法国政府网站因严重的漫衍式拒绝服务攻击而中断

首页 > 宁静研究 > 宁静通报 > 宁静简讯

法国政府网站因严重的漫衍式拒绝服务攻击而中断

宣布时间 2024-03-13

1. 法国政府网站因严重的漫衍式拒绝服务攻击而中断

3月12日，总理加布里埃尔·阿塔尔办公室的一份声明认可，截至周日晚间，一些网站已陷入困境，并提到了前所未有的强度的通例攻击。该语言似乎指的是漫衍式拒绝服务攻击，而 Cloudflare 的Radar服务恰好检测到了此类攻击。Cloudflare 陈诉称，该事件于周日凌晨开始，迅速升级，短暂消退，然后又卷土重来，连续了约莫六个小时的重大攻击。法国的数字化转型机构——部际数字理事会 (DINUM) 争先恐后地设置障碍来抵御攻击。匿名苏丹声称对这次袭击卖力，然后声称DINUM 的防御无效，滋扰仍在继续。Cloudflare 的数据显示，第 7 层攻击在周一和周二激增。这种不满可能还会连续下去。Cloudflare 的 Radar 上周陈诉了规模较小的 DDoS 攻击，但这些攻击并未成为新闻，也没有严重扰乱法国政府的运作。据报道，上周日的袭击影响了总理府、民航局和经济部。

https://www.theregister.com/2024/03/12/france_ddos/

2. KrustyLoader 后门攻击 Windows 和 Linux 系统

3月12日，网络宁静领域的最新生长包罗 KrustyLoader 的泛起，这是一种基于 Rust 的庞大后门，引起了多个行业专家的注意。这种恶意软件拥有 Windows 和 Linux 变体，涉及一系列有针对性的攻击，对跨平台的网络宁静防御发生重大影响。KrustyLoader 的Linux 变体因其针对 Avanti 设备的针对性攻击而在 2023 年底和 2024 年初成为头条新闻。这些攻击被认为是中国关系威胁组织 UNC5221 所为。该组织利用了两个严重漏洞CVE- 2024-21887和CVE-2023-46805，允许在 Ivanti Connect Secure (ICS) 和 Ivanti Policy Secure Gateway 设备上进行未经身份验证的远程代码执行 (RCE) 或身份验证绕过。利用这些漏洞促进了 KrustyLoader 的下载和执行，随后部署了利用后工具包 Sliver。尽管针对这些漏洞宣布了补丁，但未修补的系统仍然面临风险。

https://gbhackers.com/krustyloader-backdoor/

3. Infostealer 伪装成 Adobe Reader 安装法式

3月12日，AhnLab 宁静情报中心 (ASEC) 最近发现了伪装成 Adobe Reader 安装法式的信息窃取法式的漫衍。威胁加入者以 PDF 形式分发文件，提示用户下载并运行该文件。假冒的PDF文件是用葡萄牙语编写的，消息告诉用户下载并安装Adobe Reader。通过告诉用户需要 Adobe Reader 才气打开该文件，它会提示用户下载恶意软件并进行安装。下载的文件接纳Adobe Reader图标的形式，其名称设置为Reader_Install_Setup.exe。通过伪装 Adobe Reader 安装法式，它会提示用户运行它。默认情况下，Windows 系统将路径“%AppData%\Local\Microsoft\WindowsApps”注册为 PATH 环境变量。因此，当 sdiagnhost.exe 进程加载 BluetoothDiagnosticUtil.dll 时，就会加载恶意 DLL 文件。通过上述过程，威胁加入者可以通过 DLL 劫持绕过用户帐户控制 (UAC)。

https://asec.ahnlab.com/en/62853/

4. Equilend 警告员工他们的数据被勒索软件团伙窃取

3月11日，总部位于纽约的证券借贷平台 EquiLend Holdings 在发给员工的数据泄露通知信中证实，他们的数据在 1 月份的勒索软件攻击中被盗。这家金融科技公司于 1 月 24 日告诉 BleepingComputer，它被迫在两天前（即 1 月 22 日）关闭部门系统，以停止违规行为。虽然 Equilend 没有立即披露事件的性质，但 LockBit 勒索软件在给彭博社的一份声明中声称对此次攻击卖力。尽管这家金融科技公司没有证实 LockBit 的说法，但它于 2 月 2 日通过一个专门页面透露了有关该事件的更多信息，称 1 月份的泄露是由勒索软件攻击造成的。

https://www.bleepingcomputer.com/news/security/equilend-warns-employees-their-data-was-stolen-by-ransomware-gang/#google_vignette

5. BIANLIAN 在勒索攻击中利用 JETBRAINS TEAMCITY 漏洞

3月11日，GuidePoint Security 的研究人员在视察最近与BianLian勒索软件组织相关的攻击时注意到，威胁行为者通过利用 TeamCity 服务器中的缺陷获得了对目标的初始访问权限。BianLian 勒索软件于 2022 年 8 月泛起，该恶意软件被用来攻击各个行业的组织，包罗制造、媒体和娱乐以及医疗保健。2023 年 1 月，宁静公司 Avast宣布了BianLian 勒索软件的免费解密器，允许恶意软件的受害者恢复锁定的文件。研究人员视察的攻击背后的威胁行为者利用 TeamCity 缺陷 CVE-2024-27198 或 CVE-2023-42793 来获得对受害者环境的初始访问权限。攻击者在易受攻击的服务器上创建新用户并执行恶意命令以进行后利用和横向移动。然后，威胁行为者在目标环境中发现了两个构建服务器，他们从这些服务器扩大了在受害者组织中的立足点，并转向进一步利用。研究人员注意到，BianLian 组织多次实验执行他们的自界说 GO 后门，但都失败了，然后转向靠土地为生，并利用 PowerShell 实现他们的后门。

https://securityaffairs.com/160357/hacking/bianlian-group-ttack-jetbrains-teamcity.html?web_view=true

6. 新银行木马 CHAVECLOAK 通过网络钓鱼计谋瞄准巴西用户

3月11日，巴西的用户是一种名为CHAVECLOAK的新型银行木马的目标，该木马通过带有 PDF 附件的网络钓鱼电子邮件进行流传。Fortinet FortiGuard 实验室研究员 Cara Lin体现：“这种庞大的攻击涉及 PDF 下载 ZIP 文件，然后利用 DLL 侧面加载技术来执行最终的恶意软件。”攻击链涉及使用以合同为主题的 DocuSign 诱饵来诱骗用户打开包罗用于阅读和签署文档的按钮的 PDF 文件。实际上，单击该按钮会导致从使用 Goo.su URL 缩短服务缩短的远程链接检索安装法式文件。安装法式中存在一个名为“Lightshot.exe”的可执行文件，它利用 DLL 侧面加载来加载“Lightshot.dll”，这是一种有助于窃取敏感信息的 CHAVECLOAK 恶意软件。这包罗收集系统元数据并运行检查以确定受熏染的计算机是否位于巴西，如果是，则定期监视前台窗口以将其与银行相关字符串的预界说列表进行比力。

https://thehackernews.com/2024/03/new-banking-trojan-chavecloak-targets.html

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究