研究人员近期发现Linux恶意软件“BPFDoor”的一种新的、更隐蔽的变体,具有更强大的加密和反向shell通信。BPFDoor是一种隐蔽的后门恶意软件,至少从2017年开始活跃,但直到大约12个月前才被安全研究人员发现。该恶意软件的名称来源于使用“Berkley 数据包过滤器”(BPF)在绕过传入流量防火墙限制的同时接收指令。BPFDoor旨在允许威胁行为者在被破坏的Linux系统上保持长时间的持久性,并且长时间不被发现。通过将加密合并到静态库中,恶意软件开发人员可以实现更好的隐蔽性和混淆,因为不再依赖外部库,例如具有RC4密码算法的库。
越来越多的勒索软件团伙正在采用泄露的Babuk勒索软件源代码来创建针对VMware ESXi服务器的Linux加密器。SentinelLabs安全研究人员在发现2022年下半年至2023年上半年之间连续出现的九种基于Babuk的勒索软件变体后,观察到了这一上升趋势。SentinelLabs威胁研究员Alex Delamotte表示:“有一个明显的趋势,即攻击者越来越多地使用 Babuk生成器来开发ESXi和Linux勒索软件。”正如预期的那样,Babuk泄露的生成器使攻击者能够以Linux系统为目标,即使他们不具备开发自己的定制勒索软件的专业知识。
领先的电气化和自动化技术提供商瑞士跨国公司ABB遭受了Black Basta勒索软件攻击,据报道影响了业务运营。ABB总部位于瑞士苏黎世,拥有约105000名员工,2022年的收入为294亿美元。作为其服务的一部分,该公司为制造和能源供应商开发工业控制系统(ICS)和SCADA系统。5月7日,该公司成为2022年4月浮出水面的网络犯罪组织Black Basta发起的勒索软件攻击的受害者。为了应对此次攻击,ABB终止了与其客户的VPN连接,以防止勒索软件传播到其他网络。
美国科技公司和西门子子公司Brightly Software通知客户,他们的个人信息和凭据被获得其SchoolDude在线平台数据库访问权限的攻击者窃取。SchoolDude是一个基于云的平台,用于管理来自学区多达600000名学生的7000多所学院、大学使用的工单。公司的其他SaaS解决方案被全球12000多家组织使用,其中大部分来自美国、加拿大、英国和澳大利亚。该事件涉及未经授权的行为者从SchoolDude用户数据库中获取某些帐户信息。该公司认为威胁行为者窃取了客户帐户信息,包括姓名、电子邮件地址、帐户密码、电话号码和学区名称。
Microsoft已开始在Microsoft Authenticator推送通知中强制执行号码匹配,以抵御多重身份验证(MFA)疲劳攻击。在此类攻击(也称为推送轰炸或MFA推送垃圾邮件)中,网络犯罪分子向目标发送大量移动推送通知,要求他们批准使用窃取的凭据登录其公司帐户的尝试。在许多情况下,目标会屈服于重复的恶意MFA推送请求,要么是错误的,要么是为了停止看似无穷无尽的警报流,从而允许攻击者登录他们的帐户。这种类型的社会工程攻击已经被Lapsus$和Yanluowang威胁参与者证明非常成功,他们使用这种攻击方法破坏了知名组织,包括Microsoft、Cisco和Uber。
https://blog.cyble.com/2023/05/12/blacksuit-ransomware-strikes-windows-and-linux-users/
Cyble Research and Intelligence Labs(CRIL)观察到,启动Linux变体(例如Cylance和Royal勒索软件)的勒索软件组织数量有所增加。这可以归因于这样一个事实,即Linux被广泛用作各个领域的操作系统,包括企业环境和云计算平台。Linux的广泛使用使其成为勒索软件组织的一个有吸引力的目标,因为一次攻击可能会危及多个系统。根据研究人员的观察,已发现BlackSuit Linux变体的代码与Royal勒索软件有相似之处。BlackSuit勒索软件通过洋葱网站与其受害者进行通信,并且尚未公开其受害者的任何信息。
FBI和CISA发布了一份联合公告,警告Bl00dy勒索软件团伙现在也在积极利用PaperCut远程代码执行漏洞来获得对网络的初始访问权限。美国网络安全和基础设施安全局提到,威胁行为者将攻击重点放在了教育部门,该部门公开暴露了该漏洞。PaperCut漏洞被追踪为CVE-2023-27350,是影响PaperCut MF和PaperCut NG的严重远程代码执行 (RCE) 漏洞,这些打印管理软件被100多个国家/地区的大约70000家组织使用。
丰田汽车公司披露了其云环境的数据泄露事件,从2013年11月6日到2023年4月17日,这十年间暴露了2150000名客户的汽车位置信息。根据该公司日本新闻编辑室发布的安全通知,数据泄露是由于数据库配置错误导致任何人无需密码即可访问其内容。该事件暴露了2012年1月2日至2023年4月17日期间使用该公司T-Connect G-Link、G-Link Lite或G-BOOK服务的客户信息。T-Connect是丰田的车载智能服务,用于语音辅助、客户服务支持、汽车状态和管理以及道路紧急帮助。虽然没有证据表明数据被滥用,但未经授权的用户可能已经访问了历史数据,并可能访问了215万辆丰田汽车的实时位置。
https://securityaffairs.com/146207/malware/rapperbot-botnet-adds-cryptojacking.html
FortiGuard 实验室的研究人员发现了 RapperBot 僵尸网络的新样本,该样本增加了加密劫持功能。
https://securityaffairs.com/146171/data-breach/discord-suffered-data-breach.html
Discord正在通知用户在第三方支持代理的帐户遭到入侵后发生的数据泄露事件。安全漏洞暴露了代理的支持票队列,其中包含用户电子邮件地址、与Discord支持交换的消息以及作为票的一部分发送的任何附件。Discord表示,一旦事件被发现,它会立即通过禁用支持帐户来解决被破坏的支持帐户。“由于事件的性质,您的电子邮件地址、客户服务消息的内容以及您与Discord之间发送的任何附件可能已经暴露给第三方,”Discord在发给受影响用户的信中说。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
