Turla APT滥用MSBuild分发TinyTurla后门

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Turla APT滥用MSBuild分发TinyTurla后门

宣布时间 2024-05-23

1. Turla APT滥用MSBuild分发TinyTurla后门

5月22日，一个与俄罗斯有关的高级连续性威胁 (APT) 组织一直在滥用 PDF 和 MSBuild 项目文件，利用社交工程电子邮件将 TinyTurla 后门作为无文件负载进行流传。研究人员体现，该活动的无缝流传法式在庞大性方面取得了显著的进步。Cyble 研究人员和情报实验室 (CRIL) 的研究人员发现了这一活动，该活动使用电子邮件和邀请人权研讨会或提供公共咨询的文件作为诱饵，以熏染 TinyTurla 用户。他们在昨天宣布的有关该活动的博客文章中体现，攻击者还冒充合法政府，以引诱受害者上当。研究人员指出，TinyTurla 后门与俄罗斯资助的恒久威胁组织Turla有关，该组织通常针对非政府组织，“特别是那些与支持乌克兰有联系的组织”。帖子称，他们认为该组织是恶意攻击活动的幕后黑手。

https://www.darkreading.com/cyberattacks-data-breaches/russia-turla-apt-msbuild-tinyturla-backdoor

2. CISA 警告利用Mirth Connect漏洞的攻击活动

5月21日，Mirth Connect 是一种广泛使用的跨平台界面引擎，医疗保健组织将其用于信息管理。影响开源产物的漏洞 CVE-2023-43208 是一个数据反序列化问题，可导致未经身份验证的远程代码执行。4.4.1 版宣布时已推出补丁。该漏洞于 2023 年 10 月曝光，其时网络宁静公司 Horizon3.ai 警告称该漏洞可能对医疗保健公司造成影响。CVE-2023-43208 是 CVE-2023-37679 的一个变体，Mirth Connect 开发人员之前已在 4.4.0 版宣布时对该漏洞进行了修补。Horizon3.ai 其时将该漏洞描述为易于利用，并警告称“攻击者很可能利用此漏洞进行初始访问或破坏敏感的医疗数据”。该宁静公司还指出，发现了 1,200 多个袒露在互联网上的 NextGen Mirth Connect 实例。

https://www.securityweek.com/cisa-warns-of-attacks-exploiting-nextgen-healthcare-mirth-connect-flaw/

3. 黑客团伙利用勒索软件攻击菲律宾政府

5月22日，黑客正在利用泄露的勒索软件构建者对菲律宾的要害基础设施提倡攻击——这是出于政治动机的团体的趋势的一部门，他们越来越多地试图扰乱这个东南亚国家的生活。网络宁静公司 SentinelOne的研究人员体现，一个名为“Ikaruz Red Team”的组织是少数几个针对菲律宾政府目标的黑客组织之一。该行动利用了多种勒索软件构建者——包罗 LockBit、Vice Society、Clop 和 AlphV——提倡“小规模”攻击。它还在网上宣传菲律宾多个组织的数据泄露情况。SentinelOne 体现，受害者的便条几乎全部抄袭自原始 LockBit 模板，顶部的名字除外。未提供联系信息。

https://therecord.media/philippines-hacktivist-groups-leaked-versions-ransomware

4. GhostEngine 挖矿攻击利用易受攻击的驱动

5月22日，已发现代号为“REF4578”的恶意加密货币挖掘活动部署了名为 GhostEngine 的恶意负载，该负载使用易受攻击的驱动法式来关闭宁静产物并部署 XMRig 挖矿法式。Elastic Security Labs 和安天的研究人员在单独的陈诉和共享的检测规则中强调了这些加密货币挖掘攻击的异常庞大性，以资助防御者识别和阻止它们。然而，两份陈诉均未将该活动归咎于已知的威胁行为者，也未分享有关目标/受害者的详细信息，因此该活动的起源和范围仍然未知。虽然尚不清楚服务器最初是如何被破坏的，但威胁行为者的攻击从执行名为“Tiworker.exe”的文件开始，该文件伪装成合法的 Windows 文件。该可执行文件是 GhostEngine 的初始登台有效负载，GhostEngine 是一个 PowerShell 脚本，可下载种种�？橐栽谑苎镜纳璞干现葱胁钜斓男形�。

https://www.bleepingcomputer.com/news/security/ghostengine-mining-attacks-kill-edr-security-using-vulnerable-drivers/

5. 西悉尼大学遭到黑客攻击部门学生数据泄露

5月21日，在威胁行为者破坏了其 Microsoft 365 和 Sharepoint 环境后，西悉尼大学 (WSU) 已向学生和学术人员通报了数据泄露事件。WSU 是澳大利亚的一所教育机构，提供跨学科的广泛本科、研究生和研究课程。它拥有 47,000 名学生和 4,500 多名正式和季节性员工，运营预算为 6 亿美元。西悉尼大学网站今日宣布通告，警告称黑客已访问其 Microsoft Office 365 环境，包罗电子邮件帐户和 SharePoint 文件。所袒露的数据因人而异，具体取决于电子邮件通信的内容以及大学 SharePoint 环境中存储的文档。

https://www.bleepingcomputer.com/news/security/western-sydney-university-data-breach-exposed-student-data/#google_vignette

6. Void Manticore瞄准以色列和阿尔巴尼亚

5月22日，该组织名为 Void Manticore (Storm-0842)，在差异国家以种种化名开展活动。最著名的别名包罗针对阿尔巴尼亚袭击的“国土正义”和针对以色列行动的“因果报应”。针对差异的区域，针对每个目标接纳奇特的要领。该组织的活动与另一个伊朗组织 Scarred Manticore 的活动重叠，这表明协调和系统的受害者选择是他们为伊朗情报和宁静部 (MOIS) 事情的一部门。专家警告说，虚空蝎狮对任何阻挡伊朗利益的人组成重大威胁。该组织利用庞大的假名网络、战略协作和庞大的攻击要领。该组织以其双重网络攻击方式而闻名，将物理数据破坏与心理压力相结合。Void Manticore 使用五种差异的要领，包罗针对 Windows 和 Linux 的自界说擦除器，通过删除文件和利用共享磁盘来破坏系统。

https://meterpreter.org/void-manticore-iranian-state-sponsored-hackers-target-israel-albania/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究