Turla APT滥用MSBuild分发TinyTurla后门

首页 > 清静研究 > 清静转达 > 清静简讯

Turla APT滥用MSBuild分发TinyTurla后门

宣布时间 2024-05-23

1. Turla APT滥用MSBuild分发TinyTurla后门

5月22日，一个与俄罗斯有关的高级一连性威胁 (APT) 组织一直在滥用 PDF 和 MSBuild 项目文件，使用社交工程电子邮件将 TinyTurla 后门作为无文件负载举行撒播。研究职员体现，该运动的无缝撒播程序在重大性方面取得了显著的前进。Cyble 研究职员和情报实验室 (CRIL) 的研究职员发明了这一运动，该运动使用电子邮件和约请人权钻研会或提供公共咨询的文件作为诱饵，以熏染 TinyTurla 用户。他们在昨天宣布的有关该运动的博客文章中体现，攻击者还冒充正当政府，以引诱受害者受骗。研究职员指出，TinyTurla 后门与俄罗斯资助的恒久威胁组织Turla有关，该组织通常针对非政府组织，“特殊是那些与支持乌克兰有联系的组织”。帖子称，他们以为该组织是恶意攻击运动的幕后黑手。

https://www.darkreading.com/cyberattacks-data-breaches/russia-turla-apt-msbuild-tinyturla-backdoor

2. CISA 忠言使用Mirth Connect误差的攻击运动

5月21日，Mirth Connect 是一种普遍使用的跨平台界面引擎，医疗保健组织将其用于信息治理。影响开源产品的误差 CVE-2023-43208 是一个数据反序列化问题，可导致未经身份验证的远程代码执行。4.4.1 版宣布时已推出补丁。该误差于 2023 年 10 月曝光，其时网络清静公司 Horizon3.ai 忠言称该误差可能对医疗保健公司造成影响。CVE-2023-43208 是 CVE-2023-37679 的一个变体，Mirth Connect 开发职员之前已在 4.4.0 版宣布时对该误差举行了修补。Horizon3.ai 其时将该误差形貌为易于使用，并忠言称“攻击者很可能使用此误差举行初始会见或破损敏感的医疗数据”。该清静公司还指出，发明了 1,200 多个袒露在互联网上的 NextGen Mirth Connect 实例。

https://www.securityweek.com/cisa-warns-of-attacks-exploiting-nextgen-healthcare-mirth-connect-flaw/

3. 黑客团伙使用勒索软件攻击菲律宾政府

5月22日，黑客正在使用泄露的勒索软件构建者对菲律宾的要害基础设施提倡攻击——这是出于政治念头的整体的趋势的一部分，他们越来越多地试图扰乱这个东南亚国家的生涯。网络清静公司 SentinelOne的研究职员体现，一个名为“Ikaruz Red Team”的组织是少数几个针对菲律宾政府目的的黑客组织之一。该行动使用了多种勒索软件构建者——包括 LockBit、Vice Society、Clop 和 AlphV——提倡“小规模”攻击。它还在网上宣传菲律宾多个组织的数据泄露情形。SentinelOne 体现，受害者的条子险些所有剽窃自原始 LockBit 模板，顶部的名字除外。未提供联系信息。

https://therecord.media/philippines-hacktivist-groups-leaked-versions-ransomware

4. GhostEngine 挖矿攻击使用易受攻击的驱动

5月22日，已发明代号为“REF4578”的恶意加密钱币挖掘运动安排了名为 GhostEngine 的恶意负载，该负载使用易受攻击的驱动程序来关闭清静产品并安排 XMRig 挖矿程序。Elastic Security Labs 和安天的研究职员在单独的报告和共享的检测规则中强调了这些加密钱币挖掘攻击的异常重大性，以资助防御者识别和阻止它们。然而，两份报告均未将该运动归罪于已知的威胁行为者，也未分享有关目的/受害者的详细信息，因此该运动的起源和规模仍然未知。虽然尚不清晰服务器最初是怎样被破损的，但威胁行为者的攻击从执行名为“Tiworker.exe”的文件最先，该文件伪装成正当的 Windows 文件。该可执行文件是 GhostEngine 的初始登台有用负载，GhostEngine 是一个 PowerShell 剧本，可下载种种�？橐栽谑苎镜淖氨干现葱胁畋鸬男形�。

https://www.bleepingcomputer.com/news/security/ghostengine-mining-attacks-kill-edr-security-using-vulnerable-drivers/

5. 西悉尼大学遭到黑客攻击部分学生数据泄露

5月21日，在威胁行为者破损了其 Microsoft 365 和 Sharepoint 情形后，西悉尼大学 (WSU) 已向学生和学术职员转达了数据泄露事务。WSU 是澳大利亚的一所教育机构，提供跨学科的普遍本科、研究生和研究课程。它拥有 47,000 名学生和 4,500 多名正式和季节性员工，运营预算为 6 亿美元。西悉尼大学网站今日宣布通告，忠言称黑客已会见其 Microsoft Office 365 情形，包括电子邮件帐户和 SharePoint 文件。所袒露的数据因人而异，详细取决于电子邮件通讯的内容以及大学 SharePoint 情形中存储的文档。

https://www.bleepingcomputer.com/news/security/western-sydney-university-data-breach-exposed-student-data/#google_vignette

6. Void Manticore瞄准以色列和阿尔巴尼亚

5月22日，该组织名为 Void Manticore (Storm-0842)，在差别国家以种种假名开展运动。最著名的又名包括针对阿尔巴尼亚袭击的“领土正义”和针对以色列行动的“因果报应”。针对差别的区域，针对每个目的接纳奇异的要领。该组织的运动与另一个伊朗组织 Scarred Manticore 的运动重叠，这批注协协调系统的受害者选择是他们为伊朗情报和清静部 (MOIS) 事情的一部分。专家忠言说，虚空蝎狮对任何阻挡伊朗利益的人组成重大威胁。该组织使用重大的假名网络、战略协作和重大的攻击要领。该组织以其双重网络攻击方法而著名，将物理数据破损与心理压力相团结。Void Manticore 使用五种差别的要领，包括针对 Windows 和 Linux 的自界说擦除器，通过删除文件和使用共享磁盘来破损系统。

https://meterpreter.org/void-manticore-iranian-state-sponsored-hackers-target-israel-albania/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究