8000 多个值得信赖的品牌域名被劫持并大规模发送垃圾邮件

首页 > 宁静研究 > 宁静通报 > 宁静简讯

8000 多个值得信赖的品牌域名被劫持并大规模发送垃圾邮件

宣布时间 2024-02-28

1. 8000 多个值得信赖的品牌域名被劫持并大规模发送垃圾邮件

2月26日，Guardio Labs 正在跟踪协调的恶意活动，该活动至少自 2022 年 9 月以来一直在连续，名为 SubdoMailing。属于合法品牌和机构的 8,000 多个域名和 13,000 个子域名已被劫持，作为垃圾邮件扩散和点击货币化的庞大分发架构的一部门。这家以色列宁静公司将此次活动归因于一个名为ResurrecAds的威胁行为者，众所周知，该行为者会复生大品牌或隶属于大品牌的死域名，最终目标是利用数字广告生态系统以获取非法收益。这些子域名属于或隶属于 ACLU、eBay、Lacoste、Marvel、McAfee、MSN、Pearson、PwC、Swatch、Symantec、The Economist、UNICEF 和 VMware 等大品牌和组织。

https://thehackernews.com/2024/02/8000-subdomains-of-trusted-brands.html

2. Booking.com 冒充活动：Agent Tesla 恶意软件分析

2月26日，该活动利用 Booking.com 的品牌声誉来流传 Agent Tesla，这是一种多功效远程访问木马 ( RAT )。攻击者利用与 Booking.com 相关的信任，制作看似合法退款通知的网络钓鱼电子邮件。包罗 PDF 附件会要求收件人检查所附 PDF 中的卡对账单。这一精心设计的计划的最终结果是部署了Agent Tesla恶意软件。该对手开始接纳恶意行动窃取凭证和个人数据，将其不义之财传输到私人 Telegram 聊天室。它并不止于此；该恶意软件通过特别的 PowerShell 脚本确保其持久性，并不停革新其计谋以在受熏染的系统中保持立足点。

https://securityonline.info/booking-com-impersonation-campaign-agent-tesla-malware-analysis/

3. ALPHV/BlackCat 对 Change Healthcare 网络攻击卖力

2月26日，据报道，ALPHV/BlackCat 勒索软件团伙对 Change Healthcare 大规模网络攻击卖力，该攻击自上周以来已经扰乱了美国各地的药店。据路透社援引“两名知情人士”的话称，污名昭著的勒索软件即服务操作是联合健康旗下企业提倡攻击的幕后黑手。Register尚未独立确认 ALPHV 加入了此次入侵。Change Healthcare 为医疗机构提供广泛的 IT 服务，包罗让药房检查患者用药资格并确定保险范围的软件。其客户包罗美国两家最大的药店——CVS 和沃尔格林——这两家药店都感受到了停电的不良影响。这家健康科技公司于 2 月 21 日首次披露了这一漏洞，并因此关闭了部门 IT 系统。周五，美国药剂师协会体现，由于网络攻击，全国各地的药房无法传送保险索赔。

https://www.theregister.com/2024/02/26/alphv_healthcare_unitedhealth/

4. UAC-0184 使用 Remcos RAT 针对芬兰境内的乌克兰实体

2月27日，被追踪为 UAC-0184 的威胁行为者一直在使用隐写术技术，通过名为 IDAT Loader 的相对较新的恶意软件向位于芬兰的乌克兰目标传送 Remcos 远程访问木马 (RAT)。尽管对手最初针对的是乌克兰境内的实体，但防御措施阻碍了有效载荷的交付。凭据 Morphisec 威胁实验室今天的分析，这导致了随后对替代目标的搜索。虽然 Morphisec 因客户机密而没有透露活动细节，但研究人员指出 Dark Reading据称与 UAC-0148 进行的并行活动有关，该活动使用电子邮件和鱼叉式网络钓鱼作为初始访问媒介，并以乌克兰军事人员为目标，以提供咨询为诱饵。以色列国防军 (IDF) 的角色。其目标是网络间谍活动：网络犯罪分子使用 Remcos（“远程控制和监视”的缩写）RAT 来未经授权访问受害者的计算机、远程控制受熏染的系统、窃取敏感信息、执行命令等。

https://www.darkreading.com/cyberattacks-data-breaches/uac-0184-targets-ukrainian-entity-finland-remcos-rat

5. 俄罗斯黑客团伙通过休眠帐户瞄准云基础设施

2月26日，美国、加拿大、英国、澳大利亚和新西兰的网络宁静和执法机构宣布联合警报，呼吁紧急关注与 APT29/Cozy Bear/Midnight Blizzard（一个污名昭著的黑客组织）相关的最新计谋、技术和法式 (TTP)。俄罗斯情报部门（SVR）。据视察，SVR 加入者并没有利用软件漏洞来攻击当地基础设施，而是提倡暴力破解和密码喷射攻击来破坏服务帐户，以及针对前员工的休眠帐户来访问目标组织的环境。此外，还发现污名昭著的 APT 组织使用令牌访问受害者帐户，并使用一种称为“MFA 轰炸”或“MFA 疲劳”的技术绕过多重身份验证 (MFA)。初次访问后，攻击者通�；峤约旱纳璞缸⒉岬绞芎φ叩耐�，并部署庞大的攻击后工具。此外，黑客还依靠住宅署理来隐藏其恶意活动，使流量看起来像是来自住宅宽带客户的 IP 地址。

https://www.securityweek.com/russian-cyberspies-targeting-cloud-infrastructure-via-dormant-accounts/

6. Anonymous 苏丹推广新的 DDoS 僵尸网络Skynet-GodzillaBotnet

2月26日，据了解，一个名为“匿名苏丹”的组织正在积极推广一种名为“Skynet-GodzillaBotnet”的新型漫衍式拒绝服务 (DDoS) 僵尸网络服务。网上流传的一则广告展示了带有“SKYNET”字样的红龙标志。该服务被宣传为执行DDoS 攻击的强大工具，该组织声称通过将其权力与另一个实体合并来增强其功效。《每日暗网》中发现的广告明确指出，它提供僵尸网络的访问权限，价格为一天 100 美元、一周 600 美元、一个月 1700 美元。Anonymous 苏丹以其激进的 Web DDoS 攻击而闻名，其中包罗交替的 UDP 和 SYN 洪水攻击。这些攻击从数以万计的唯一源 IP 地址提倡，UDP 流量高达 600Gbps，HTTPS 请求洪水峰值可达每秒数百万个请求。

https://gbhackers.com/anonymous-sudan-new-ddos-botnet-warning/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究