Turla APT滥用MSBuild分发TinyTurla后门

首页 > 安全钻研 > 安全传递 > 安全简讯

Turla APT滥用MSBuild分发TinyTurla后门

颁布功夫 2024-05-23

1. Turla APT滥用MSBuild分发TinyTurla后门

5月22日，一个与俄罗斯有关的高级持续性威胁 (APT) 组织一向在滥用 PDF 和 MSBuild 项目文件，利用社交工程电子邮件将 TinyTurla 后门作为无文件负载进行传布。钻研人员暗示，该活动的无缝传布法式在复杂性方面获得了显著的进取。Cyble 钻研人员和谍报尝试室 (CRIL) 的钻研人员发现了这一活动，该活动使用电子邮件和约请人权钻研会或提供公共征询的文件作为钓饵，以习染 TinyTurla 用户。他们在昨天颁布的有关该活动的博客文章中暗示，攻击者还假意合法当局，以引诱受害者受骗。钻研人员指出，TinyTurla 后门与俄罗斯赞助的持久威胁组织Turla有关，该组织通常针对非当局组织，“出格是那些与支持乌克兰有联系的组织”。帖子称，他们以为该组织是恶意攻击活动的幕后黑手。

https://www.darkreading.com/cyberattacks-data-breaches/russia-turla-apt-msbuild-tinyturla-backdoor

2. CISA 忠告利用Mirth Connect缝隙的攻击活动

5月21日，Mirth Connect 是一种宽泛使用的跨平台界面引擎，医疗保健组织将其用于信息治理。影响开源产品的缝隙 CVE-2023-43208 是一个数据反序列化问题，可导致未经身份验证的远程代码执行。4.4.1 版颁布时已推出补丁。该缝隙于 2023 年 10 月曝光，其时网络安全公司 Horizon3.ai 忠告称该缝隙可能对医疗保健公司造成影响。CVE-2023-43208 是 CVE-2023-37679 的一个变体，Mirth Connect 开发人员之前已在 4.4.0 版颁布时对该缝隙进行了建补。Horizon3.ai 其时将该缝霞述为易于利用，并忠告称“攻击者很可能利用此缝隙进行初始接见或粉碎敏感的医疗数据”。该安全公司还指出，发现了 1,200 多个露出在互联网上的 NextGen Mirth Connect 事俘。

https://www.securityweek.com/cisa-warns-of-attacks-exploiting-nextgen-healthcare-mirth-connect-flaw/

3. 黑客团伙利用勒索软件攻击菲律宾当局

5月22日，黑客在利用泄露的勒索软件构建者对菲律宾的关键基础设施提议攻击——这是出于政治动机的集体的趋向的一部门，他们越来越多地试图侵扰这个东南亚国度的生涯。网络安全公司 SentinelOne的钻研人员暗示，一个名为“Ikaruz Red Team”的组织是少数几个针对菲律宾当局指标的黑客组织之一。该行动利用了多种勒索软件构建者——蕴含 LockBit、Vice Society、Clop 和 AlphV——提议“幼规模”攻击。它还在网上宣传菲律宾多个组织的数据泄露情况。SentinelOne 暗示，受害者的便条险些全数剽窃自原始 LockBit 模板，顶部的名字之表。未提供联系信息。

https://therecord.media/philippines-hacktivist-groups-leaked-versions-ransomware

4. GhostEngine 挖矿攻击利用易受攻击的驱动

5月22日，已发现代号为“REF4578”的恶意加密钱币挖掘活动部署了名为 GhostEngine 的恶意负载，该负载使用易受攻击的驱动法式来关关安全产品并部署 XMRig 挖矿法式。Elastic Security Labs 和安天的钻研人员在单独的汇报和共享的检测规定中强调了这些加密钱币挖掘攻击的异常复杂性，以援手防御者鉴别和阻止它们。然而，两份汇报均未将该活动归罪于已知的威胁行为者，也未分享有关指标/受害者的具体信息，因而该活动的发源和领域依然未知。固然尚不明显服务器最初是若何被粉碎的，但威胁行为者的攻击从执行名为“Tiworker.exe”的文件起头，该文件假装成合法的 Windows 文件。该可执行文件是 GhostEngine 的初始登台有效负载，GhostEngine 是一个 PowerShell 剧本，可下载各类�？橐栽谑芟叭镜纳璞干现葱蟹制绲男形�。

https://www.bleepingcomputer.com/news/security/ghostengine-mining-attacks-kill-edr-security-using-vulnerable-drivers/

5. 西悉尼大学遭到黑客攻击部门学生数据泄露

5月21日，在威胁行为者粉碎了其 Microsoft 365 和 Sharepoint 环境后，西悉尼大学 (WSU) 已向学生和学术人员传递了数据泄露事务。WSU 是澳大利亚的一所教育机构，提供跨学科的宽泛本科、钻研生和钻研课程。它占有 47,000 名学生和 4,500 多名正式和季节性员工，运营预算为 6 亿美元。西悉尼大学网站今日颁布布告，忠告称黑客已接见其 Microsoft Office 365 环境，蕴含电子邮件帐户和 SharePoint 文件。所露出的数据因人而异，具体取决于电子邮件通讯的内容以及大学 SharePoint 环境中存储的文档。

https://www.bleepingcomputer.com/news/security/western-sydney-university-data-breach-exposed-student-data/#google_vignette

6. Void Manticore对准以色列和阿尔巴尼亚

5月22日，该组织名为 Void Manticore (Storm-0842)，在分歧国度以各类化名发展活动。最驰名的别号蕴含针对阿尔巴尼亚袭击的“河山正义”和针对以色列行动的“因果报应”。针对分歧的区域，针对每个指标选取怪异的步骤。该组织的活动与另一个伊朗组织 Scarred Manticore 的活动沉叠，这批注协和谐系统的受害者选择是他们为伊朗谍报和安全数 (MOIS) 工作的一部门。专家忠告说，虚空蝎狮对任何否决伊朗利益的人组成沉大威胁。该组织利用复杂的化名网络、战术合作和复杂的攻击步骤。该组织以其双沉网络攻击方式而闻名，将物理数据粉碎与生理压力相结合。Void Manticore 使用五种分歧的步骤，蕴含针对 Windows 和 Linux 的自界说擦除器，通过删除文件和把持共享磁盘来粉碎系统。

https://meterpreter.org/void-manticore-iranian-state-sponsored-hackers-target-israel-albania/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研