用于窃取ATM银行数据的新型Unix rootkit

第242期

你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。

欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!

1、用于窃取ATM银行数据的新型Unix rootkit

LightBasin(有经济动机的黑客组织)的活动之后,威胁分析人员报告称,他们发现了一个以前未知的Unix rootkit,用于窃取ATM银行数据和进行欺诈交易。最近有人观察发现,其瞄准了具有定制植入物的电信公司。无独有偶,早在2020年,他们就曾被发现损害了托管服务提供商及其客户。

Mandiant一份新的报告中,研究人员提出了关于LightBasin活动的进一步证据,重点关注银行卡欺诈和关键系统危害。[阅读原文]

 

2、CISA,FBI警告美国关键组织SATCOM网络受到威胁

CISAFBI表示,他们意识到美国和全球的卫星通信(SATCOM)网络可能受到威胁

安全咨询还警告美国关键基础设施组织,网络入侵可能会给卫星通信提供商的客户带来风险。

CISAFBI表示:成功入侵卫星通信网络可能会给卫星通信网络提供商的客户环境带来风险。

CISAFBI强烈鼓励关键基础设施组织和其他卫星通信网络供应商或客户组织审查,并实施本CSA中概述的缓解措施,以加强卫星通信网络安全。

这两个机构建议卫星通信网络提供商增加额外的出入口监控,以此来检测异常流量,它们还分享了应由客户和提供商共同实施的缓解措施。[阅读原文]

 

3、Google揭露了Conti勒索软件访问代理的策略

谷歌的威胁分析小组(Threat Analysis Group)曝光了一个名为“EXOTIC LILY”的威胁行为人小组的运营情况,这是一个与ContiDiavol勒索软件运营有关的初始访问代理。

据发现,这个群体利用微软MSHTMLCVE-2021-40444)中的零日漏洞,谷歌研究人员认为它可能成为一个潜在的复杂威胁参与者。

经过进一步调查,确定“EXOTIC LILY”是一家初始访问代理,它利用大规模的网络钓鱼活动来破坏目标公司网络,然后将这些网络的访问权出售给勒索软件团伙。

在巅峰时期,EXOTIC LILY在一天内向650个组织发送了5000多封电子邮件,显示了其网络钓鱼活动的广泛性。[阅读原文]

 

4、ASUS警告Cyclops Blink恶意软件攻击针对路由器

多台ASUS路由器型号易受Cyclops Blink恶意软件威胁,供应商就此发布了一份关于安全风险缓解的建议。

Cyclops Blink是一个与俄罗斯支持的沙虫黑客组织有关的恶意软件,该组织历来以WatchGuard Firebox和其他SOHO网络设备为目标。

Cyclops Blink的作用是帮助设备上的攻击者远程访问受损的网络。

因为Cyclops Blink是模块化的,所以它可以很容易更新,并针对新设备不断刷新其范围,利用新的可利用硬件池。

Trend Micro在一次协调披露中警告称,该恶意软件具有一个专门的模块,该模块针会对多个华硕路由器,允许该恶意软件读取闪存,从而收集有关关键文件、可执行文件、数据和库的信息。

然后,恶意软件会收到一个命令将其持久性滴嵌套在闪存中,即使通过工厂重置,该存储空间也不会被擦除。[阅读原文]

 

5、微软创建了一种扫描MikroTik路由器的工具,用于检测TrickBot感染

微软发布了一款扫描仪,可以检测被TrickBot团伙黑客入侵的MikroTik路由器,同时作为命令和控制服务器的代理。

TrickBot是一种僵尸程序,通过网络钓鱼电子邮件传播,或者由已经感染设备的其他僵尸程序投放。一旦执行,TrickBot将连接到远程命令和控制服务器,从而接收命令并下载更多有效负载。这样一来,它就能够在受感染的机器上运行了。

多年来,TrickBot一直使用路由器等物联网设备作为受感染设备和指挥控制服务器(C2)之间的代理。这些代理用于防止研究人员和执法人员发现它,组织其指挥和控制基础设施。

20222月,TrickBot操作被关闭,开发者现在正与Conti勒索软件团伙合作,开发更隐蔽的恶意软件,如BazaarBackdoorAnchor families

由于TrickBot曾经在销声匿迹后再次被启动过,类似的重启行动在未来也是有可能发生的。因此,必须以适当的手段保护好设备,以免在以后的活动中或被其他恶意软件团体滥用。[阅读原文]

(完)