1、供应链攻击者利用S3桶劫持技术投毒NPM包

https://checkmarx.com/blog/hijacking-s3-buckets-new-attack-technique-exploited-in-the-wild-by-supply-chain-attackers/?

S3桶是一种由亚马逊网络服务(AWS)提供的存储资源，允许用户通过互联网存储和检索大量数据。它是一种可扩展、安全的对象存储服务，可以存储文件、文档、图像、视频和任何其他类型的数字内容。S3桶可以使用唯一的URL访问，因此被广泛用于各种目的，如网站托管、数据备份和归档、内容分发和应用程序数据存储。近日，一种新的攻击技术被发现在野外被供应链攻击者利用。攻击者在不修改任何代码的情况下，通过劫持一个提供必要二进制文件的S3桶，并将其替换为恶意的文件，从而投毒了NPM包“bignum”。这个包是一个用于处理大整数运算的模块，最新版本是0.13.1，发布于三年多前，从未被篡改过。然而，之前的几个版本却受到了影响。版本0.12.2-0.13.0依赖于一个S3桶上托管的二进制文件。这些文件会在安装时从桶中拉取，以支持包的功能。这个伪造的.node二进制文件模仿了原始文件的功能。它执行了包的正常和预期的活动。同时，它还具有窃取用户ID、密码、本地机器环境变量和本地主机名，并将窃取的数据发送到劫持后的桶的功能。

2、GravityRAT恶意软件可窃取Android设备上的WhatsApp备份

https://www.welivesecurity.com/2023/06/15/android-gravityrat-goes-after-whatsapp-backups/

GravityRAT是一种跨平台的远程访问木马，可以针对Windows、Android和macOS设备。该恶意软件被认为是由巴基斯坦的网络间谍组织SpaceCobra开发和使用的，主要针对印度的军事人员。最近，研究人员发现了一个新版本的Android GravityRAT恶意软件，伪装成消息应用BingeChat和Chatico.这个新版本的GravityRAT具有两个新的功能：可以窃取WhatsApp备份文件，并可以接收删除文件的命令。WhatsApp备份文件包含了用户在该应用上的聊天记录、图片、视频、语音等内容，对攻击者具有很高的价值。删除文件的命令则可以让攻击者清理自己的痕迹，或者破坏目标设备上的数据。GravityRAT通过流氓网站分发，这些网站宣传提供免费的消息和文件共享服务：bingechat [.]net和chatico [.]co [.]uk。这些网站要求访问者登录才能下载应用，但是注册功能通常是关闭的。

3、美国逮捕涉嫌参与LockBit勒索软件的俄罗斯人

https://www.justice.gov/d9/2023-06/astamirov.complaint.pdf

LockBit是一种勒索软件，可以加密受害者的数据，并要求支付赎金以恢复访问。该软件采用勒索软件即服务(RaaS)的模式，由一个核心团队招募附属成员来执行攻击，并从赎金中分成。LockBit自2019年底出现以来，已经对美国和其他国家的数千个组织发动了攻击，涉及政府、医疗、教育、法律、制造等多个行业。美国司法部(DoJ)于2023年6月16日宣布，已经逮捕并起诉一名俄罗斯公民，Ruslan Magomedovich Astamirov，指控他参与了LockBit勒索软件的活动。据指控，Astamirov在2020年8月至2023年3月期间，直接执行了至少五次针对美国和其他国家的计算机系统的攻击。他被控与他人共谋进行电信诈骗和故意损坏受保护的计算机，并通过使用和部署勒索软件发送赎金要求。如果被定罪，他将面临最高25年的监禁和最高25万美元或两倍于犯罪所得或损失的罚款。

4、智利军队遭遇新兴勒索软件Rhysida的攻击

https://www.cronup.com/ejercito-de-chile-es-atacado-por-la-nueva-banda-de-ransomware-rhysida/

Rhysida是一种新兴的勒索软件，可以加密受害者的数据，并要求支付赎金以恢复访问。该软件由一个未知的犯罪团伙开发和使用，自2023年5月以来已经对多个组织发动了攻击，涉及教育、医疗、政府等多个行业。2023年5月27日，智利军队遭遇了Rhysida勒索软件的攻击，影响了其内部网络的多个系统。军方在两天后确认了这一事件，并采取了应急措施，如禁止开启计算机、断开网络连接、备份数据等，以防止进一步的损失。智利政府的网络安全应急响应小组(CSIRT)也发布了警告，提醒其他组织注意防范Rhysida勒索软件的威胁。据报道，Rhysida勒索软件在攻击智利军队时使用了一个名为“Ejercito de Chile”(智利军队)的专属标签，并要求受害者在72小时内支付赎金，否则将删除或泄露被加密的数据。该网站还提供了一些Rhysida勒索软件的样本和截图，显示其使用了AES-256和RSA-2048算法进行加密，并使用了一个名为“RySida”(RySida)的后缀来标记被加密的文件。

5、美国联邦调查局加强打击非法DDoS攻击

https://www.fbi.gov/contact-us/field-offices/anchorage/fbi-intensify-efforts-to-combat-illegal-ddos-attacks

美国联邦调查局(FBI)和国际执法机构加强了打击非法分布式拒绝服务(DDoS)攻击的努力。DDoS攻击是一种网络犯罪，通过向目标服务器或网络资源发送大量无用的请求，使其无法为合法用户提供服务。DDoS攻击有两种形式：一种是使用自己控制的恶意软件感染的计算机网络(即僵尸网络)发起攻击，另一种是通过付费购买所谓的“Booter”或“Stresser”服务，利用已存在的感染网络发起攻击。这些服务在一些论坛、网站或暗网市场上广告宣传，没有任何合法用途，只是为了破坏目标的正常运行。根据《计算机欺诈与滥用法案》，参与DDoS攻击或购买DDoS服务都是违法行为，可能面临刑事指控、监禁和罚款。FBI鼓励DDoS攻击的受害者联系当地的FBI办公室或在网上向互联网犯罪投诉中心(IC3)报案。

6、印度制药巨头Granules遭LockBit勒索软件攻击

https://techcrunch.com/2023/06/15/lockbit-ransomware-granules-india/

印度制药巨头Granules India近日遭到了与俄罗斯有关的勒索软件团伙LockBit的网络攻击，部分数据被窃取并公开在暗网上。LockBit在其泄露网站上于周三将Granules India列为其最新的受害者之一。Granules India尚未证实这次勒索软件攻击。然而，该公司上个月向印度证券交易所披露了一起网络安全事件，并表示已经隔离了受影响的IT资产。Granules India成立于1984年，是印度最大的制药生产商之一。总部位于海得拉巴的该公司生产许多常见的非专利药物，如对乙酰氨基酚、布洛芬和二甲双胍。该公司还在全球80多个国家拥有300多个客户。

7、MOVEit Transfer和MOVEit Cloud存在严重漏洞

https://www.progress.com/security/moveit-transfer-and-moveit-cloud-vulnerability

MOVEit Transfer和MOVEit Cloud是Progress Software公司提供的文件传输系统，广泛应用于公共部门和企业。然而，这两个系统存在一个严重的漏洞(CVE-2023-34362)，可能导致权限提升和潜在的未经授权的访问。该漏洞于2023年5月被Progress公司披露，并在48小时内发布了调查结果、缓解措施和安全补丁。但是，该漏洞仍被一些黑客利用，用于窃取客户的数据或部署勒索软件。根据Checkpoint的报告，一些黑客利用该漏洞在受影响的系统上执行恶意代码，下载并运行一个名为HelloKitty的勒索软件变体。该勒索软件会加密受害者的文件，并要求支付赎金以恢复数据。Progress公司建议所有使用MOVEit Transfer和MOVEit Cloud的客户尽快应用安全补丁，并关闭HTTP和HTTPS流量，以防止未经授权的访问。

8、黑客假冒LetsVPN网站传播银行木马

https://blog.cyble.com/2023/06/16/new-malware-campaign-targets-letsvpn-users/

研究人员发现了一个新的恶意软件活动，利用假冒的LetsVPN网站来传播多种恶意软件。 LetsVPN是一款由LetsGo Network开发的VPN应用程序，旨在提供高速和安全的网络连接。研究人员在进行常规的威胁狩猎时，发现了多个伪造的LetsVPN网站，这些网站与真正的LetsVPN网站在设计和外观上非常相似，但实际上是用来分发恶意软件的。这些恶意软件包括BlackMoon、AgentTesla、Formbook等银行木马，它们都是伪装成合法的VPN应用程序的。BlackMoon是一个针对韩国用户的银行木马，可以窃取与在线银行和金融交易相关的敏感信息。AgentTesla是一个键盘记录器和信息窃取器，可以从浏览器、电子邮件客户端、剪贴板等处收集用户凭据、密码、银行卡信息等。Formbook是一个表单窃取器和键盘记录器，可以从Web表单、浏览器、电子邮件客户端等处窃取用户输入的数据，并能够执行远程命令。

9、美国政府悬赏1000万美元缉拿Clop勒索软件幕后人员

https://www.bleepingcomputer.com/news/security/us-govt-offers-10-million-bounty-for-info-on-clop-ransomware/

美国国务院的“正义奖励”计划近日宣布，将为提供与外国政府有关的Clop勒索软件攻击的信息提供高达1000万美元的奖金。Clop是一个活跃的勒索软件团伙，曾被指与俄罗斯有关联。该团伙曾袭击过多个高调目标，包括美国大型肉类加工商JBS、韩国电子巨头LG、德国软件公司Software AG、法国零售商E.Leclerc等。Clop还涉嫌与FIN11网络犯罪集团合作，后者是一个以网络钓鱼和恶意软件攻击为主要手段的组织。FIN11被认为是黑客组织TA505的一个分支，后者也是一些其他勒索软件家族(如Dridex和Locky)的幕后推手。今年6月，乌克兰警方宣布逮捕了六名涉嫌参与Clop勒索软件活动的人员，并查获了一些计算机设备和现金。然而，这次行动并没有阻止Clop的攻击，该团伙仍然在活跃地寻找新的受害者。美国政府此次悬赏的目标是找出Clop背后的领导人员，以及他们与任何外国政府的联系。这一举措是美国政府打击勒索软件威胁的一部分，旨在追踪和阻止加密货币支付，以及提高企业和公众的安全意识和防御能力。

10、微软发布对DDoS服务攻击的应对策略和建议

https://msrc.microsoft.com/blog/2023/06/microsoft-response-to-layer-7-distributed-denial-of-service-ddos-attacks/

微软安全响应中心(MSRC)发布了一篇博客文章，介绍了微软对第七层分布式拒绝服务(DDoS)攻击的应对策略和建议。第七层DDoS攻击是指针对应用程序层的攻击，如HTTP、HTTPS、DNS等，目的是消耗目标服务器的资源或影响其功能。微软表示，近期发现了一些针对其云服务和在线服务的第七层DDoS攻击，其中一些攻击使用了复杂的技术，如HTTP/2协议、TLS 1.3加密、多路复用等，以增加检测和防御的难度。微软还表示，这些攻击可能是由同一组织或个人发起的，因为它们具有相似的特征和模式。微软采取了利用其全球网络边缘的能力，通过多种技术来识别和过滤恶意流量，如IP黑名单、请求速率限制、内容检测等措施来应对这些攻击。

免责声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。