LOCKBIT 卷土重来,威胁瞄准更多政府组织

宣布时间 2024-02-27

1. LOCKBIT 卷土重来,威胁瞄准更多政府组织


2月26日,在执法部分抓获 LockBit 团伙的部分成员后,LockBit 团伙卷土重来并建设了新的基础设施。NCA 及其全球相助同伴已获得 1,000 多个解密密钥,这些密钥将允许该团伙的受害者免费恢复他们的文件。NCA 将在未来几天或几周内联系英国的受害者,提供支持以资助他们恢复加密数据。LockBit团伙并不是试图重新启动其 RaaS 营业,而是已经建设了新的基础设施,并威胁要对政府部分举行网络攻击。该团伙在其网站上添加了 12 名受害者,其中 5 名受害者的阻止日期已到。


https://securityaffairs.com/159584/cyber-crime/lockbit-gang-resumed-raas.html


2. 黑客从 Axie Infinity 团结首创人的小我私家账户窃取近 1000 万美元


2月24日,视频游戏 Axie Infinity 和相关 Ronin Network 的团结首创人之一的小我私家账户中近 1000 万美元的加密钱币被盗。报道称,Jeff “Jihoz” Zirlin 的钱包被黑客入侵,损失了 3,248 个以太币,约合 970 万美元。周四晚,齐林在社交媒体上证实,他的两个账户遭到泄露。Ronin Network 是Axie Infinity的基础,Axie Infinity 拥有基于以太坊的即玩即赚经济。它在东南亚特殊受接待。2022 年 3 月,黑客从该系统中窃取了 6 亿美元的加密钱币,美国审查官随后将此次攻击归罪于朝鲜国家支持的网络犯法组织 Lazarus Group。剖析师追踪到从 Zirlin 账户被盗的资金来自 Tornado Cash 的运动,Tornado Cash 是一个旨在隐藏加密钱币泉源的混淆器。据美国政府称,Lazarus 使用混淆器洗钱 2022 年黑客攻击中的资金,并单独制裁了Tornado Cash。


https://therecord.media/hackers-steal-millions-from-axie-infinity-founder-personal-accounts?&web_view=true


3. Linux攻击中使用的Nood RAT(Gh0st RAT的变种)的剖析


2月26日,AhnLab 清静情报中心 (ASEC) 最近发明 Nood RAT 被用于恶意软件攻击。Nood RAT 是在 Linux 上运行的 Gh0st RAT 的变体。只管与 Windows 的 Gh0st RAT 相比,Linux 的 Gh0st RAT 数目较少,但 Linux 的 Gh0st RAT 案例仍在一直网络。凭证代码与 Gh0st RAT [1]之前代码的相似性,Nood RAT 被归类为 Gh0st RAT 的变体。找到了最新开发中使用的构建器,并将其命名为Nood RAT,由于作者将其命名为Nood。自2018年以来,Nood RAT已被用于种种误差攻击。虽然最近没有发明详细的误差攻击案例,但凭证VirusTotal网站的数据,案例正在一直发明。本文重点先容了已往几年发明的恶意软件变体,并与构建者一起对其举行了剖析。


https://asec.ahnlab.com/en/62144/


4. 加拿大皇家骑警 (RCMP) 官网遭遇网络攻击


2月25日,加拿大联邦和国家执法机构加拿大皇家骑警 (RCMP) 遭受网络攻击。皇家骑警还通知了隐私专员办公室 (OPC)。加拿大皇家骑警讲话人在向加拿大广播公司新闻揭晓的一份声明中体现:“情形正在迅速生长,但现在,加拿大皇家骑警的行动没有受到影响,加拿大人的清静也没有受到任何已知的威胁。” “虽然云云严重的违规行为令人震惊,但快速的事情和接纳的缓解战略批注加拿大皇家骑警为检测和避免此类威胁所接纳的主要办法。”皇家骑警体现,不知道对外国警员和情报部分有任何影响。加拿大执法机构没有提供有关网络攻击的详细信息。2023 年 11 月,加拿大政府在威胁行为者入侵其两名承包商后 披露了一起数据泄露事务。加拿大政府宣布,其两家承包商 Brookfield Global Relocation Services (BGRS) 和 SIRVA Worldwide Relocation & Moving Services 遭到黑客攻击,导致属于数目不详的政府雇员的敏感信息被泄露。 


https://securityaffairs.com/159568/hacking/cyber-attack-hit-royal-canadian-mounted-police.html


5. 使用 ScreenConnect 误差安排恶意软件


2月25日,Sophos X-Ops 重点关注了 ConnectWise ScreenConnect 装置(一种普遍使用的远程监控和治理软件)中误差使用的令人担心的趋势。最近披露的ScreenConnect误差(CVE-2024-1709、CVE-2024-1708)需要连忙接纳行动。针对外地装置的普遍使用需要快速修补、自动威胁征采和增强的网络防御。2024 年 2 月 19 日,ConnectWise 就影响其 ScreenConnect 软件旧版本的两个严重误差发出警报。若是不修补这些误差,攻击者可能会获得执行远程代码或会见神秘数据的能力。这些缺陷被指定为 CVE-2024-1709 和 CVE-2024-1708,涉及服务器软件中的身份验证绕过和路径遍历问题,对使用受影响软件版本的组织组成严重威胁。针对这些误差,ConnectWise已宣布ScreenConnect补丁,建议所有用户升级到23.9.8或更高版本。


https://securityonline.info/screenconnect-vulnerabilities-exploited-to-deploy-malware/


6. PyPI 软件包django-log-tracker被用来撒播 Nova Sentinel 恶意软件


2月23日,Python 包索引 (PyPI) 存储库上的一个休眠包在近两年后举行了更新,以撒播名为 Nova Sentinel 的信息窃取恶意软件。据软件供应链清静公司 Phylum 称,该软件包名为django-log-tracker ,于 2022 年 4 月首次宣布到 PyPI,该公司于 2024 年 2 月 21 日检测到该库的异常更新。虽然链接的 GitHub 存储库自 2022 年 4 月 10 日以来一直没有更新,但恶意更新的引入批注属于开发职员的 PyPI 帐户可能受到损害。Django-log-tracker迄今为止已被下载 3,866 次,其中流氓版本 (1.0.4) 在宣布之日下载了 107 次。该软件包不再可以从 PyPI 下载。


https://thehackernews.com/2024/02/dormant-pypi-package-compromised-to.html?&web_view=true