【安全头条】Hive勒索软件使用新的IPFusion技巧隐藏有效负载

admin 2022年4月2日09:00:37评论64 views字数 2447阅读8分9秒阅读模式

【安全头条】Hive勒索软件使用新的IPFusion技巧隐藏有效负载

第251期

你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!


1、Hive勒索软件

使用新的“IPFusion”技巧

隐藏有效负载

威胁分析人员发现了Hive勒索软件团伙使用的一种新的混淆技术,该技术涉及IPv4地址和一系列转换,最终导致下载钴打击信标。代码混淆具有帮助威胁参与者向人工审查者或安全软件隐藏其代码的恶意性质,以便他们能够逃避检测。实现混淆的方法有很多种,每种方法都有自己的优缺点,但在涉及蜂巢勒索软件的事件响应中发现的一种新方法表明,对手正在寻找新的、更隐蔽的方法来实现他们的目标。

分析人员在分析64位Windows可执行文件时发现了这项新技术,每个可执行文件都包含一个有效负载,可以传递信息。有效负载本身以ASCII IPv4地址数组的形式被混淆,因此它看起来像是一个无害的IP地址列表。在恶意软件分析中,该列表甚至可能被误认为是硬编码的C2通信信息。

当文件被传递给将字符串转换为二进制的转换函数(ip2string.h)时,会出现一个外壳代码块。完成此步骤后,恶意软件通过直接系统调用或通过用户界面语言枚举器(winnls.h)上的回调代理执行外壳代码,从而产生标准的Cobalt Strike stager。[点击“阅读原文”查看详情]

【安全头条】Hive勒索软件使用新的“IPFusion”技巧隐藏有效负载


 2、FBI打击BEC网络犯罪团伙

美国联邦调查局及其国际执法合作伙伴开展的一项协调行动导致多个国家的商业电子邮件泄露(BEC)计划遭到破坏。这项行动被称为“鹰扫”,持续了三个月,从2021年9月开始,导致在美国、尼日利亚、南非、柬埔寨和加拿大逮捕了65名嫌疑犯。

BEC参与者是高级骗子,他们欺骗真实公司的员工向他们控制的银行账户付款,假装是商业伙伴或提交合法付款单的公司。通常情况下,这些威胁行为人在破坏了其公司网络后,会监控其目标的通信,以确定金融交易过程中的薄弱点和可利用点。他们通常会在正确的时机通过劫持电子邮件线程或使用伪造的账户请求将实际发票付款转移到新的银行账户。根据联邦调查局的互联网犯罪投诉中心(IC3)2021的犯罪报告,在过去一年中,BEC诈骗案造成的经济损失达到了24亿美元。[点击“阅读原文”查看详情]【安全头条】Hive勒索软件使用新的IPFusion技巧隐藏有效负载


 3、QNAP警告

严重的OpenSSL漏洞

会影响其大多数NAS设备

总部位于台湾的网络连接存储(NAS)制造商QNAP周二警告称,其大多数NAS设备都受到两周前披露的一个严重OpenSSL漏洞的影响。攻击者可以利用CVE-2022-0778跟踪的漏洞触发拒绝服务状态,并远程使未打补丁的设备崩溃。

虽然两周前漏洞被公开时发布了一个补丁,但QNAP解释说,其客户将不得不等到公司发布自己的安全更新。它还敦促客户在发布任何安全补丁后立即安装,以阻止潜在的攻击。QNAP表示:“据报道,OpenSSL中的无限循环漏洞会影响某些QNAP NAS。如果攻击者利用该漏洞进行拒绝服务攻击。“目前没有针对此漏洞的缓解措施。我们建议用户在安全更新可用后立即检查并安装。[点击“阅读原文”查看详情]

【安全头条】Hive勒索软件使用新的IPFusion技巧隐藏有效负载


 4、Globant确认

Lapsus$黑客攻击后

70GB被盗数据泄露

IT和软件咨询公司Globant证实,他们被Lapsus$数据勒索集团破坏,该集团的数据包括管理员凭据和源代码,由威胁参与者泄露。作为泄密的一部分,黑客组织发布了一份从Globant窃取的70GB数据档案,称其为“一些客户的源代码”和私钥。GulnAtter是一家IT和软件开发公司,在全球拥有超过16000名员工,2021美元的收入12亿美元。Globant成立于阿根廷布宜诺斯艾利斯,目前总部位于卢森堡,拥有一系列知名客户,包括大都会警察局、SmileDirectClub、Autodesk、Electronic Arts、桑坦德、Interbank、Royal Caribbean等。

今天,该团伙的第三篇帖子分享了一个torrent文件,其中包含从Globant窃取的约70GB数据。该公司表示,其系统上的入侵者访问了“为数量非常有限的客户提供的特定源代码和项目相关文档”。[点击“阅读原文”查看详情]

【安全头条】Hive勒索软件使用新的IPFusion技巧隐藏有效负载


 5、SEC指控

七名加州居民参与内幕交易

美国证券交易委员会(Securities and Exchange Commission)今天宣布,对三名受雇于位于旧金山的云计算通信公司Twilio,Inc.的软件工程师提起内幕交易指控,以及四名家庭成员和朋友,他们涉嫌在2020年5月6日公司发布2020年第一季度盈利报告之前通过内幕交易获得超过100万美元的集体利润。根据SEC的投诉,朋友Hari Sure、Lokesh Lagudu和Chotu Pulagam是Twilio的软件工程师,可以访问与公司收入报告相关的各种数据库。据称,2020年3月2019冠状病毒疾病数据库通过Twito的客户了解到Twito公司的客户们已经根据CVID-19大流行的健康措施,增加了公司产品和服务的使用,并在一次联合谈话中得出结论,TWILIO的股价将“稳步上升”。

今天,美国加州北区检察官办公室宣布了对迪利普·卡穆朱拉的刑事指控。SEC的调查仍在继续,由旧金山地区办事处的Erin Wilk和Elena Ro在SEC经济和风险分析部门的Jan Jindra以及市场滥用股的分析和检测中心的John Rymas的协助下进行。该案件由旧金山地区办事处的Jennifer J. Lee负责。诉讼将由苏珊·拉马克、威尔克和罗女士牵头。SEC感谢美国加州北区检察官办公室、联邦调查局和金融业监管局(FINRA)的协助。[点击“阅读原文”查看详情]

【安全头条】Hive勒索软件使用新的IPFusion技巧隐藏有效负载
【安全头条】Hive勒索软件使用新的IPFusion技巧隐藏有效负载
上期回顾
【安全头条】通过谷歌上的OpenOffice广告推出的Mars Stealer恶意软件
【安全头条】Hive勒索软件使用新的IPFusion技巧隐藏有效负载
戳“阅读原文”查看更多内容

原文始发于微信公众号(安全客):【安全头条】Hive勒索软件使用新的“IPFusion”技巧隐藏有效负载

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月2日09:00:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【安全头条】Hive勒索软件使用新的IPFusion技巧隐藏有效负载http://cn-sec.com/archives/861398.html

发表评论

匿名网友 填写信息