TA544利用WikiLoader针对意大利的企业分发Ursnif

首页 > 宁静研究 > 宁静通报 > 宁静简讯

TA544利用WikiLoader针对意大利的企业分发Ursnif

宣布时间 2023-08-02

1、TA544利用WikiLoader针对意大利的企业分发Ursnif

Proofpoint在7月31日披露了利用新恶意软件WikiLoader针对意大利企业的攻击活动。WikiLoader是一个庞大的下载法式，因为它会向Wikipedia发出请求并检查响应内容中是否包罗字符串“The Free”而得名。Proofpoint于2022年12月27日首次在野外检测到该恶意软件，由TA544流传。研究人员称，至少有8个活动在分发WikiLoader，来自TA544和TA551，均针对意大利的组织。此外，虽然大多数攻击者已不再使用启用宏的文档来流传恶意软件，但TA544仍在攻击链中使用它们，包罗流传WikiLoader。

https://www.proofpoint.com/us/blog/threat-insight/out-sandbox-wikiloader-digs-sophisticated-evasion

2、美国衣饰公司Hot Topic遭到撞库攻击泄露客户的信息

据媒体8月1日报道，美国衣饰及授权音乐零售连锁店Hot Topic透露其遭到了多起攻击事件，导致客户的敏感信息泄露。该公司在美国拥有675家商店，以及每月近1000万访问量的在线商店。该公司解释说，黑客使用窃取的帐户凭据多次访问了Rewards平台，可能获得了客户的数据。经视察，攻击者于2023年2月7日、3月11日、5月19日至21日、5月27日至28日和6月18日至21日，使用有效帐户凭据对网站和移动应用执行了自动攻击。该公司体现，Hot Topic不是泄露凭证的来源，但也无法找到来源。

https://www.bleepingcomputer.com/news/security/retail-chain-hot-topic-discloses-wave-of-credential-stuffing-attacks/

3、Henry Ford Health遭钓鱼攻击近17万患者信息泄露

据7月27日报道，美国的学术医疗机Henry Ford Health称其3名员工遭到钓鱼攻击，影响了168215个患者的信息。该机构在声明中体现，攻击事件发生于3月30日，该组织已将被影响的电子邮件帐户�；て鹄床⒄箍硬�。5月16，确定患者的健康信息包罗在电子邮箱中，而且可能已被攻击者窃取，涉及姓名、实验室结果、手术类型、诊断、电话号码、病历号和内部跟踪号等信息。该公司体现，他们正在实施特别的宁静措施，并将为员工提供宁静培训。

https://www.bankinfosecurity.com/phishing-scam-affects-nearly-170k-henry-ford-health-patients-a-22672

4、Cado发现可针对Redis服务器的P2PInfect蠕虫新变体

7月31日，Cado发现了一种针对Redis的新型恶意软件活动。该恶意软件被开发者命名为P2Pinfect，用Rust开发，充当僵尸网络署理。研究人员分析的样本包罗一个嵌入式PE文件以及一个ELF二进制文件，这表明了Windows和Linux之间具有跨平台兼容性。它还利用复制功效来攻击Redis数据存储的实例。此外，P2Pinfect试图通过Cron未经身份验证的RCE机制攻击Redis主机。该活动背后的攻击者身份尚不清楚，P2PInfect的目的也不清楚。

https://www.cadosecurity.com/redis-p2pinfect/

5、Minecraft mod漏洞BleedingPipe已被大规模利用

媒体7月31日报道称，黑客正在利用Minecraft mod中的RCE漏洞BleedingPipe在服务器和客户端执行恶意命令，从而控制设备。BleedingPipe漏洞最初于2022年3月被利用，但很快就被mod开发者修复了。然而在7月早些时候，Forge论坛的一篇帖子称，有人利用未知RCE来大规模窃取玩家的Discord和Steam会话cookie。进一步研究发现，多个Minecraft mod中也存在BleedingPipe漏洞。攻击者正在扫描受该漏洞影响的Minecraft服务器并执行攻击，因此修复服务器上易被攻击的mod至关重要。

https://www.bleepingcomputer.com/news/security/hackers-exploit-bleedingpipe-rce-to-target-minecraft-servers-players/

6、Bahamut通过假冒的Android应用SafeChat窃取信息

7月28日，CYFIRMA称其发现了一个可疑的Android恶意软件，伪装成虚假的聊天应用SafeChat，窃取手机的通话记录、短信和GPS位置等数据。该恶意软件被怀疑是Coverlm的变种，会窃取Telegram、Signal、WhatsApp、Viber和Facebook Messenger等通讯应用的数据。该活动与印度黑客团伙Bahamut有关，主要通过WhatsApp上的鱼叉式钓鱼消息进行，主要针对南亚地域。此外，该活动与印度的另一个黑客团伙DoNot的活动有相似之处。

https://www.cyfirma.com/outofband/apt-bahamut-targets-individuals-with-android-malware-using-spear-messaging/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究