黑客利用CR4T后门瞄准中东地域的政府机构

首页 > 宁静研究 > 宁静通报 > 宁静简讯

黑客利用CR4T后门瞄准中东地域的政府机构

宣布时间 2024-04-22

1. 黑客利用CR4T后门瞄准中东地域的政府机构

4月20日，CR4T（“CR4T.pdb”）是一种基于 C/C++ 的纯内存植入法式，允许攻击者访问控制台，以便在受熏染的计算机上执行命令行、执行文件操作以及在联系 C2 服务器后上传和下载文件�？ò退够逑�，它还发现了具有相同功效的 Golang 版本的 CR4T，此外还具有执行任意命令和使用Go-ole 库创建计划任务的能力。最重要的是，Golang CR4T 后门可以利用COM 工具劫持技术实现持久性，并利用 Telegram API 进行 C2 通信。俄罗斯网络宁静公司卡巴斯基体现，它于 2024 年 2 月发现了该活动，有证据表明该活动可能至少从一年前就开始活跃。该活动的代号为DuneQuixote。Golang 变体的存在表明，DuneQuixote 背后的身份不明的威胁加入者正在积极利用跨平台恶意软件革新他们的攻击方式。

https://thehackernews.com/2024/04/hackers-target-middle-east-governments.html

2. Frontier Communications 在网络攻击后关闭系统

4月20日，电信巨头 Frontier Communications 已通知美国证券交易委员会 (SEC)，某些系统在网络攻击后被关闭。该事件是在 4 月 14 日发现的，其时第三方“未经授权访问了其部门信息技术环境。Frontier 体现，它立即启动了事件响应协议，并接纳措施控制事件，包罗关闭某些系统，这“导致了可能被视为重大的运营中断”。据 Frontier 称，这次攻击很可能是一个网络犯罪组织所为，该组织获得了种种类型的数据，包罗个人身份信息。该公司还指出，它已通知执法部门，该事件可能不会对其财政状况或运营业绩发生重大影响。虽然 Frontier 没有说明它遭受了哪种类型的网络攻击，但很可能涉及文件加密勒索软件，因为关闭系统是对勒索软件的典型响应。这家电信巨头还在其网站上宣布了通知，见告访问者它正在经历“我们的内部支持系统的技术问题”�？突У幕チ癫⑽词艿焦セ鞯挠跋�，但仅通过电话提供资助。

https://www.securityweek.com/frontier-communications-shuts-down-systems-following-cyberattack/

3. 联合国开发计划署 (UNDP) 视察其勒索软件攻击事件

4月21日，联合国开发计划署 (UNDP) 正在视察威胁行为者入侵其 IT 系统窃取人力资源数据后发生的网络攻击。联合国开发计划署是联合国的全球生长网络，在 170 多个国家和地域开展事情，依靠联合国成员国和私营部门/多边组织的捐款来资助消除贫困、消除不平等和排斥。3 月 27 日，开发署收到威胁情报通知，称一名数据勒索者窃取了数据，其中包罗某些人力资源和采购信息，联合国开发计划署目前正在视察该事件的性质和范围，并评估此次攻击对信息被盗个人的影响。它还向受该漏洞影响的人发出警报，目前正在与他们合作，以便他们能够�；ぷ约旱母鋈诵畔⒚庠饫挠�。虽然联合国机构尚未将此次攻击与特定威胁组织联系起来，但 8Base 勒索软件团伙于 3 月 27 日在其暗网数据泄露网站上添加了新的 UNDP 条目。攻击者体现，他们的操作员在泄露期间设法泄露的文件包罗大量敏感信息。

https://www.bleepingcomputer.com/news/security/united-nations-agency-investigates-ransomware-attack-claimed-by-8Base-gang/

4. MITRE 遭遇网络攻击，黑客利用 Ivanti 零日漏洞

4月19日，网络宁静研究和开发领域的领先组织 MITRE 最近披露了一起庞大的网络漏洞，凸显了现代网络威胁不停演变的性质以及强有力的网络宁静措施的重要性。该事件于 2024 年 4 月得到证实，涉及 MITRE 的网络实验、研究和虚拟化环境 (NERVE) 的泄露，NERVE 是一个用于研究、开发和原型设计的协作网络。在检测到可疑活动后，MITRE 立即接纳行动控制事件，包罗使 NERVE 环境下线，并在内部和领先的第三方专家的支持下展开视察。检测到漏洞后，MITRE 联系了政府，通知了受影响的各方，并正在努力恢复以宁静方式进行协作的操作替代方案。视察正在进行中，以确定可能被泄露的信息范围。该公司允许随着视察的继续和结束，分享更多信息。随着视察正在进行中，MITRE提到，没有迹象表明MITRE的核心企业网络或合作伙伴的系统受到此事件的影响。

https://www.cyberkendra.com/2024/04/mitre-suffers-cyber-breach-hacker.html#google_vignette

5. MadMxShell 以 IT 团队为目标开展恶意广告活动

4月21日，在网络攻击不停演变的配景下，新发现的名为“MadMxShell”的后门对 IT 宁静组成了奇特的威胁。Zscaler ThreatLabz最近的一份陈诉详细介绍了这个后门，它经过精心设计，旨在逃避检测，同时针对卖力组织网络防御的个人。MadMxShell 活动体现了高级网络犯罪分子的狡猾和耐心。攻击者精心创建欺诈性网站，模仿 IT 专业人员常用的合法软件（例如网络扫描仪和系统管理工具）的外观。雪上加霜的是，这些虚假网站还利用 Google Ads 进行积极推广，将其推至搜索结果的顶部，并提高了目标受众的可见度。针对 IT 专业人员的精心选择意味着可能造成广泛的损害。这些人拥有对敏感系统和网络数据的访问权限。受到 MadMxShell 攻击的 IT 团队可能会为攻击者提供破坏性破坏的手段，甚至为他们提供名贵的访问权限以将其出售给其他犯罪集团。

https://securityonline.info/stealthy-madmxshell-backdoor-targets-it-teams-in-malvertising-campaign/

6. 新的 RedLine Stealer 变种伪装成游戏外挂进行攻击

4月22日，迈克菲实验室的视察结果显示，已经发现一种新的信息窃取法式利用 Lua 字节码来增强隐蔽性和庞大性。该网络宁静公司已将其评估为名为 RedLine Stealer 的已知恶意软件的变体，因为命令与控制 (C2) 服务器IP 地址之前已被识别为与该恶意软件相关。RedLine Stealer于 2020 年 3 月首次记录，通常通过电子邮件和恶意广告活动直接或通过漏洞利用工具包和加载器恶意软件（如dotRunpeX和HijackLoader ）流传。这种现成的恶意软件能够从加密货币钱包、VPN 软件和网络浏览器中收集信息，例如生存的凭据、自动完成数据、信用卡信息和基于受害者 IP 地址的地理位置。多年来，RedLine Stealer 已被多个威胁加入者纳入其攻击链，使其成为横跨北美、南美、欧洲、亚洲和澳大利亚的流行病毒。McAfee 发现的熏染序列滥用了 GitHub，使用 Microsoft 的两个官方存储库来实现 C++ 尺度库 ( STL ) 和vcpkg，以 ZIP 存档的形式托管充满恶意软件的有效负载。

https://thehackernews.com/2024/04/new-redline-stealer-variant-disguised.html

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究