用于竊取ATM銀行數據的新型Unix rootkit
責編:gltian |2022-03-22 15:58:211、用于竊取ATM銀行數據的新型Unix rootkit
在LightBasin(有經濟動機的黑客組織)的活動之后,威脅分析人員報告稱,他們發現了一個以前未知的Unix rootkit,用于竊取ATM銀行數據和進行欺詐交易。最近有人觀察發現,其瞄準了具有定制植入物的電信公司。無獨有偶,早在2020年,他們就曾被發現損害了托管服務提供商及其客戶。
在Mandiant一份新的報告中,研究人員提出了關于LightBasin活動的進一步證據,重點關注銀行卡欺詐和關鍵系統危害。[閱讀原文]
2、CISA,FBI警告美國關鍵組織SATCOM網絡受到威脅
CISA和FBI表示,他們意識到美國和全球的衛星通信(SATCOM)網絡“可能受到威脅”。
安全咨詢還警告美國關鍵基礎設施組織,網絡入侵可能會給衛星通信提供商的客戶帶來風險。
CISA和FBI表示:“成功入侵衛星通信網絡可能會給衛星通信網絡提供商的客戶環境帶來風險。”
“CISA和FBI強烈鼓勵關鍵基礎設施組織和其他衛星通信網絡供應商或客戶組織審查,并實施本CSA中概述的緩解措施,以加強衛星通信網絡安全。”
這兩個機構建議衛星通信網絡提供商增加額外的出入口監控,以此來檢測異常流量,它們還分享了應由客戶和提供商共同實施的緩解措施。[閱讀原文]
3、Google揭露了Conti勒索軟件訪問代理的策略
谷歌的威脅分析小組(Threat Analysis Group)曝光了一個名為“EXOTIC LILY”的威脅行為人小組的運營情況,這是一個與Conti和Diavol勒索軟件運營有關的初始訪問代理。
據發現,這個群體利用微軟MSHTML(CVE-2021-40444)中的零日漏洞,谷歌研究人員認為它可能成為一個潛在的復雜威脅參與者。
經過進一步調查,確定“EXOTIC LILY”是一家初始訪問代理,它利用大規模的網絡釣魚活動來破壞目標公司網絡,然后將這些網絡的訪問權出售給勒索軟件團伙。
在巔峰時期,EXOTIC LILY在一天內向650個組織發送了5000多封電子郵件,顯示了其網絡釣魚活動的廣泛性。[閱讀原文]
4、ASUS警告Cyclops Blink惡意軟件攻擊針對路由器
多臺ASUS路由器型號易受Cyclops Blink惡意軟件威脅,供應商就此發布了一份關于安全風險緩解的建議。
Cyclops Blink是一個與俄羅斯支持的沙蟲黑客組織有關的惡意軟件,該組織歷來以WatchGuard Firebox和其他SOHO網絡設備為目標。
Cyclops Blink的作用是幫助設備上的攻擊者遠程訪問受損的網絡。
因為Cyclops Blink是模塊化的,所以它可以很容易更新,并針對新設備不斷刷新其范圍,利用新的可利用硬件池。
Trend Micro在一次協調披露中警告稱,該惡意軟件具有一個專門的模塊,該模塊針會對多個華碩路由器,允許該惡意軟件讀取閃存,從而收集有關關鍵文件、可執行文件、數據和庫的信息。
然后,惡意軟件會收到一個命令將其持久性滴嵌套在閃存中,即使通過工廠重置,該存儲空間也不會被擦除。[閱讀原文]
5、微軟創建了一種掃描MikroTik路由器的工具,用于檢測TrickBot感染
微軟發布了一款掃描儀,可以檢測被TrickBot團伙黑客入侵的MikroTik路由器,同時作為命令和控制服務器的代理。
TrickBot是一種僵尸程序,通過網絡釣魚電子郵件傳播,或者由已經感染設備的其他僵尸程序投放。一旦執行,TrickBot將連接到遠程命令和控制服務器,從而接收命令并下載更多有效負載。這樣一來,它就能夠在受感染的機器上運行了。
多年來,TrickBot一直使用路由器等物聯網設備作為受感染設備和指揮控制服務器(C2)之間的代理。這些代理用于防止研究人員和執法人員發現它,組織其指揮和控制基礎設施。
2022年2月,TrickBot操作被關閉,開發者現在正與Conti勒索軟件團伙合作,開發更隱蔽的惡意軟件,如BazaarBackdoor和Anchor families。
由于TrickBot曾經在銷聲匿跡后再次被啟動過,類似的重啟行動在未來也是有可能發生的。因此,必須以適當的手段保護好設備,以免在以后的活動中或被其他惡意軟件團體濫用。[閱讀原文]
來源:安全客