LOCKBIT 卷土重来，威胁瞄准更多政府组织

首页 > 宁静研究 > 宁静通报 > 宁静简讯

LOCKBIT 卷土重来，威胁瞄准更多政府组织

宣布时间 2024-02-27

1. LOCKBIT 卷土重来，威胁瞄准更多政府组织

2月26日，在执法部门抓获 LockBit 团伙的部门成员后，LockBit 团伙卷土重来并建立了新的基础设施。NCA 及其全球合作伙伴已获得 1,000 多个解密密钥，这些密钥将允许该团伙的受害者免费恢复他们的文件。NCA 将在未来几天或几周内联系英国的受害者，提供支持以资助他们恢复加密数据。LockBit团伙并不是试图重新启动其 RaaS 业务，而是已经建立了新的基础设施，并威胁要对政府部门进行网络攻击。该团伙在其网站上添加了 12 名受害者，其中 5 名受害者的截止日期已到。

https://securityaffairs.com/159584/cyber-crime/lockbit-gang-resumed-raas.html

2. 黑客从 Axie Infinity 联合首创人的个人账户窃取近 1000 万美元

2月24日，视频游戏 Axie Infinity 和相关 Ronin Network 的联合首创人之一的个人账户中近 1000 万美元的加密货币被盗。报道称，Jeff “Jihoz” Zirlin 的钱包被黑客入侵，损失了 3,248 个以太币，约合 970 万美元。周四晚，齐林在社交媒体上证实，他的两个账户遭到泄露。Ronin Network 是Axie Infinity的基础，Axie Infinity 拥有基于以太坊的即玩即赚经济。它在东南亚特别受欢迎。2022 年 3 月，黑客从该系统中窃取了 6 亿美元的加密货币，美国检察官随后将此次攻击归咎于朝鲜国家支持的网络犯罪组织 Lazarus Group。分析师追踪到从 Zirlin 账户被盗的资金来自 Tornado Cash 的活动，Tornado Cash 是一个旨在隐藏加密货币来源的混合器。据美国政府称，Lazarus 使用混合器洗钱 2022 年黑客攻击中的资金，并单独制裁了Tornado Cash。

https://therecord.media/hackers-steal-millions-from-axie-infinity-founder-personal-accounts?&web_view=true

3. Linux攻击中使用的Nood RAT（Gh0st RAT的变种）的分析

2月26日，AhnLab 宁静情报中心 (ASEC) 最近发现 Nood RAT 被用于恶意软件攻击。Nood RAT 是在 Linux 上运行的 Gh0st RAT 的变体。尽管与 Windows 的 Gh0st RAT 相比，Linux 的 Gh0st RAT 数量较少，但 Linux 的 Gh0st RAT 案例仍在不停收集。凭据代码与 Gh0st RAT [1]之前代码的相似性，Nood RAT 被归类为 Gh0st RAT 的变体。找到了最新开发中使用的构建器，并将其命名为Nood RAT，因为作者将其命名为Nood。自2018年以来，Nood RAT已被用于种种漏洞攻击。虽然最近没有发现具体的漏洞攻击案例，但凭据VirusTotal网站的数据，案例正在不停发现。本文重点介绍了过去几年发现的恶意软件变体，并与构建者一起对其进行了分析。

https://asec.ahnlab.com/en/62144/

4. 加拿大皇家骑警 (RCMP) 官网遭遇网络攻击

2月25日，加拿大联邦和国家执法机构加拿大皇家骑警 (RCMP) 遭受网络攻击�；始移锞雇ㄖ艘阶ㄔ卑旃� (OPC)。加拿大皇家骑警发言人在向加拿大广播公司新闻发表的一份声明中体现：“情况正在迅速生长，但目前，加拿大皇家骑警的行动没有受到影响，加拿大人的宁静也没有受到任何已知的威胁。” “虽然如此严重的违规行为令人震惊，但快速的事情和接纳的缓解计谋表明加拿大皇家骑警为检测和防止此类威胁所接纳的重要步骤。”皇家骑警体现，不知道对外国警察和情报部门有任何影响。加拿大执法机构没有提供有关网络攻击的详细信息。2023 年 11 月，加拿大政府在威胁行为者入侵其两名承包商后披露了一起数据泄露事件。加拿大政府宣布，其两家承包商 Brookfield Global Relocation Services (BGRS) 和 SIRVA Worldwide Relocation & Moving Services 遭到黑客攻击，导致属于数量不详的政府雇员的敏感信息被泄露。

https://securityaffairs.com/159568/hacking/cyber-attack-hit-royal-canadian-mounted-police.html

5. 利用 ScreenConnect 漏洞部署恶意软件

2月25日，Sophos X-Ops 重点关注了 ConnectWise ScreenConnect 安装（一种广泛使用的远程监控和管理软件）中漏洞利用的令人担忧的趋势。最近披露的ScreenConnect漏洞（CVE-2024-1709、CVE-2024-1708）需要立即接纳行动。针对当地安装的广泛利用需要快速修补、主动威胁搜寻和增强的网络防御。2024 年 2 月 19 日，ConnectWise 就影响其 ScreenConnect 软件旧版本的两个严重漏洞发出警报。如果不修补这些漏洞，攻击者可能会获得执行远程代码或访问机密数据的能力。这些缺陷被指定为 CVE-2024-1709 和 CVE-2024-1708，涉及服务器软件中的身份验证绕过和路径遍历问题，对使用受影响软件版本的组织组成严重威胁。针对这些漏洞，ConnectWise已宣布ScreenConnect补丁，建议所有用户升级到23.9.8或更高版本。

https://securityonline.info/screenconnect-vulnerabilities-exploited-to-deploy-malware/

6. PyPI 软件包django-log-tracker被用来流传 Nova Sentinel 恶意软件

2月23日，Python 包索引 (PyPI) 存储库上的一个休眠包在近两年后进行了更新，以流传名为 Nova Sentinel 的信息窃取恶意软件。据软件供应链宁静公司 Phylum 称，该软件包名为django-log-tracker ，于 2022 年 4 月首次宣布到 PyPI，该公司于 2024 年 2 月 21 日检测到该库的异常更新。虽然链接的 GitHub 存储库自 2022 年 4 月 10 日以来一直没有更新，但恶意更新的引入表明属于开发人员的 PyPI 帐户可能受到损害。Django-log-tracker迄今为止已被下载 3,866 次，其中流氓版本 (1.0.4) 在宣布之日下载了 107 次。该软件包不再可以从 PyPI 下载。

https://thehackernews.com/2024/02/dormant-pypi-package-compromised-to.html?&web_view=true

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究