越南网络犯罪团伙 CoralRaider意外泄露其财政数据

首页 > 宁静研究 > 宁静通报 > 宁静简讯

越南网络犯罪团伙 CoralRaider意外泄露其财政数据

宣布时间 2024-04-10

1. 越南网络犯罪团伙 CoralRaider意外泄露其财政数据

4月9日，一个与越南有关的新网络犯罪组织以亚洲的个人和组织为目标，试图窃取社交媒体帐户信息和用户数据。CoralRaider 于 2023 年底首次泛起，思科 Talos 威胁情报小组的威胁研究人员在 CoralRaider 的最新分析中指出，该组织也犯了一些新手错误，例如无意中熏染了自己的系统，从而袒露了他们的活动。CoralRaider 活动通常从 Windows 快捷方式 (.LNK) 文件开始，通常使用 .PDF 扩展名，试图欺骗受害者打开文件。CoralRaider 组织使用 Telegram 服务上的自动化机器人作为命令和控制通道，并从受害者的系统中窃取数据。然而，网络犯罪组织似乎已经熏染了他们自己的一台机器，因为思科研究人员发现了宣布到该频道的信息的屏幕截图。

https://www.darkreading.com/vulnerabilities-threats/vietnamese-cybercrime-group-coralraider-nets-financial-data

2. 卡巴斯基2023年陈诉数据窃取恶意软件事件激增

4月8日，卡巴斯基陈诉显示，2023 年，数据窃取恶意软件事件激增，针对近 1000 万台设备，网络犯罪分子平均在每台受熏染设备上提取 50.9 个登录凭据。这些凭证被用于恶意目的，例如筹谋网络攻击或在暗网论坛和 Telegram 频道上出售它们。被盗凭证涵盖范围广泛，从社交媒体登录到网上银行服务、加密钱包和企业在线平台登录。该陈诉强调 .com 域名是被盗帐户的重点，紧随其后的是与巴西 (.br)、印度 (.in)、哥伦比亚 (.co) 和越南 (.vn) 相关的域名区域。来自卡巴斯基数字足迹情报的数据显示，过去三年中恶意软件数量激增 643%。这突显了恶意软件对全球个人消费者和企业组成的日益严重的威胁。凭据该陈诉，过去五年来，全球有 443000 个网站面临凭据泄露问题。

https://securityboulevard.com/2024/04/10-million-devices-were-infected-by-data-stealing-malware-in-2023/

3. 美国环保局视察黑客泄露其数据的宁静事件

4月9日，美国环境�；な鹫谑硬旌诳托孤读烁没挂∩枋┏邪淌菘庵械拇罅苛敌畔⒌闹缚�。被称为 USDoD 的威胁行为者在一个可果然访问的黑客论坛上宣布了他所说的 500 MB 的联系信息和 EPA 数据库中的其他数据。信息宁静媒体集团证实，截至周一下午，该帖子仍在论坛上宣布，其中包罗声称包罗从全名、电子邮件地址到署理承包商实际地址信息等所有信息的压缩文件。帖子中写道：“各人好，Breachforums，这是你们最喜欢的 TA，今天我很自豪地说，我正在宣布 epa.gov 联系人列表数据库。这是他们 [要害基础设施] 的全部联系人，不仅针对该机构发言人体现，该机构对据称泄露的数据进行了“开端分析”，发现这些记录似乎包罗已向公众果然的商业联系信息，“以提供环境影响的全面情况” ”。

https://news.hitb.org/content/us-epa-investigates-alleged-data-breach-government-hacker

4. unit42恶意软件提倡的漏洞扫描呈上升趋势

4月8日，我们的遥测数据表明，越来越多的威胁加入者正在转向恶意软件提倡的扫描攻击。本文回顾了攻击者如何使用受熏染的主机对其目标进行基于恶意软件的扫描，而不是使用更传统的直接扫描要领。威胁行为者恒久以来一直在使用扫描要领来查明网络或系统中的漏洞。一些扫描攻击源自良性网络，可能是由受熏染计算机上的恶意软件驱动的。当攻击者提倡网络请求以试图利用目标主机的潜在漏洞时，就会发生扫描。目标主机通常是良性的，而且可能容易受到攻击者针对的 CVE 的攻击。通过跟踪来自多个网络的流量日志，我们发现对大量目的地的请求具有看似良性的路径。许多扫描案例，其中攻击者嵌入了以前未见过的 URL，用于有效负载传输或 C2 以及漏洞利用请求。这降低了后续有效负载或 C2 URL 被宁静供应商阻止的可能性。由于这些有效负载传送或 C2 URL 对于宁静供应商来说是新的，因此检测和阻止此类初始扫描请求至关重要，因为供应商不太可能阻止后续请求。

https://unit42.paloaltonetworks.com/malware-initiated-scanning-attacks/

5. 勒索团伙RansomHub 从 Change Healthcare 窃取4TB数据

4月9日，据报道，Change Healthcare 正面临另一次攻击，这次是勒索软件团伙 RansomHub 提倡的攻击，而就在几周前，该组织成为ALPHV/BlackCat 网络攻击的受害者。RansomHub 要求为其从该公司窃取的 4TB 数据敲诈勒索；否则，它会威胁在 12 天内将数据出售给出价最高者。被盗信息包罗美国军事人员和患者的敏感数据，以及医疗记录和财政信息等。这使得联合医疗保健公司的子公司 Change Healthcare 陷入了一个困境，因为它刚刚从上次的攻击中恢复过来，必须决定支付赎金是否是最好的选择。尽管人们对 ALPHV 是否更名为 RansomHub，或者是否存在任何联系存在重大推测，但沃克体现，目前还没有得到证实，因为现在下结论还为时过早。

https://www.darkreading.com/cyberattacks-data-breaches/round-2-change-healthcare-targeted-second-ransomware-attack

6. AGENT TESLA 恶意软件窃取 Chrome 和 Firefox 的登录凭据

4月8日，研究人员视察了最近针对美国和澳大利亚组织的 Agent Tesla 恶意软件活动，该活动使用带有虚假采购订单的网络钓鱼电子邮件来诱骗受害者点击恶意链接。单击后，受 Cassandra Protector �；さ幕煜� Agent Tesla 样本就会被下载并执行，从而窃取击键和登录凭据。视察发现了两名网络犯罪分子 Bignosa（主要威胁）和 Gods，他们使用大型电子邮件数据库和多个服务器进行 RDP 连接和恶意软件活动。该恶意软件活动在分发恶意垃圾邮件之前涉及多个步骤的准备阶段。Bignosa 使用 Agent Tesla 进行了网络钓鱼攻击，而 Gods 指导 Bignosa 也曾进行过网络钓鱼攻击。他们通过 Jabber 和TeamViewer进行通信，而 Bignosa 使用 RDP 连接到 VDS 服务器并分发 Agent Tesla。

https://gbhackers.com/agent-tesla-malware-steals-login-credentials-from-chrome-firefox/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究