用于竊取ATM銀行數(shù)據(jù)的新型Unix rootkit
責編:gltian |2022-03-22 15:58:211、用于竊取ATM銀行數(shù)據(jù)的新型Unix rootkit
在LightBasin(有經(jīng)濟動機的黑客組織)的活動之后,威脅分析人員報告稱,他們發(fā)現(xiàn)了一個以前未知的Unix rootkit,用于竊取ATM銀行數(shù)據(jù)和進行欺詐交易。最近有人觀察發(fā)現(xiàn),其瞄準了具有定制植入物的電信公司。無獨有偶,早在2020年,他們就曾被發(fā)現(xiàn)損害了托管服務提供商及其客戶。
在Mandiant一份新的報告中,研究人員提出了關于LightBasin活動的進一步證據(jù),重點關注銀行卡欺詐和關鍵系統(tǒng)危害。[閱讀原文]
2、CISA,F(xiàn)BI警告美國關鍵組織SATCOM網(wǎng)絡受到威脅
CISA和FBI表示,他們意識到美國和全球的衛(wèi)星通信(SATCOM)網(wǎng)絡“可能受到威脅”。
安全咨詢還警告美國關鍵基礎設施組織,網(wǎng)絡入侵可能會給衛(wèi)星通信提供商的客戶帶來風險。
CISA和FBI表示:“成功入侵衛(wèi)星通信網(wǎng)絡可能會給衛(wèi)星通信網(wǎng)絡提供商的客戶環(huán)境帶來風險。”
“CISA和FBI強烈鼓勵關鍵基礎設施組織和其他衛(wèi)星通信網(wǎng)絡供應商或客戶組織審查,并實施本CSA中概述的緩解措施,以加強衛(wèi)星通信網(wǎng)絡安全。”
這兩個機構(gòu)建議衛(wèi)星通信網(wǎng)絡提供商增加額外的出入口監(jiān)控,以此來檢測異常流量,它們還分享了應由客戶和提供商共同實施的緩解措施。[閱讀原文]
3、Google揭露了Conti勒索軟件訪問代理的策略
谷歌的威脅分析小組(Threat Analysis Group)曝光了一個名為“EXOTIC LILY”的威脅行為人小組的運營情況,這是一個與Conti和Diavol勒索軟件運營有關的初始訪問代理。
據(jù)發(fā)現(xiàn),這個群體利用微軟MSHTML(CVE-2021-40444)中的零日漏洞,谷歌研究人員認為它可能成為一個潛在的復雜威脅參與者。
經(jīng)過進一步調(diào)查,確定“EXOTIC LILY”是一家初始訪問代理,它利用大規(guī)模的網(wǎng)絡釣魚活動來破壞目標公司網(wǎng)絡,然后將這些網(wǎng)絡的訪問權(quán)出售給勒索軟件團伙。
在巔峰時期,EXOTIC LILY在一天內(nèi)向650個組織發(fā)送了5000多封電子郵件,顯示了其網(wǎng)絡釣魚活動的廣泛性。[閱讀原文]
4、ASUS警告Cyclops Blink惡意軟件攻擊針對路由器
多臺ASUS路由器型號易受Cyclops Blink惡意軟件威脅,供應商就此發(fā)布了一份關于安全風險緩解的建議。
Cyclops Blink是一個與俄羅斯支持的沙蟲黑客組織有關的惡意軟件,該組織歷來以WatchGuard Firebox和其他SOHO網(wǎng)絡設備為目標。
Cyclops Blink的作用是幫助設備上的攻擊者遠程訪問受損的網(wǎng)絡。
因為Cyclops Blink是模塊化的,所以它可以很容易更新,并針對新設備不斷刷新其范圍,利用新的可利用硬件池。
Trend Micro在一次協(xié)調(diào)披露中警告稱,該惡意軟件具有一個專門的模塊,該模塊針會對多個華碩路由器,允許該惡意軟件讀取閃存,從而收集有關關鍵文件、可執(zhí)行文件、數(shù)據(jù)和庫的信息。
然后,惡意軟件會收到一個命令將其持久性滴嵌套在閃存中,即使通過工廠重置,該存儲空間也不會被擦除。[閱讀原文]
5、微軟創(chuàng)建了一種掃描MikroTik路由器的工具,用于檢測TrickBot感染
微軟發(fā)布了一款掃描儀,可以檢測被TrickBot團伙黑客入侵的MikroTik路由器,同時作為命令和控制服務器的代理。
TrickBot是一種僵尸程序,通過網(wǎng)絡釣魚電子郵件傳播,或者由已經(jīng)感染設備的其他僵尸程序投放。一旦執(zhí)行,TrickBot將連接到遠程命令和控制服務器,從而接收命令并下載更多有效負載。這樣一來,它就能夠在受感染的機器上運行了。
多年來,TrickBot一直使用路由器等物聯(lián)網(wǎng)設備作為受感染設備和指揮控制服務器(C2)之間的代理。這些代理用于防止研究人員和執(zhí)法人員發(fā)現(xiàn)它,組織其指揮和控制基礎設施。
2022年2月,TrickBot操作被關閉,開發(fā)者現(xiàn)在正與Conti勒索軟件團伙合作,開發(fā)更隱蔽的惡意軟件,如BazaarBackdoor和Anchor families。
由于TrickBot曾經(jīng)在銷聲匿跡后再次被啟動過,類似的重啟行動在未來也是有可能發(fā)生的。因此,必須以適當?shù)氖侄伪Wo好設備,以免在以后的活動中或被其他惡意軟件團體濫用。[閱讀原文]
來源:安全客
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術與應用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡與信息法治建設回顧