CoralRaider恶意软件活动利用CDN缓存流传信息窃取法式

首页 > 宁静研究 > 宁静通报 > 宁静简讯

CoralRaider恶意软件活动利用CDN缓存流传信息窃取法式

宣布时间 2024-04-25

1. CoralRaider恶意软件活动利用CDN缓存流传信息窃取法式

4月24日，研究人员发现一种新的连续恶意软件活动正在分发三种差异的窃取法式，例如托管在内容交付网络 (CDN) 缓存域上的CryptBot、LummaC2和Rhadamanthys 。思科 Talos 将此次活动归因于被追踪为CoralRaider的威胁行为者，该组织疑似源自越南，于近期曝光。该活动的目标涵盖各个地域的各个商业垂直领域，包罗美国、尼日利亚、巴基斯坦、厄瓜多尔、德国、埃及、英国、波兰、菲律宾、挪威、日本、叙利亚和土耳其。攻击链涉及用户通过网络浏览器下载伪装成影戏文件的文件，从而增加了大规模攻击的可能性。该活动值得注意的是，它利用了 CryptBot 的更新版本，其中包罗新的反分析技术，而且还捕捉密码管理器应用法式数据库和身份验证器应用法式信息。

https://thehackernews.com/2024/04/coralraider-malware-campaign-exploits.html

2. Change Healthcare最终支付赎金将面临数据泄露的风险

4月24日，在勒索软件崩�？剂礁龆嘣潞�，勒索软件的影响堪称网络宁静史上最严重的一次，医疗公司 Change Healthcare 终于证实了网络犯罪分子、宁静研究人员和比特币区块链已经说得很清楚的事情：它确实做到了向二月份袭击该公司的黑客支付赎金。然而，它仍然面临着丢失大量客户敏感医疗数据的风险。Change Healthcare 似乎已于 3 月 1 日支付了赎金，并指出一笔 350 比特币（约合 2200 万美元）的交易被发送到与 AlphV 黑客相关的加密钱包中。这笔交易首先在名为 RAMP 的俄罗斯网络犯罪论坛上的一条消息中得到强调，其中一位据称被 AlphV 抛弃的合作伙伴诉苦说，他们没有收到 Change Healthcare 付款中的分成。

https://news.hitb.org/content/change-healthcare-finally-admits-it-paid-ransomware-hackers-and-still-faces-patient-data

3. 西班牙重新启动对 Pegasus 间谍软件案件的视察

4月23日，西班牙国家法院法官体现，有理由相信法国提供的新信息可以“让视察取得进展”。这两项视察均涉及涉嫌使用以色列 NSO 集团开发的 Pegasus 间谍软件。间谍软件会悄悄地渗透得手机或其他设备中以收集数据并可能监视其所有者。NSO 声称，它仅提供应政府用于攻击恐怖主义和其他宁静威胁。凭据宁静研究人员和 2021 年全球媒体视察，Pegasus 已被用来攻击 50 个国家的 1,000 多人，其中包罗活感人士和记者。西班牙于 2022 年 5 月宣布，首相佩德罗·桑切斯及其三名部长，包罗国防部长和内政部长，已成为Pegasus 间谍软件的目标。由此发生的司法视察因未能取得结果而暂时弃捐。

https://www.securityweek.com/spain-reopens-a-probe-into-a-pegasus-spyware-case-after-a-french-request-to-work-together/

4. 黑客劫持防病毒更新以分发后门和挖矿GuptiMiner

4月23日，朝鲜黑客一直在利用 eScan 防病毒软件的更新机制在大型企业网络上植入后门，并通过 GuptiMiner 恶意软件流传加密货币矿工。研究人员将 GuptiMiner 描述为高度庞大的威胁，它可以向攻击者的 DNS 服务器执行 DNS 请求，从图像中提取有效负载，对其有效负载进行签名，并执行 DLL 侧面加载。GuptiMiner 背后的威胁行为者具有中间对手 (AitM) 的职位，可以劫持正常的病毒界说更新包，并将其替换为名为“updll62.dlz”的恶意包。该恶意文件包罗须要的防病毒更新以及名为“version.dll”的 DLL 文件形式的 GuptiMiner 恶意软件。eScan 更新法式正常处置该包，解压并执行它。在此阶段，DLL 由 eScan 的合法二进制文件旁加载，从而赋予恶意软件系统级权限。

https://www.bleepingcomputer.com/news/security/hackers-hijack-antivirus-updates-to-drop-guptiminer-malware/

5. 与朝鲜有关联的 APT 组织瞄准韩国国防承包商

4月23日，韩国国家警察厅警告称，与朝鲜有关的威胁行为者正以国防工业实体为目标，窃取国防技术信息。据韩国国家警察厅报道，与朝鲜有关联的 APT 组织Lazarus、Andariel和Kimsuky攻击了韩国多家国防相关的公司。警察厅和国防采购计划管理局（DAPA）对目标组织的环境进行了一系列特别检查。联合检查于1月15日至2月16日进行，受影响组织实施了防护措施。警方体现，这些袭击是以全面战争的形式进行的，多个 APT 组织加入其中。政府专家警告说，攻击者接纳了庞大的黑客技术。韩国国家警察厅提供了差异 APT 组织实施的多次攻击的详细信息。

https://securityaffairs.com/162193/apt/north-korea-south-korean-defense-contractors.html

6. 美国财政部和国务院以及多家机构的系统遭到黑客攻击

4月23日，四名伊朗黑客在曼哈顿联邦法院被起诉，被指控针对美国政府部门、国防承包商和私营公司开展庞大的网络间谍活动。目前仍在逃的被告被指控针对美国财政部和国务院以及十几家能够获取国防相关信息的美国私营公司的要害系统进行攻击。司法部指责黑客使用特别的社会工程技术，包罗冒充女性来获取受害者的信任。凭据未密封的起诉书，该黑客组织的攻击的受害者主要是经过许可的国防承包商，这些公司已获得美国国防部的宁静许可，可以访问、接收和存储机密信息。该组织还被指控针对一家总部位于纽约的会计师事务所和一家总部位于纽约的酒店公司。在起诉书启封的同时，美国国务院还宣布悬赏 1000 万美元，奖励提供线索抓获他们，财政部还对涉案个人实施了制裁。

https://www.securityweek.com/10-million-bounty-on-iranian-hackers-for-cyber-attacks-on-us-gov-defense-contractors/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究