美国当局追回2300 万美元，或与 LastPass 数据泄露有关

近日，网络安全公司S-RM在一次事件响应中发现，Akira勒索软件团伙采用了一种不寻常的攻击方法，利用一台不安全的网络摄像头对受害者网络进行加密攻击，成功绕过了端点检测和响应（EDR）系统。

Akira最初通过远程访问解决方案获取了目标公司的网络访问权限，之后部署AnyDesk远程工具窃取数据，再利用远程桌面协议(RDP)横向移动，尽可能多地感染系统。虽然尝试部署的加密程序随后被EDR拦截隔离，但他们发现了一个未修补的网络摄像头漏洞可被利用。该网络摄像头运行Linux系统，且未部署EDR代理。

Akira利用摄像头远程执行shell命令，挂载Windows SMB网络共享，并在摄像头上启动Linux加密程序，通过SMB协议加密网络共享中的文件，从而绕过了EDR的防护。由于摄像头未受监控，受害者无法发现来自摄像头的大量恶意SMB流量，Akira最终成功加密了受害者网络中的文件。

网络安全公司Cyble近日发现并分析了新型恶意软件Phantom Goblin活动，该活动利用信息窃取技术和社会工程学手段欺骗受害者，窃取敏感数据。

该恶意软件诱骗用户执行伪装的LNK文件，从而触发一系列旨在提取和窃取敏感数据的有效载荷。最初感染往往始于一个包含恶意LNK文件的欺骗性RAR压缩包。该文件被巧妙命名为合法文档如PDF，诱使用户点击。执行后，LNK文件运行PowerShell脚本，从GitHub下载其他有效载荷，并通过注册表实现持久化。一旦安装，该恶意软件将注意力转向Web浏览器，试图提取Cookie和登录凭据。它使用了一种绕过Chrome应用绑定加密(ABE)的技术，能在不触发用户警报的情况下收集浏览器数据。

Phantom Goblin通过部署名为"vscode.exe"的恶意二进制文件，在受损机器上创建VSCode隧道，使攻击者能够远程控制系统并绕过传统安全机制。该恶意软件还利用Telegram机器人API将窃取的信息发送到远程Telegram频道，确保数据被安全、隐蔽地窃取。为确保持久存在和规避检测，攻击者将有载荷伪装成合法软件。

安全公司SEC Consult的研究人员近日发现，CrowdStrike Falcon传感器存在一个重大漏洞。这个被称为"睡美人"的漏洞允许攻击者绕过检测机制并执行恶意应用程序。

攻击者在获得Windows机器上的NT AUTHORITYSYSTEM权限后，可以使用Process Explorer暂停CrowdStrike Falcon传感器进程，虽然系统禁止终止这些进程。这导致了一个重大的安全漏洞。当Falcon传感器进程被暂停时，通常会被终止或删除的恶意应用程序仍可自由执行并保留在磁盘上。SEC Consult在概念验证中演示了诸如winPEAS、Rubeus和Certipy等通常被CrowdStrike阻止的工具，在传感器进程被暂停时仍然不受阻碍地运行。技术分析揭示，传感器暂停时已经被挂钩的进程仍受到CrowdStrike内核进程的监督。这意味着某些高风险操作，如LSASS内存转储，仍会触发保护机制并使得违规应用程序被移除。

近日，荷兰技术爱好者Robert Polet在比利时一个跳蚤市场偶然发现了一批售价仅5欧元的二手硬盘，里面竟然存储着15GB的荷兰医疗记录数据，引发了对数据安全的担忧。

这些硬盘中存储了2011年至2019年期间的大量医疗数据，包括荷兰公民服务号码、出生日期、地址、处方，以及个人相关的医疗信息。据调查，这些数据来自一家已不复存在的IT公司Nortade ICT Solutions，该公司曾为医疗行业开发软件。但究竟是如何导致这些敏感数据最终流落到跳蚤市场，目前仍是个谜。Zivver公司的联合创始人兼CIO Rick Goud认为，这一事件反映了十年前一些处理医疗数据的组织并未高度重视数据保护；不过，近年来随着相关法规和标准的出台，企业对数据安全的风险意识有所提高。

3月10日，外交部发言人毛宁主持例行记者会。

法新社记者提问，据《华尔街日报》报道，美国总统特朗普正在权衡限制DeepSeek的措施，包括禁止政府设备使用DeepSeek。中方对此有何回应？

毛宁表示，我们一贯反对泛化国家安全概念、将经贸和科技问题政治化。我们也将坚定维护中国企业的合法权益。

美国当局近日查获了超过 2300 万美元的加密货币，这些资金与 2024 年 1 月从一个 Ripple 加密钱包中被盗的 1.5 亿美元有关。调查人员认为，2022 年入侵 LastPass 的黑客可能是这起攻击的幕后黑手。

根据美国司法部公开的一份没收诉状，执法人员在 2024 年 6 月至 2025 年 2 月期间追踪到 23,604,815.09 美元的被盗数字资产，这些资产分布在 OKX、Kraken、WhiteBIT、AscendEX 等多个加密货币交易所。美国特勤局的调查人员通过对受害者的采访，认为攻击者只可能是通过破解 2022 年在线密码管理器数据泄露事件中被盗的密码库，提取私钥后实施了这次盗窃。他们没有发现受害者设备被黑客入侵的证据，这进一步表明解密被盗的在线密码管理器数据是攻击者获取密钥的唯一途径。

诉状中提到相关平台在 2022 年 8 月和 11 月遭遇了 "两次重大数据泄露"，这一时间线与 LastPass 三年前披露的安全漏洞一致。当时该公司表示攻击者在入侵其云存储后窃取了源代码、专有技术信息以及客户保管库数据。这起加密货币盗窃案的细节与 2024 年 1 月 31 日披露的 Ripple 联合创始人兼执行主席 Chris Larsen 遭遇 1.5 亿美元加密货币被盗事件相吻合。

据 Symantec 威胁猎捕团队最新分析，Medusa 勒索软件声称在 2025 年前两个月已攻击了超过 40 个目标，其中包括一起针对美国医疗机构的确认攻击。这一数字几乎是 2024 年同期攻击数量的两倍。自 2023 年初活跃以来，Medusa 在其数据泄露网站上已列出近 400 个受害者。

Symantec 认为，实际受害者数量可能更高，因为这些数据并未包括那些支付赎金以阻止信息公开的受害者。Medusa 被认为被Symantec 追踪为 Spearwing 的团伙以勒索软件即服务（RaaS）的方式运营。

研究人员认为，Spearwing 及其附属机构通常通过利用面向公众的应用程序中未修补的漏洞（尤其是 Microsoft Exchange Server）来获得初始访问权限。攻击者使用多种利用本地资源和合法工具来逃避检测、实现横向移动和窃取数据，然后加密系统。一旦勒索软件被执行，加密文件会添加.medusa 扩展名，并在加密机器上放置名为 "!READ_ME_MEDUSA!!!.txt" 的赎金通知。Medusa 勒索软件的赎金要求从 10 万美元到 1500 万美元不等。

近日，Outpost24 的 KrakenLabs 威胁情报团队揭露了新兴恶意软件威胁团伙 EncryptHub 的内部运作和攻击链细节。据悉，该组织已成功入侵超过 600 个组织。

研究发现，EncryptHub 的多阶段攻击链始于安装特洛伊化的应用程序。这些应用程序模仿了包括微信、Google Meet、Microsoft Visual Studio 2022 等在内的多个流行合法应用。攻击链首先执行 PowerShell 脚本下载 payload.ps1 文件，该文件从受害机器提取敏感数据并将其发送到攻击者的服务器。随后，通过一系列复杂的步骤，最终在受害系统上安装并执行 Rhadamanthys 信息窃取器。

EncryptHub 使用第三方按安装付费（PPI）代理 LabInstalls 来传播其恶意软件。这种服务帮助自动化恶意文件的分发，费用根据安装数量从 100 次 10 美元到 10000 次 450 美元不等。此外，EncryptHub 正在开发名为 EncryptRAT 的命令与控制（C2）面板，用于管理活跃的恶意软件感染、发送远程命令、监控受感染设备的日志，以及配置恶意软件样本和数据窃取渠道。

近日，Microsoft 威胁情报团队披露了一起影响全球近 100 万消费者和企业设备的大规模恶意广告活动。该活动主要通过非法流媒体网站上的恶意广告重定向器，将用户引导至中间网站，随后重定向到 GitHub、Discord 和 Dropbox 等平台，以窃取敏感信息。

Microsoft 详细描述了这次攻击的三个阶段：托管在 GitHub 上的第一阶段有效载荷作为下一阶段有效载荷的投放器；第二阶段文件用于进行系统侦察，并将收集到的系统信息（如设备内存大小、图形详情、屏幕分辨率、操作系统和用户路径）通过 Base64 编码嵌入 URL，通过 HTTP 发送到指定 IP 地址；根据第二阶段有效载荷的不同，部署各种第三阶段有效载荷，主要用于执行额外的恶意活动，如命令与控制（C2）下载其他文件和窃取数据。

网络安全公司G DATA的研究人员最近发现了一种精心策划的恶意软件活动,它利用假冒的CAPTCHA提示来传播危险的信息窃取恶意软件LummaStealer。这种感染机制代表了信息窃取者传播方式的重大演变。

该攻击专门针对预订网站的用户,通过展示需要CAPTCHA验证才能查看文件详细信息的虚假预订确认页面。感染始于受害者访问诸如"hxxps://payment-confirmation.82736[.]store/pgg46"之类的恶意URL,随后会被重定向到一个假冒的预订确认页面。该页面会呈现一个假冒的CAPTCHA验证,采用了一种被称为ClickFix的复杂社会工程技术。这种恶意版本会指示用户打开Windows运行命令,并粘贴已自动复制到他们剪贴板中的命令。

在检查页面源代码时,安全研究人员发现了一个被混淆的JavaScript,它从另一个URL上托管的PHP脚本加载命令。该脚本使用ROT13加密来隐藏其真实目的,即将一个Base64编码的PowerShell命令复制到受害者的剪贴板中。一旦通过Windows运行对话框执行PowerShell命令,它就会联系攻击者的服务器并下载额外的恶意软件。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除