Bling Libra战略转变：从数据偷窃到云勒索

首页 > 清静研究 > 清静转达 > 清静简讯

Bling Libra战略转变：从数据偷窃到云勒索

宣布时间 2024-08-29

1. Bling Libra战略转变：从数据偷窃到云勒索

8月27日，Unit 42网络清静团队展现，污名昭著的Bling Libra威胁组织已显著转变其战略，从以往通过地下市场销售窃取数据，转变为针对云情形实验勒索攻击。这一转变尤为令人担心，由于Bling Libra已乐成使用AWS凭证入侵多家企业的云账户，特殊是通过Amazon S3资源。他们全心策划的入侵行动，包括详尽的数据探索和隐藏的运动追踪，使得攻击初期难以被察觉。使用S3浏览器和WinSCP等工具，Bling Libra不但绘制了受害者的存储桶结构，还删除了要害数据，进一步加剧了损失。愈甚者，在完成破损后，该组织建设了讥笑性的新S3存储桶，并提倡勒索邮件，要求支付赎金以恢复数据和阻止攻击。Unit 42的报告深入剖析了这些工具的使用方法，为防御者提供了识别恶意运动的线索。鉴于云服务的普及，报告强调组织应接纳最小特权原则和强化清静步伐，如使用IAM会见剖析和AWS服务控制战略，以有用抵御此类高级威胁。

https://securityonline.info/bling-libras-tactical-evolution-exploiting-cloud-misconfigurations-for-extortion/

2. Poortry工具集进化：从EDR杀手到周全擦除者

8月27日，Sophos X-Ops最新报告展现了恶意工具集Poortry的最新希望，该工具旨在针对Windows系统上的端点检测和响应（EDR）软件提倡攻击。自2022年被Mandiant发明以来，Poortry通过其加载程序“Stonestop”成为多个勒索软件组织的要害工具，一直进化以逃避检测。最新版本的Poortry不但限于禁用EDR软件，更能从磁盘中彻底扫除清静软件的要害组件，从而为其背后的勒索软件攻击扫清蹊径。Poortry的焦点战略是使用Windows内核模式驱动程序的普遍权限，通过扫除挂钩和终止�；だ汤慈乒寰不�。其开发者使用多种要领绕过代码署名验证，包括滥用泄露的证书、伪造时间戳以及实验直接通过Microsoft的WHQL证实署名士程获取正当证书。只管面临微软和Sophos的曝光与封堵，Poortry依然通过无邪调解战略坚持活跃。尤为值得关注的是，Poortry在2024年7月的一次事务中首次展示了其删除EDR组件的新能力，这显著增添了组织面临的危害。

https://securityonline.info/poortry-edr-killer-evolves-now-wipes-security-software-from-windows-systems/

3. Park'N Fly遭黑客入侵，百万客户数据泄露

8月27日，Park'N Fly是加拿大着名机场外停车服务提供商，近期遭遇严重数据泄露事务，约100万客户的小我私家信息被黑客不法获取。威胁者使用窃取的VPN凭证，在7月中旬侵入公司网络，并在7月11日至13日时代实验了未授权会见。泄露的信息包括客户全名、电子邮件、住址、航班号及民航局号码，但幸运的是，财务和支付卡信息未被波及。Park'N Fly迅速接纳行动，五天内恢复了受影响的系统，并增强了清静步伐以避免未来类似事务的爆发。公司CEO卡罗·马雷洛向客户及相助同伴致歉，并允许将全力�；び没畔�。受影响的客户在社交媒体上表达了对数据泄露的担心，并对公司数据保存政策提出质疑。Park'N Fly提醒所有受影响的客户坚持高度小心，提防潜在的网络垂纶攻击。

https://www.bleepingcomputer.com/news/security/parkn-fly-notifies-1-million-customers-of-data-breach/

4. 使用Atlassian Confluence误差CVE-2023-22527举行加密挟制

8月28日，Trend Micro 研究职员展现了针对 Atlassian Confluence 数据中心和服务器版本的严重误差（CVE-2023-22527）的普遍加密挟制运动。该误差于2024年1月16日由Atlassian果真，其CVSS评分为满分10，批注其极高危害性。该误差通过模板注入机制，允许未授权攻击者远程执行代码，控制服务器。自2024年6月中旬起，使用此误差的加密钱币挖掘攻击急剧增添，主要由三个威胁行为者主导，他们接纳差别战略安排XMRig挖矿机，盗用盘算资源以牟利。其中一个行为者直接使用ELF文件负载安排挖矿机，而另一行为者则接纳重大手段，通过SSH剧本渗透系统，扫除竞争挖矿历程，禁用云清静服务，并网络敏感信息以扩大攻击规模。这些行为者还通过建设多个cron作业来维持对受熏染服务器的控制，确保挖矿运动一连举行，并消除潜在的清静障碍。为应对此威胁，治理员应连忙更新Confluence至最新版本，并强化清静步伐。

https://www.trendmicro.com/en_us/research/24/h/cve-2023-22527-cryptomining.html

5. BlackByte 勒索软件新攻势：使用VMware ESXi误差与VPN会见

8月29日，BlackByte 勒索软件组织正借助新发明的 VMware ESXi 误差及VPN会见途径，对全球企业提倡新一轮强烈攻击。思科Talos 团队揭破了其攻击战略，BlackByte 不但使用CVE-2024-37085误差绕过身份验证，还通过VPN等远程会识趣制隐秘渗透，以低可见性方法扩大熏染规模。该组织还善于使用窃取的Active Directory凭证自我撒播，加剧了其破损力。只管其果真数据泄露网站仅展示部分攻击案例，但Talos 研究显示着实际运动远超预期。制造业、运输/仓储、专业服务、信息手艺及公共行政成为其重点攻击目的。为应对此威胁，组织需紧迫修补VMware ESXi等系统，实验MFA，审核VPN设置，并限制要害网络会见。同时，禁用或限制NTLM使用，安排高效的端点检测和响应系统，并构建周全的清静战略，融合自动威胁情报与事务响应能力，以周全抵御BlackByte等勒索软件的损害。

https://hackread.com/blackbyte-ransomware-vmware-flaw-vpn-based-attacks/

6. 伊朗APT33使用Tickler恶意软件攻击美国政府和国防等机构

8月28日，伊朗黑客组织APT33，又名Peach Sandstorm和Refined Kitten，近年来频仍发动网络攻击，其最新手段涉及使用新型Tickler恶意软件，重点针对美国和阿联酋的政府、国防、卫星、石油及自然气部分的组织。2024年4月至7月间，该组织通过Microsoft Azure基础设施实验下令与控制（C2），使用诓骗性Azure订阅举行情报网络。此前，APT33已乐成使用密码喷洒攻击侵入国防、航天、教育及政府部分，尤其是通过教育行业盗用账户来获取Azure资源。别的，APT33在2023年还接纳类似战略，使用FalseFont后门恶意软件攻击全球国防承包商。微软对此类攻击坚持高度小心，指出APT33自2023年2月以来，已对全球数千个组织举行了大规模密码喷洒攻击，威胁领域进一步扩展到制药业。为应对这一威胁，微软宣布自10月15日起，所有Azure登录实验均需通过多重身份验证（MFA），旨在显著增强账户清静性。

https://www.bleepingcomputer.com/news/security/APT33-Iranian-hacking-group-uses-new-tickler-malware-to-backdoor-us-govt-defense-orgs/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究