![每周安全速递³¹⁰|RansomHub组织利用TDSSKiller安全工具进行攻击]( "每周安全速递³¹⁰|RansomHub组织利用TDSSKiller安全工具进行攻击")
第310期
本周热点事件威胁情报
RansomHub组织利用TDSSKiller安全工具进行攻击
卡巴斯基创建了一种名为TDSSKiller的工具,该工具可以扫描系统中是否存在rootkit和bootkit。研究人员最近发现RansomHub勒索组织滥用TDSSKiller工具,通过命令行脚本或批处理文件与内核级服务进行交互,从而禁用运行在机器上的Malwarebytes反恶意软件服务(MBAMService)。然后,RansomHub组织部署LaZagne凭证收集工具,从各种应用程序数据库中提取登录信息,用于在网络中进行横向移动。
![每周安全速递³¹⁰|RansomHub组织利用TDSSKiller安全工具进行攻击]( "每周安全速递³¹⁰|RansomHub组织利用TDSSKiller安全工具进行攻击")
https://www.threatdown.com/blog/new-ransomhub-attack-uses-tdskiller-and-lazagne-disables-edr/
Akira勒索组织利用SonicWall设备中的漏洞进行攻击活动
近期,SonicWall披露了SonicOS中的一个安全漏洞CVE-2024-40766,该漏洞影响了一些SonicWall防火墙设备,并会影响防火墙的SSLVPN功能。研究人员发现,Akira勒索组织通过入侵SonicWall设备上的SSLVPN用户账号进行勒索软件攻击。在发现的每起案例中,被盗用的账号都是设备本身的本地账号,并且这些账号均未开启多因素认证(MFA)。强烈建议运行受影响SonicWall产品的组织尽快升级到最新支持的SonicOS固件版本。此外,按照SonicWall的建议,应为所有本地管理的SSLVPN账号启用多因素认证(MFA)。
![每周安全速递³¹⁰|RansomHub组织利用TDSSKiller安全工具进行攻击]( "每周安全速递³¹⁰|RansomHub组织利用TDSSKiller安全工具进行攻击")
参考链接:
https://arcticwolf.com/resources/blog/arctic-wolf-observes-akira-ransomware-campaign-targeting-sonicwall-sslvpn-accounts/
Mallox勒索软件背后的攻击组织于2021年上半年开始运作,首个已知的加密样本被发现于2021年5月。该勒索软件是根据特定受害者定制的,目标公司的名称被硬编码在勒索信中并作为加密文件的扩展名。2023年,与Mallox勒索软件相关的攻击活动有所增加,发现的样本总数超过700个。2024年上半年,该恶意软件仍在积极开发中,每月发布多个新版本,同时,其背后的攻击组织也在暗网论坛中招募新的攻击者。
![每周安全速递³¹⁰|RansomHub组织利用TDSSKiller安全工具进行攻击]( "每周安全速递³¹⁰|RansomHub组织利用TDSSKiller安全工具进行攻击")
https://securelist.com/mallox-ransomware/113529/
攻击者使用Fog勒索软件针对金融行业进行攻击
Fog勒索软件是STOP/DJVU勒索软件家族的一个变种,首次发现于2021年,其背后的攻击者主要以教育和娱乐行业进行攻击,现在开始针对金融行业进行攻击。研究人员在2024年8月发现一起针对金融行业客户的勒索软件攻击活动,攻击者在Windows及Linux操作系统上部署了一种名为“Fog”(又名“Lost in the Fog”)的勒索软件变种。被Fog勒索软件加密的文件通常含有“.FOG”或“.FLOCKED”的扩展名,并附有名为“readme.txt”的勒索信。
![每周安全速递³¹⁰|RansomHub组织利用TDSSKiller安全工具进行攻击]( "每周安全速递³¹⁰|RansomHub组织利用TDSSKiller安全工具进行攻击")
https://adlumin.com/post/fog-ransomware-now-targeting-the-financial-sector
研究人员披露CyberVolk勒索软件
CyberVolk勒索软件于2024年7月首次被发现。CyberVolk勒索软件最初使用AES加密算法对受害者的文件进行加密。后来,攻击者发布了该勒索软件的新变种,该变种结合了更强的加密算法,包括ChaCha20-Poly1305、AES加密算法,甚至是抗量子技术。研究人员表示,该攻击组织已通过勒索软件攻击赚取了超过20000美元。
![每周安全速递³¹⁰|RansomHub组织利用TDSSKiller安全工具进行攻击]( "每周安全速递³¹⁰|RansomHub组织利用TDSSKiller安全工具进行攻击")
https://securityonline.info/cybervolk-ransomware-a-new-and-evolving-threat-to-global-cybersecurity
![每周安全速递³¹⁰|RansomHub组织利用TDSSKiller安全工具进行攻击]( "每周安全速递³¹⁰|RansomHub组织利用TDSSKiller安全工具进行攻击")
美创科技第59号安全实验室,专注于数据安全技术领域研究,聚焦于安全防御理念、攻防技术、漏洞挖掘等专业研究,进行知识产权转化并赋能于产品。自2021年起,累计向CNVD、CNNVD等平台提报数千个高质量原创漏洞,并入选国家信息安全漏洞库(CNNVD)技术支撑单位(二级)、信创政务产品安全漏洞库支撑单位,团队申请发明专利二十余项,发表多篇科技论文,著有《数据安全实践指南》、《内网渗透实战攻略》等。
原文始发于微信公众号(第59号):每周安全速递³¹⁰|RansomHub组织利用TDSSKiller安全工具进行攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3163743.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
第310期 
评论