Bling Libra战略转变：从数据偷窃到云勒索

首页 > 清静研究 > 清静转达 > 清静简讯

Bling Libra战略转变：从数据偷窃到云勒索

宣布时间 2024-08-29

1. Bling Libra战略转变：从数据偷窃到云勒索

8月27日，，，，，Unit 42网络清静团队展现，，，，，污名昭著的Bling Libra威胁组织已显著转变其战略，，，，，从以往通过地下市场销售窃取数据，，，，，转变为针对云情形实验勒索攻击。。。这一转变尤为令人担心，，，，，由于Bling Libra已乐成使用AWS凭证入侵多家企业的云账户，，，，，特殊是通过Amazon S3资源。。。他们全心策划的入侵行动，，，，，包括详尽的数据探索和隐藏的活动追踪，，，，，使得攻击初期难以被察觉。。。使用S3浏览器和WinSCP等工具，，，，，Bling Libra不但绘制了受害者的存储桶结构，，，，，还删除了要害数据，，，，，进一步加剧了损失。。。愈甚者，，，，，在完成破损后，，，，，该组织建设了讥笑性的新S3存储桶，，，，，并提倡勒索邮件，，，，，要求支付赎金以恢复数据和阻止攻击。。。Unit 42的报告深入剖析了这些工具的使用方法，，，，，为防御者提供了识别恶意活动的线索。。。鉴于云效劳的普及，，，，，报告强调组织应接纳最小特权原则和强化清静步伐，，，，，如使用IAM会见剖析和AWS效劳控制战略，，，，，以有用抵御此类高级威胁。。。

https://securityonline.info/bling-libras-tactical-evolution-exploiting-cloud-misconfigurations-for-extortion/

2. Poortry工具集进化：从EDR杀手到周全擦除者

8月27日，，，，，Sophos X-Ops最新报告展现了恶意工具集Poortry的最新希望，，，，，该工具旨在针对Windows系统上的端点检测和响应（EDR）软件提倡攻击。。。自2022年被Mandiant发明以来，，，，，Poortry通过其加载程序“Stonestop”成为多个勒索软件组织的要害工具，，，，，一直进化以逃避检测。。。最新版本的Poortry不但限于禁用EDR软件，，，，，更能从磁盘中彻底扫除清静软件的要害组件，，，，，从而为其背后的勒索软件攻击扫清蹊径。。。Poortry的焦点战略是使用Windows内核模式驱动程序的普遍权限，，，，，通过扫除挂钩和终止保�；；；；；だ汤慈乒寰不�。。。其开发者使用多种要领绕过代码署名验证，，，，，包括滥用泄露的证书、伪造时间戳以及实验直接通过Microsoft的WHQL证实署名士程获取正当证书。。。只管面临微软和Sophos的曝光与封堵，，，，，Poortry依然通过无邪调解战略坚持活跃。。。尤为值得关注的是，，，，，Poortry在2024年7月的一次事务中首次展示了其删除EDR组件的新能力，，，，，这显著增添了组织面临的危害。。。

https://securityonline.info/poortry-edr-killer-evolves-now-wipes-security-software-from-windows-systems/

3. Park'N Fly遭黑客入侵，，，，，百万客户数据泄露

8月27日，，，，，Park'N Fly是加拿大着名机场外停车效劳提供商，，，，，近期遭遇严重数据泄露事务，，，，，约100万客户的小我私家信息被黑客不法获取。。。威胁者使用窃取的VPN凭证，，，，，在7月中旬侵入公司网络，，，，，并在7月11日至13日时代实验了未授权会见。。。泄露的信息包括客户全名、电子邮件、住址、航班号及民航局号码，，，，，但幸运的是，，，，，财务和支付卡信息未被波及。。。Park'N Fly迅速接纳行动，，，，，五天内恢复了受影响的系统，，，，，并增强了清静步伐以避免未来类似事务的爆发。。。公司CEO卡罗·马雷洛向客户及相助同伴致歉，，，，，并允许将全力保�；；；；；び没畔�。。。受影响的客户在社交媒体上表达了对数据泄露的担心，，，，，并对公司数据保存政策提出质疑。。。Park'N Fly提醒所有受影响的客户坚持高度小心，，，，，提防潜在的网络垂纶攻击。。。

https://www.bleepingcomputer.com/news/security/parkn-fly-notifies-1-million-customers-of-data-breach/

4. 使用Atlassian Confluence误差CVE-2023-22527举行加密挟制

8月28日，，，，，Trend Micro 研究职员展现了针对 Atlassian Confluence 数据中心和效劳器版本的严重误差（CVE-2023-22527）的普遍加密挟制活动。。。该误差于2024年1月16日由Atlassian果真，，，，，其CVSS评分为满分10，，，，，批注其极高危害性。。。该误差通过模板注入机制，，，，，允许未授权攻击者远程执行代码，，，，，控制效劳器。。。自2024年6月中旬起，，，，，使用此误差的加密钱币挖掘攻击急剧增添，，，，，主要由三个威胁行为者主导，，，，，他们接纳差别战略安排XMRig挖矿机，，，，，盗用盘算资源以牟利。。。其中一个行为者直接使用ELF文件负载安排挖矿机，，，，，而另一行为者则接纳重大手段，，，，，通过SSH剧本渗透系统，，，，，扫除竞争挖矿历程，，，，，禁用云清静效劳，，，，，并网络敏感信息以扩大攻击规模。。。这些行为者还通过建设多个cron作业来维持对受熏染效劳器的控制，，，，，确保挖矿活动一连举行，，，，，并消除潜在的清静障碍。。。为应对此威胁，，，，，治理员应连忙更新Confluence至最新版本，，，，，并强化清静步伐。。。

https://www.trendmicro.com/en_us/research/24/h/cve-2023-22527-cryptomining.html

5. BlackByte 勒索软件新攻势：使用VMware ESXi误差与VPN会见

8月29日，，，，，BlackByte 勒索软件组织正借助新发明的 VMware ESXi 误差及VPN会见途径，，，，，对全球企业提倡新一轮强烈攻击。。。思科Talos 团队揭破了其攻击战略，，，，，BlackByte 不但使用CVE-2024-37085误差绕过身份验证，，，，，还通过VPN等远程会识趣制隐秘渗透，，，，，以低可见性方法扩大熏染规模。。。该组织还善于使用窃取的Active Directory凭证自我撒播，，，，，加剧了其破损力。。。只管其果真数据泄露网站仅展示部分攻击案例，，，，，但Talos 研究显示着实际活动远超预期。。。制造业、运输/仓储、专业效劳、信息手艺及公共行政成为其重点攻击目的。。。为应对此威胁，，，，，组织需紧迫修补VMware ESXi等系统，，，，，实验MFA，，，，，审核VPN设置，，，，，并限制要害网络会见。。。同时，，，，，禁用或限制NTLM使用，，，，，安排高效的端点检测和响应系统，，，，，并构建周全的清静战略，，，，，融合自动威胁情报与事务响应能力，，，，，以周全抵御BlackByte等勒索软件的损害。。。

https://hackread.com/blackbyte-ransomware-vmware-flaw-vpn-based-attacks/

6. 伊朗APT33使用Tickler恶意软件攻击美国政府和国防等机构

8月28日，，，，，伊朗黑客组织APT33，，，，，又名Peach Sandstorm和Refined Kitten，，，，，近年来频仍发动网络攻击，，，，，其最新手段涉及使用新型Tickler恶意软件，，，，，重点针对美国和阿联酋的政府、国防、卫星、石油及自然气部分的组织。。。2024年4月至7月间，，，，，该组织通过Microsoft Azure基础设施实验下令与控制（C2），，，，，使用诓骗性Azure订阅举行情报网络。。。此前，，，，，APT33已乐成使用密码喷洒攻击侵入国防、航天、教育及政府部分，，，，，尤其是通过教育行业盗用账户来获取Azure资源。。。别的，，，，，APT33在2023年还接纳类似战略，，，，，使用FalseFont后门恶意软件攻击全球国防承包商。。。微软对此类攻击坚持高度小心，，，，，指出APT33自2023年2月以来，，，，，已对全球数千个组织举行了大规模密码喷洒攻击，，，，，威胁领域进一步扩展到制药业。。。为应对这一威胁，，，，，微软宣布自10月15日起，，，，，所有Azure登录实验均需通过多重身份验证（MFA），，，，，旨在显著增强账户清静性。。。

https://www.bleepingcomputer.com/news/security/APT33-Iranian-hacking-group-uses-new-tickler-malware-to-backdoor-us-govt-defense-orgs/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究