8000 多个值得信任的品牌域名被劫持并大规模发送垃圾邮件

首页 > 安全钻研 > 安全传递 > 安全简讯

8000 多个值得信任的品牌域名被劫持并大规模发送垃圾邮件

颁布功夫 2024-02-28

1. 8000 多个值得信任的品牌域名被劫持并大规模发送垃圾邮件

2月26日，Guardio Labs 在跟踪协调的恶意活动，该活动至少自 2022 年 9 月以来一向在持续，名为 SubdoMailing。属于合法品牌和机构的 8,000 多个域名和 13,000 个子域名已被劫持，作为垃圾邮件扩散和点击钱币化的复杂分发架构的一部门。这家以色列安全公司将这次活动归因于一个名为ResurrecAds的威胁行为者，多所周知，该行为者会新生大品牌或从属于大品牌的死域名，最终指标是把持数字告白生态系统以获取犯法收益。这些子域名属于或从属于 ACLU、eBay、Lacoste、Marvel、McAfee、MSN、Pearson、PwC、Swatch、Symantec、The Economist、UNICEF 和 VMware 等大品牌和组织。

https://thehackernews.com/2024/02/8000-subdomains-of-trusted-brands.html

2. Booking.com 假意活动：Agent Tesla 恶意软件分析

2月26日，该活动利用 Booking.com 的品牌名誉来传布 Agent Tesla，这是一种多职能远程接见木马 ( RAT )。攻击者利用与 Booking.com 有关的信赖，造作看似合法退款通知的网络垂钓电子邮件。蕴含 PDF 附件会要求收件人查抄所附 PDF 中的卡对账单。这一精心设计的打算的最终了局是部署了Agent Tesla恶意软件。该对试祓头采取恶意行动窃取凭证和幼我数据，将其不义之财传输到个人 Telegram 谈天室。它并不止于此；该恶意软件通过额表的 PowerShell 剧本确保其悠久性，并不休改进其战术以在受习染的系统中维持安身点。

https://securityonline.info/booking-com-impersonation-campaign-agent-tesla-malware-analysis/

3. ALPHV/BlackCat 对 Change Healthcare 网络攻击掌管

2月26日，据报路，ALPHV/BlackCat 勒索软件团伙对 Change Healthcare 大规模网络攻击掌管，该攻击自上周以来已经侵扰了美国各地的药店。据路透社援引“两名知恋人士”的话称，臭名远扬的勒索软件即服务操作是结合健全旗下企业提议攻击的幕后黑手。Register尚未独立确认 ALPHV 参加了这次入侵。Change Healthcare 为医疗机构提供宽泛的 IT 服务，蕴含让药房查抄患者用药资格并确定保险领域的软件。其客户蕴含美国两家最大的药店——CVS 和沃尔格林——这两家药店都感触到了停电的不良影响。这家健全科技公司于 2 月 21 日初次披露了这一缝隙，并因而关关了部门 IT 系统。周五，美国药剂师协会暗示，由于网络攻击，全国各地的药房无法传送保险索赔。

https://www.theregister.com/2024/02/26/alphv_healthcare_unitedhealth/

4. UAC-0184 使用 Remcos RAT 针对芬兰境内的乌克兰实体

2月27日，被追踪为 UAC-0184 的威胁行为者一向在使用隐写术技术，通过名为 IDAT Loader 的相对较新的恶意软件向位于芬兰的乌克兰指标传送 Remcos 远程接见木马 (RAT)。只管敌手最初针对的是乌克兰境内的实体，但防御措施故障了有效载荷的交付。凭据 Morphisec 威胁尝试室今天的分析，这导致了随后对代替指标的搜索。固然 Morphisec 因客户机密而没有泄漏活动细节，但钻研人员指出 Dark Reading据称与 UAC-0148 进行的并行活动有关，该活动使用电子邮件和鱼叉式网络垂钓作为初始接见媒介，并以乌克兰军事人员为指标，以提供征询为钓饵。以色列国防军 (IDF) 的角色。其指标是网络间谍活动：网络犯罪分子使用 Remcos（“远程节造和监督”的缩写）RAT 来未经授权接见受害者的推算机、远程节造受习染的系统、窃取敏感信息、执行号令等。

https://www.darkreading.com/cyberattacks-data-breaches/uac-0184-targets-ukrainian-entity-finland-remcos-rat

5. 俄罗斯黑客团伙通过休眠帐户对准云基础设施

2月26日，美国、加拿大、英国、澳大利亚和新西兰的网络安全和法律机构颁布结合警报，呼吁垂危关注与 APT29/Cozy Bear/Midnight Blizzard（一个臭名远扬的黑客组织）有关的最新战术、技术和法式 (TTP)。俄罗斯谍报部门（SVR）。据观察，SVR 参加者并没有利用软件缝隙来攻击本地基础设施，而是提议暴力破解和密码喷射攻击来粉碎服务帐户，以及针对前员工的休眠帐户来接见指标组织的环境。此表，还发现臭名远扬的 APT 组织使用令牌接见受害者帐户，并使用一种称为“MFA 轰炸”或“MFA 委顿”的技术绕过多沉身份验证 (MFA)。初次接见后，攻击者通�；峤约旱纳璞缸⒉岬绞芎φ叩耐�，并部署复杂的攻击后工具。此表，黑客还依附住宅代理来暗藏其恶意活动，使流量看起来像是来自住宅宽带客户的 IP 地址。

https://www.securityweek.com/russian-cyberspies-targeting-cloud-infrastructure-via-dormant-accounts/

6. Anonymous 苏丹推广新的 DDoS 僵尸网络Skynet-GodzillaBotnet

2月26日，据相识，一个名为“匿名苏丹”的组织在积极推广一种名为“Skynet-GodzillaBotnet”的新型散布式回绝服务 (DDoS) 僵尸网络服务。网上流传的一则告白展示了带佑装SKYNET”字样的红龙标志。该服务被宣传为执行DDoS 攻击的壮大工具，该组织宣称通过将其权势与另一个实体归并来加强其职能。《逐日暗网》中发现的告白明确指出，它提供僵尸网络的接见权限，价值为一天 100 美元、一周 600 美元、一个月 1700 美元。Anonymous 苏丹以其激进的 Web DDoS 攻击而闻名，其中蕴含交替的 UDP 和 SYN 洪水攻击。这些攻击从数以万计的唯一源 IP 地址提议，UDP 流量高达 600Gbps，HTTPS 要求洪水峰值可达每秒数百万个要求。

https://gbhackers.com/anonymous-sudan-new-ddos-botnet-warning/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研