SysAid是一款IT服务管理(ITSM)解决方案,为组织内管理各种IT服务提供了一套工具。研究人员发现,攻击者正在利用服务管理软件SysAid中的零日漏洞来访问企业服务器,进行数据窃取并部署Clop勒索软件。该漏洞于11月2日被发现,被标记为CVE-2023-47246,黑客利用该漏洞入侵SysAid服务器。研究人员确定该漏洞正在被Lace Tempest(又称Fin11和TA505)组织利用,用于部署Clop勒索软件。
研究人员发现攻击者仿冒WindowsReport网站传播虚假的CPU-Z应用程序,并最终投递RedLine窃密木马。用户在该仿冒网站中点击下载后,将会下载到一个MSI安装文件,其中包含被称为FakeBat的恶意PowerShell脚本,该脚本会从指定URL处获取Redline窃密木马载荷并在受害者计算机中执行。
京瓷子公司KAVX表示,其遭受的勒索软件攻击影响了39111名个体的个人信息,该公司正在向受影响者发送数据泄露通知。KAVX表示,他们于2023年10月10日发现黑客在2023年2月16日至3月30日期间访问了其系统,受影响服务器上的数据包括全球范围内的个人信息。KAVX表示没有证据表明网络罪犯滥用了窃取的数据,但提醒收信人有关身份盗窃和欺诈的相关风险,并敦促他们保持警惕。LockBit勒索软件团伙声称于2023年5月26日入侵了KAVX,当时将该公司添加到其数据泄漏站点。攻击者在其勒索网站上发布了多个窃取的数据样本,包括护照扫描件、财务文件、保密协议等。黑客为KAVX支付赎金设定的最后期限是2023年6月9日。
https://www.hackread.com/hive-ransomware-hunters-international-bitdefender
研究人员称,Hive勒索团伙可能变更为Hunters International,以新的身份重新出现。研究人员表示,Hive团伙此前停止了攻击活动,并将其剩余资产转移到了Hunters International,并在这两组使用的代码之间发现了60%的匹配度。然而,Hunters International声称他们是在购买和更改Hive基础设施、源代码之后形成的独立团伙。Hunters International表示,Hive的所有源代码都已出售,包括网站和旧的Golang和C版本,他们购买了这些源代码,并且更偏向于数据泄露而不是数据加密。
研究人与近期发现了一种新型恶意软件,并将其命名为“Effluence”,该恶意软件利用了最近的Atlassian Confluence漏洞。该恶意软件会在受感染的主机中充当持久性后门,该后门提供了横向移动到其他网络资源以及从Confluence中窃取数据的功能。更重要的是,攻击者可以在未经身份验证的情况下远程访问后门,而无需对Confluence进行身份验证。
马来西亚皇家警察宣布,已经查封了BulletProftLink网络钓鱼服务(PhaaS)平台,该平台提供了300多个网络钓鱼模板。网络钓鱼服务平台通过“即插即用”的工具和模板、页面托管、定制选项、凭证收集和反向代理工具为网络犯罪分子提供工具和资源,以进行网络钓鱼攻击。截至2023年4月,BulletProftLink有8138名活跃用户,并提供了327个网络钓鱼页面模板。马来西亚警方、澳大利亚联邦警察和FBI成功拆除了平台,关闭了相关的多个域名,并于11月6日逮捕了8人。
https://securityaffairs.com/154002/hacktivism/anonymous-sudan-ddos-on-cloudflare.html
Cloudflare证实一次DDoS攻击导致其网站短暂宕机,并指出这并没有影响该公司的其他产品或服务。Anonymous Sudan组织声称对造成Cloudflare网站宕机的大规模分布式拒绝服务(DDoS)攻击负责。该组织在其Telegram频道中表示攻击持续了1小时。该组织声称最近的DDoS攻击是使用Skynet和Godzilla僵尸网络进行的。Skynet首次于2012年被发现,据估计,Skynet已经感染了全球超过100万台设备;Godzilla僵尸网络至少自2021年以来一直活跃,它被用于发动大规模的分布式拒绝服务(DDoS)攻击,以及窃取登录凭据和挖掘加密货币,据估计,Godzilla僵尸网络已经感染了全球超过10万台设备。
https://www.freebuf.com/news/383568.html
2023年11月10日,中国工商银行(ICBC)的美国全资子公司工银金融服务有限责任公司(ICBCFS)在官网发布申明称11月8日遭受了勒索软件攻击,导致部分系统中断。据安全研究平台VXunderground本周五透露,LockBit组织代表在Tox上公开确认对攻击负责,但否认自己是俄罗斯黑客组织。
https://www.infoq.cn/article/K5JfjZy6Qmc70YFPluVi
11 月 12 日下午,陆续有网友表示阿里旗下多款产品出现访问故障,随后【阿里云全线产品崩了】登上微博实时热搜。据阿里云健康状态页(https://status.aliyun.com/#/)公告信息,本次故障为阿里云云产品控制台服务异常,开始于 2023-11-12 17:44。阿里云全线产品均受影响。
https://securityaffairs.com/153975/cyber-crime/dolly-com-pays-ransom.html
攻击者在黑客论坛中发布了有关Dolly.com的详细信息,该公司可能在8月底或9月初的某个时间遭受了攻击。攻击者与受害者之间的一封电子邮件日期为9月7日,其中显示Dolly.com同意支付赎金。攻击者获取了敏感的公司和客户数据,如高级账户登录详细信息、信用卡信息、客户地址、姓名、注册日期、用户电子邮件、系统数据等,攻击者表示他们可以访问完整的信用卡数据。攻击者称,Dolly.com确实支付了赎金,但数额不足以满足他们的要求,但攻击者仍接收了赎金并泄露了数据。该公司尚未针对此次事件进行回应。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。