CoralRaider恶意软件活动利用CDN缓存传布信息窃取法式

首页 > 安全钻研 > 安全传递 > 安全简讯

CoralRaider恶意软件活动利用CDN缓存传布信息窃取法式

颁布功夫 2024-04-25

1. CoralRaider恶意软件活动利用CDN缓存传布信息窃取法式

4月24日，钻研人员发现一种新的持续恶意软件活动在分发三种分歧的窃取法式，例如托管在内容交付网络 (CDN) 缓存域上的CryptBot、LummaC2和Rhadamanthys 。思科 Talos 将这次活动归因于被追踪为CoralRaider的威胁行为者，该组织疑似源自越南，于近期曝光。该活动的指标涵盖各个地域的各个贸易垂直领域，蕴含美国、尼日利亚、巴基斯坦、厄瓜多尔、德国、埃及、英国、波兰、菲律宾、挪威、日本、叙利亚和土耳其。攻击链涉及用户通过网络浏览器下载假装成电影文件的文件，从而增长了大规模攻击的可能性。该活动值妥贴心的是，它利用了 CryptBot 的更新版本，其中蕴含新的反分析技术，并且还捕获密码治理器利用法式数据库和身份验证器利用法式信息。

https://thehackernews.com/2024/04/coralraider-malware-campaign-exploits.html

2. Change Healthcare最终支付赎金将面对数据泄露的风险

4月24日，在勒索软件崩�Ｆ鹜妨礁龆嘣潞�，勒索软件的影响堪称网络安全史上最严沉的一次，医疗公司 Change Healthcare 终于证实了网络犯罪分子、安全钻研人员和比特币区块链已经说得很明显的事件：它的确做到了向仲春份袭击该公司的黑客支付赎金。然而，它依然面对沉迷失大量客户敏感医疗数据的风险。Change Healthcare 似乎已于 3 月 1 日支付了赎金，并指出一笔 350 比特币（约合 2200 万美元）的买卖被发送到与 AlphV 黑客有关的加密钱包中。这笔买卖首先在名为 RAMP 的俄罗斯网络犯罪论坛上的一条新闻中得到强调，其中一位据称被 AlphV 抛弃的合作同伴抱怨说，他们没有收到 Change Healthcare 付款中的分成。

https://news.hitb.org/content/change-healthcare-finally-admits-it-paid-ransomware-hackers-and-still-faces-patient-data

3. 西班牙沉新启动对 Pegasus 间谍软件案件的调查

4月23日，西班牙国度法院法官暗示，有理由相信法国提供的新信息能够“让调查获得进展”。这两项调查均涉及涉嫌使用以色列 NSO 集团开发的 Pegasus 间谍软件。间谍软件会偷偷地渗入得手机或其他设备中以网络数据并可能监督其所有者。NSO 宣称，它仅提供给当局用于进攻恐怖主义和其他安全威胁。凭据安全钻研人员和 2021 年全球媒体调查，Pegasus 已被用来攻击 50 个国度的 1,000 多人，其中蕴含活动人士和记者。西班牙于 2022 年 5 月颁发，首相佩德罗·桑切斯及其三名部长，蕴含国防部长和内政部长，已成为Pegasus 间谍软件的指标。由此产生的司法调查因未能获得了局而临时搁置。

https://www.securityweek.com/spain-reopens-a-probe-into-a-pegasus-spyware-case-after-a-french-request-to-work-together/

4. 黑客劫持防病毒更新以分发后门和挖矿GuptiMiner

4月23日，朝鲜黑客一向在利用 eScan 防病毒软件的更新机造在大型企业网络上植入后门，并通过 GuptiMiner 恶意软件传布加密钱币矿工。钻研人员将 GuptiMiner 描述为高度复杂的威胁，它能够向攻击者的 DNS 服务器执行 DNS 要求，从图像中提取有效负载，对其有效负载进行署名，并执行 DLL 侧面加载。GuptiMiner 背后的威胁行为者拥有中央敌手 (AitM) 的职位，能够劫持正常的病毒界说更新包，并将其代替为名为“updll62.dlz”的恶意包。该恶意文件蕴含必要的防病毒更新以及名为“version.dll”的 DLL 文件大局的 GuptiMiner 恶意软件。eScan 更新法式正常处置该包，解压并执行它。在此阶段，DLL 由 eScan 的合法二进造文件旁加载，从而赋予恶意软件系统级权限。

https://www.bleepingcomputer.com/news/security/hackers-hijack-antivirus-updates-to-drop-guptiminer-malware/

5. 与朝鲜有关联的 APT 组织对准韩国国防承包商

4月23日，韩国国度警员厅忠告称，与朝鲜有关的威胁行为者正以国防工业实体为指标，窃取国防技术信息。据韩国国度警员厅报路，与朝鲜有关联的 APT 组织Lazarus、Andariel和Kimsuky攻击了韩国多家国防有关的公司。警员厅和国防采购打算治理局（DAPA）对指标组织的环境进行了一系列出格查抄。结合查抄于1月15日至2月16日进行，受影响组织执行了防护措施。警方暗示，这些袭击是以全面战争的大局进行的，多个 APT 组织参加其中。当局专家忠告说，攻击者选取了复杂的黑客技术。韩国国度警员厅提供了分歧 APT 组织执行的屡次攻击的具体信息。

https://securityaffairs.com/162193/apt/north-korea-south-korean-defense-contractors.html

6. 美国财政部和国务院以及多家机构的系统遭到黑客攻击

4月23日，四名伊朗黑客在曼哈顿联王法院被告状，被指控针对美国当部门门、国防承包商和私营公司发展复杂的网络间谍活动。目前仍在逃的被告被指控针对美国财政部和国务院以及十几家可能获取国防有关信息的美国私营公司的关键系统进行攻击。司法部责怪黑客使用额表的社会工程技术，蕴含假意女性来获取受害者的信赖。凭据未密封的告状书，该黑客组织的攻击的受害者重要是经过许可的国防承包商，这些公司已获得美国国防部的安全许可，能够接见、接管和存储机密信息。该组织还被指控针对一家总部位于纽约的管帐师事务所和一家总部位于纽约的酒店公司。在告状书启封的同时，美国国务院还颁发悬赏 1000 万美元，嘉奖提供线索抓获他们，财政部还对涉案幼我执行了造裁。

https://www.securityweek.com/10-million-bounty-on-iranian-hackers-for-cyber-attacks-on-us-gov-defense-contractors/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研