecurity.com/rhysida-claims-major-data-theft-from-2-more-health-systems-a-25997

      免費試用
      服務熱線

      馬上咨詢

      400-811-3777

      回到頂部