Bling Libra战术转变：从数据偷窃到云勒索

首页 > 安全钻研 > 安全传递 > 安全简讯

Bling Libra战术转变：从数据偷窃到云勒索

颁布功夫 2024-08-29

1. Bling Libra战术转变：从数据偷窃到云勒索

8月27日，Unit 42网络安全团队揭示，臭名远扬的Bling Libra威胁组织已显著转变其战术，从以往通过地下市场贩卖窃取数据，转变为针对云环境执行勒索攻击。这一变动尤为令人忧郁，由于Bling Libra已成功利用AWS凭证入侵多家企业的云账户，出格是通过Amazon S3资源。他们精心策动的入侵行动，蕴含详细的数据索求和荫蔽的活动追踪，使得攻击初期难以被觉察。利用S3浏览器和WinSCP等工具，Bling Libra不仅绘造了受害者的存储桶结构，还删除了关键数据，进一步加剧了损失。更甚者，在实现粉碎后，该组织创建了嘲讽性的新S3存储桶，并提议勒索邮件，要求支付赎金以复原数据和终场攻击。Unit 42的汇报深刻分析了这些工具的使用方式，为防御者提供了鉴别恶意活动的线索。鉴于云服务的遍及，汇报强调组织应选取最幼特权准则和强化安全措施，如利用IAM接见分析和AWS服务节造战术，以有效招架此类高级威胁。

https://securityonline.info/bling-libras-tactical-evolution-exploiting-cloud-misconfigurations-for-extortion/

2. Poortry工具集进化：从EDR杀手到全面擦除者

8月27日，Sophos X-Ops最新汇报揭示了恶意工具集Poortry的最新进展，该工具旨在针对Windows系统上的端点检测和响应（EDR）软件提议攻击。自2022年被Mandiant发现以来，Poortry通过其加载法式“Stonestop”成为多个勒索软件组织的关键工具，不休进化以逃避检测。最新版本的Poortry不仅限于禁用EDR软件，更能从磁盘中彻底断根安全软件的关键组件，从而为其背后的勒索软件攻击扫清路路。Poortry的主题战术是利用Windows内核模式驱动法式的宽泛权限，通过解除挂钩和终止�；す汤慈乒踩�。其开发者利用多种步骤绕过代码署名验证，蕴含滥用泄露的证书、伪造功夫戳以及尝试直接通过Microsoft的WHQL证明署名人程获取合法证书。只管面对微软和Sophos的曝光与封堵，Poortry依然通过矫捷调整战术维持活跃。尤为值得关注的是，Poortry在2024年7月的一次事务中初次展示了其删除EDR组件的新能力，这显著增长了组织面对的风险。

https://securityonline.info/poortry-edr-killer-evolves-now-wipes-security-software-from-windows-systems/

3. Park'N Fly遭黑客入侵，百万客户数据泄露

8月27日，Park'N Fly是加拿大驰名机场表停车服务提供商，近期遭逢严沉数据泄露事务，约100万客户的幼我信息被黑客犯法获取。威胁者利用窃取的VPN凭证，在7月中旬侵入公司网络，并在7月11日至13日期间执行了未授权接见。泄露的信息蕴含客户全名、电子邮件、住址、航班号及民航局号码，但幸运的是，财政和支付卡信息未被波及。Park'N Fly迅快采取行动，五天内复原了受影响的系统，并加强了安全措施以预防将来类似事务的产生。公司CEO卡罗·马雷洛向客户及合作同伴致歉，并承诺将全力�；び没畔�。受影响的客户在社交媒体上表白了对数据泄露的忧郁，并对公司数据保留政策提出质疑。Park'N Fly提醒所有受影响的客户维持高度警惕，防备潜在的网络垂钓攻击。

https://www.bleepingcomputer.com/news/security/parkn-fly-notifies-1-million-customers-of-data-breach/

4. 利用Atlassian Confluence缝隙CVE-2023-22527进行加密劫持

8月28日，Trend Micro 钻研人员揭示了针对 Atlassian Confluence 数据中心和服务器版本的严沉缝隙（CVE-2023-22527）的宽泛加密劫持活动。该缝隙于2024年1月16日由Atlassian公开，其CVSS评分为满分10，批注其极高风险性。该缝隙通过模板注入机造，允许未授权攻击者远程执行代码，节造服务器。自2024年6月中旬起，利用此缝隙的加密钱币挖掘攻击急剧增长，重要由三个威胁行为者主导，他们选取分歧战术部署XMRig挖矿机，盗用推算资源以牟利。其中一个行为者直接利用ELF文件负载部署挖矿机，而另一行为者则选取复杂伎俩，通过SSH剧本渗入系统，断根竞争挖矿过程，禁用云安全服务，并网络敏感信息以扩大攻击领域。这些行为者还通过创建多个cron作衣反维持对受习染服务器的节造，确保挖矿活动持续进行，并解除潜在的安全阻碍。为应对此威胁，治理员该当即更新Confluence至最新版本，并强化安全措施。

https://www.trendmicro.com/en_us/research/24/h/cve-2023-22527-cryptomining.html

5. BlackByte 勒索软件新攻势：利用VMware ESXi缝隙与VPN接见

8月29日，BlackByte 勒索软件组织正借助新发现的 VMware ESXi 缝隙及VPN接见蹊径，对全球企业提议新一轮剧烈攻击。思科Talos 团队告发了其攻击战术，BlackByte 不仅利用CVE-2024-37085缝隙绕过身份验证，还通过VPN等远程接识趣造隐秘渗入，以低可见性方式扩大习染领域。该组织还善于利用窃取的Active Directory痛处自我传布，加剧了其粉碎力。只管其公开数据泄露网站仅展示部门攻击案例，但Talos 钻研显示其现实活动远超预期。造作业、运输/仓储、专业服务、信息技术及公共行政成为其沉点攻击指标。为应对此威胁，组织需垂危建补VMware ESXi等系统，执行MFA，审核VPN配置，并限度关键网络接见。同时，禁用或限度NTLM使用，部署高效的端点检测和响应系统，并构建全面的安全战术，融合自动威胁谍报与事务响应能力，以全面招架BlackByte等勒索软件的侵害。

https://hackread.com/blackbyte-ransomware-vmware-flaw-vpn-based-attacks/

6. 伊朗APT33利用Tickler恶意软件攻击美国当局和国防等机构

8月28日，伊朗黑客组织APT33，别号Peach Sandstorm和Refined Kitten，近年来频仍发起网络攻击，其最新伎俩涉及使用新型Tickler恶意软件，沉点针对美国和阿联酋确当局、国防、卫星、石油及天然气部门的组织。2024年4月至7月间，该组织通过Microsoft Azure基础设施执行号令与节造（C2），利用诓骗性Azure订阅进行谍报网络。此前，APT33已成功利用密码喷洒攻击侵入国防、航天、教育及当部门门，尤其是通过教育行业盗用账户来获取Azure资源。此表，APT33在2023年还选取类似战术，利用FalseFont后门恶意软件攻击全球国防承包商。微软对此类攻击维持高度警惕，指出APT33自2023年2月以来，已对全球数千个组织进行了大规模密码喷洒攻击，威胁领域进一步扩大到造药业。为应对这一威胁，微软颁发自10月15日起，所有Azure登录尝试均需通过多沉身份验证（MFA），旨在显著加强账户安全性。

https://www.bleepingcomputer.com/news/security/APT33-Iranian-hacking-group-uses-new-tickler-malware-to-backdoor-us-govt-defense-orgs/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研