麒麟勒索软件组织声称入侵乌克兰外交部

宣布时间 2025-03-07

1. 麒麟勒索软件组织声称入侵乌克兰外交部


3月7日,麒麟勒索软件组织声称已乐成入侵乌克兰外交部,这是一次重大的网络清静事务。该组织宣称窃取了包括私人通讯、小我私家信息和官方执法在内的敏感数据,并已将部分数据出售给第三方,同时在其Tor泄密网站上宣布了一系列被盗文件的图像作为证据。然而,乌克兰外交部尚未对这一数据泄露事务举行证实。此次攻击被视为俄罗斯和乌克兰一连冲突中混淆战争升级的一部分,可能与克里姆林宫战略一致的黑客活动和网络犯法集团有关。麒麟勒索软件组织自2022年起活跃,曾因攻击英国政府医疗服务提供商Synnovis而受到关注,通常接纳“双重勒索”手段。最近,该组织还声称对影响数十家外地报纸的李氏企业网络攻击认真。李氏企业是一家上市的美国媒体公司,在多个州出书大宗报纸和周刊。此次事务再次凸显了网络清静的主要性,以及勒索软件组织对全球企业和政府机构组成的威胁。


https://securityaffairs.com/175025/cyber-crime/qilin-ransomware-ministry-of-foreign-affairs-of-ukraine.html


2. 微软删除恶意广告活动所用GitHub存储库,近百万装备受影响


3月6日,微软在2024年12月初检测到一次大规模恶意广告活动,该活动影响了全球近一百万台装备。攻击者通过在不法盗版流媒体网站的视频中注入恶意广告重定向器,将潜在受害者重定向到他们控制的恶意GitHub存储库。这些存储库中的恶意软件会熏染用户系统,执行系统发明、网络详细的系统信息,并在安排特另外第二阶段有用载荷时窃取数据。在第三阶段,攻击者会下载NetSupport远程会见木马(RAT)和其他信息窃取恶意软件,如Lumma和Doenerium,来窃取用户数据和浏览器凭证。虽然GitHub是此次活动第一阶段交付有用载荷的主要平台,但Microsoft Threat Intelligence也视察到在Dropbox和Discord上托管的有用载荷。此次攻击活动具有无差别性,影响了普遍的组织和行业,包括消耗者和企业装备。微软用“Storm-0408”这个总称来追踪这一活动,并提供了有关此次重大恶意广告活动的多阶段攻击链中攻击的各个阶段和所使用的有用载荷的详细信息。


https://www.bleepingcomputer.com/news/security/microsoft-says-malvertising-campaign-impacted-1-million-pcs/


3. Akira勒索软件团伙使用网络摄像头绕过EDR提倡攻击


3月6日,Akira勒索软件团伙接纳了一种不寻常的攻击要领,使用不清静的网络摄像头对受害者网络提倡加密攻击,乐成绕过了Windows中的端点检测和响应(EDR)工具。网络清静公司S-RM在一次事务响应中发明了这一攻击方法。Akira团伙首先通过远程会看法决计划进入公司网络,安排正当的远程会见工具AnyDesk窃取数据,并使用远程桌面协议(RDP)举行横向移动。然而,当他们在Windows上安排勒索软件负载时被EDR工具阻止。随后,Akira扫描网络寻找其他装备,发明了易受攻击的网络摄像头和指纹扫描仪。由于网络摄像头运行Linux操作系统且没有EDR代理,Akira选择使用它挂载公司其他装备的Windows SMB网络共享,并在网络摄像头上启动Linux加密器,乐成加密了SMB上的网络共享文件。S-RM指出,已有针对网络摄像头误差的补丁,批注此次攻击是可阻止的。此案例强调了EDR掩护并非周全清静解决计划,物联网装备也应与敏感网络隔离并按期更新固件以修补误差。


https://www.bleepingcomputer.com/news/security/akira-ransomware-encrypted-network-from-a-webcam-to-bypass-edr/


4. StubHub票务员工盗售千余张音乐会门票遭起诉


3月6日,纽约审查官指控StubHub在线票务市场的两名第三方承包商事情职员涉嫌偷窃并转售近1000张高价值音乐会门票,赚取635,000美元。这些门票大大都是泰勒·斯威夫特的Eras Tour门票,以及其他着名活动如Ed Sheeran、Adele演唱会、NBA角逐和美国网球果真赛的门票。两名被告划分是20岁的泰隆·罗斯和31岁的莎玛拉·西蒙斯,他们在牙买加萨瑟兰全球服务公司事情,使用离岸票务供应商平台的误差阻挡了约350份StubHub订单,窃取门票。他们据称通过会见StubHub盘算机系统,找到后门进入网络清静区域,将已售出门票的URL重定向到同谋的电子邮件上。两人已在纽约市被捕,并面临多项刑事指控,一旦罪名建设,将面临最高15年的羁系。此次攻击行动凸显了地方审查官办公室对网络犯法的小心性,以及与行业合作伙伴攻击诓骗活动和确保消耗者掩护的主要性。视察仍在举行中,以确定此次行动的规模和其他潜在同谋。


https://www.bleepingcomputer.com/news/security/cybercrime-crew-stole-635-000-in-taylor-swift-concert-tickets/


5. PyPI上的以太坊私钥窃取程序被下载凌驾 1,000 次


3月6日,一个名为“set-utils”的恶意Python包在PyPI上被发明,该包伪装成适用的工具包,通过阻挡以太坊钱包创立功效窃取私钥,并通过Polygon区块链将其泄露。自2025年1月29日提交以来,该包已被下载一千多次,主要针对区块链开发职员、基于Python的DeFi项目、支持以太坊的Web3应用程序以及使用Python自动化的小我私家钱包。该恶意包嵌入了攻击者的RSA公钥,用于加密被盗的私钥,并将其嵌入到以太坊生意的数据字段中,通过Polygon RPC端点发送到攻击者的帐户。这种要领相对隐藏,不易被防火墙和防病毒工具检测到。一旦数据辛尕犏程完成,攻击者可以随时检索被盗数据,由于被盗信息会永世存储在区块链上。只管该包已被从PyPI中删除,但已将其纳入项目的用户和软件开发职员应连忙卸载它,并假设建设的任何以太坊钱包都已受到威胁,尽快转移资金以阻止被盗危害。


https://www.bleepingcomputer.com/news/security/ethereum-private-key-stealer-on-pypi-downloaded-over-1-000-times/


6. 凌驾1000个WordPress网站遭恶意JavaScript代码攻击


3月6日,凌驾1000个由WordPress支持的网站被第三方JavaScript代码熏染,该代码植入了四个自力后门,为攻击者提供多重入侵途径。这些后门包括一个名为“Ultra SEO Processor”的虚伪插件,用于执行攻击者下令;向wp-config.php注入恶意JavaScript;向~/.ssh/authorized_keys添加SSH密钥以实现远程会见;以及从gsocket[.]io获取载荷以翻开反向shell。为降低危害,用户被建议删除未授权SSH密钥、替换WordPress管理员密码,并监控日志。此前,已有凌驾35000个网站遭恶意JavaScript入侵,导致会见者被重定向至中文赌博平台。同时,名为ScreamedJungle的威胁行为者通过注入Bablosoft JS剧本,影响了115个以上的Magento网站,网络用户指纹信息。攻击者使用已知误差,如CVE-2024-34102和CVE-2024-20720,举行网站入侵。Group-IB指出,浏览器指纹识别手艺虽常用于用户跟踪和营销战略,但也被犯法分子用于模拟正当用户、逃避清静步伐及实验诓骗。


https://thehackernews.com/2025/03/over-1000-wordpress-sites-infected-with.html