SloppyLemming使用Cloudflare Workers等工具发动特工攻击

首页 > 清静研究 > 清静转达 > 清静简讯

SloppyLemming使用Cloudflare Workers等工具发动特工攻击

宣布时间 2024-09-27

1. SloppyLemming使用Cloudflare Workers等工具发动特工攻击

9月25日，高级一连性威胁（APT）组织“SloppyLemming”近期被发明使用Cloudflare的Worker云服务以及Discord、Dropbox、GitHub等工具，在印度次大陆及周边地区对政府和执法机构举行普遍的特工活动。该组织被Crowdstrike追踪为“Outrider Tiger”，其行动与从印度及周边国家敏感组织窃取情报高度相关。受害者包括政府机构、IT和电信企业、修建公司，甚至巴基斯坦的核电设施，且攻击规模还扩展至孟加拉国、斯里兰卡及中国的能源与学术机构，甚至可能触及澳大利亚首都堪培拉。SloppyLemming通过全心设计的鱼叉式网络垂纶邮件启动攻击，使用Cloudflare Workers这一无服务器盘算平台执行恶意剧本，阻挡并操作流经Cloudflare的Web流量，以窃取登录凭证和泄露电子邮件。别的，SloppyLemming还开发了名为“CloudPhish”的定制工具，专门用于凭证窃取和泄露，通过模拟目的Webmail登录页面来诱骗用户输入信息。同时，该组织还使用Google OAuth令牌网络和RAR文件误差使用（CVE-2023-38831）等手段，构建重大的攻击链，进一步加剧了清静威胁。

https://www.darkreading.com/cloud-security/sloppylemming-apt-cloudflare-pakistan-attacks

2. 法国9500万条公民数据遭泄露，涉及多行业信息

9月25日，法国近期爆发了一起震惊的数据泄露事务，涉及凌驾9500万条公民数据纪录被果真置于互联网上，远超法国总生齿数，数据规模涵盖姓名、联系方法、电子邮件及部分支付信息等敏感内容。此次事务由Cybernews与网络清静专家配合揭破，源头指向一个开放的Elasticsearch服务器“vip-v3”，无需认证即可会见，内含至少30GB数据，源于17起差别的数据泄露事故。泄露数据不但数目重大，且种类繁多，涉及电信、电商、社交媒体等多个行业，包括着名公司如Lycamobile、Pandabuy、Darty、Discord及Snapchat等，反应了数据泄露问题的普遍性和严重性。尤为值得关注的是，数据库果真状态已一连一段时间，不扫除已有恶意第三方复制数据用于不法活动。别的，该行为显着违反了欧盟GDPR规则，显示出数据库管理者对执法的无视及潜在的恶意目的。研究职员忠言，云云集中且详尽的小我私家信息袒露，将极大提升身份偷窃、诓骗及网络攻击的危害，对数百万小我私家及企业组成威胁。

https://cybernews.com/security/french-records-exposed-by-mysterious-data-hoarder/

3. 美国国会超3000名事情职员信息遭暗网泄露

9月26日，美国国会大厦近期成为大规模网络攻击的受害者，导致凌驾3,000名国会事情职员的敏感小我私家信息在暗网上曝光。据Proton和Constella Intelligence公司的研究发明，这些泄露数据包括密码、IP地址及社交媒体信息，共计约3,191条纪录，其中近五分之一的国会员工受到波及。特殊值得注重的是，部分员工因不良习惯，如使用官方邮箱注册包括约会和成人网站等高危害网站，导致信息被多次泄露，最高单例涉及31个密码。Proton指出，这种将事情邮箱与不清静平台绑定的行为组成了严重清静误差。公司允许将进一步宣布视察效果，并强调在总统选举时代增强防护的主要性。同时，公司已向所有受影响的国会事情职员发出警示。别的，今年6月，统一视察团队还发明数百名英国及欧盟政客的小我私家信息同样在暗网市场上流通，包括电子邮箱、密码及出生日期等敏感数据，凸显了全球政治领域面临的网络清静挑战。

https://securityaffairs.com/168912/deep-web/3000-congressional-staffers-data-leaked-dark-web.html

4. Unit 42展现RomCom恶意软件新变种SnipBot

9月25日，Unit 42清静团队近期揭破了污名昭著的RomCom恶意软件家族的新变种“SnipBot”，该变种于2024年头崭露头角，专为企业网络设计，具备远程操控与恶意负载下载能力。SnipBot以其立异的代码混淆手艺和高级反检测战略为特点，被推测为针对IT服务、企业法人及农业等行业提倡的普遍网络攻击的一部分。2024年4月，Unit 42捕获到一个异常DLL�？�，确以为SnipBot工具包组件。通过深入剖析，研究职员还原了SnipBot的熏染路径及后续活动。其熏染始于伪装成正当PDF文件的垂纶邮件，内含恶意可执行文件。一旦入侵乐成，SnipBot付与攻击者周全控制权，允许其执行恣意下令、搜集系统信息及窃取数据。同时，SnipBot能下载如SnippingTool.dll、svcnet.exe等特殊�？�，增强攻击能力。Unit 42视察到，攻击者特殊关注从受害者网络中提取数据，尤其是域控制器信息，使用PuTTY、WinRAR等正当工具及fsutil.exe、dsutil.exe等伪装执行恶意操作。只管RomCom家族常与勒索软件活动相关联，但SnipBot的行为模式显示出其正转向情报网络与特工活动。

https://securityonline.info/new-romcom-variant-snipbot-unveiled-a-sophisticated-malware-targeting-enterprise-networks/

5. 起亚经销商网站现严重误差：黑客可凭车牌号远程控制数百万车辆

9月26日，清静领域近期曝出一起针对起亚汽车的清静误差事务，该误差涉及起亚汽车经销商门户网站，使得黑客仅凭车牌号就能在极短时间内远程控制数百万辆2013年后生产的起亚汽车。这一发明追溯至今年6月，由清静研究员萨姆-库里等人揭破。与去年曝光的涉及多家汽车品牌的误差类似，此次起亚误差不但让黑客能远程操控车辆，还袒露了车主的敏感小我私家信息，如姓名、联系方法及地址。研究职员通过注册经销商账户并获取会见令牌，乐成渗透后端API，进而实现对车辆及车主数据的周全会见。他们开发了一个演示工具，展示了黑客怎样通过车牌号在30秒内执行包括锁定/解锁、启动/阻止车辆、鸣笛及定位在内的远程控制操作。更为严重的是，黑客还能在车主绝不知情的情形下，将自己添加为车辆的第二用户，实现隐藏的远程操控。幸运的是，这些误差已被实时发明并修复，且未发明有恶意使用的纪录。起亚团队也确认了误差未被外部恶意攻击所使用。

https://www.bleepingcomputer.com/news/security/kia-dealer-portal-flaw-could-let-attackers-hack-millions-of-cars/

6. Rhadamanthys在0.7.0版本中添加了立异的AI功效

9月26日，Rhadamanthys是一款自2022年起迅速演进的高级信息窃取程序，其最新0.7.0版本集成了人工智能驱动的光学字符识别手艺，能从图像中提取加密钱币种子短语，极大提升了其威胁性。只管面临地区性禁令，该恶意软件仍活跃于地下市场，使用MSI装置程序伪装等手段规避检测，以偷取凭证、系统信息及财务数据。其AI图像识别功效尤为引人注目，使攻击者能自动捕获并泄露加密钱币信息。Rhadamanthys的开发者通过TOX和Telegram等平台一连推广，并针对北美、南美等地加密钱币用户实验精准攻击。为应对这一威胁，Insikt Group提出了多种缓解战略，包括基于互斥锁的终止开关、高级检测规则及强化端点�；さ�，旨在自动阻止恶意软件执行并提升系统防护能力。展望未来，随着Rhadamanthys 0.8.0等新版本的研发，预计其将融合更多机械学习手艺，进一步提升窃取效率与隐藏性。因此，坚持检测手艺的一连更新与升级，关于有用抵御此类高级威胁至关主要。

https://www.recordedfuture.com/research/rhadamanthys-stealer-adds-innovative-ai-feature-version

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

耀世娱乐

网络清静防护

网络清静检测

应用清静

数据清静

清静管理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系耀世娱乐

清静研究