新 APT Lotus Bane是最近针对越南金融行业的攻击的幕后黑手

首页 > 宁静研究 > 宁静通报 > 宁静简讯

新 APT Lotus Bane是最近针对越南金融行业的攻击的幕后黑手

宣布时间 2024-03-08

1. 新 APT Lotus Bane是最近针对越南金融行业的攻击的幕后黑手

3月6日，越南的一家金融实体是先前未记录的名为Lotus Bane 的威胁行为者的目标，该行为者于 2023 年 3 月首次被发现。Lotus Bane 使用的技术与OceanLotus的技术重叠，OceanLotus 是一个与越南结盟的威胁组织，也称为 APT32、Canvas Cyclone（以前称为 Bismuth）和 Cobalt Kitty。这源于使用 PIPEDANCE 等恶意软件进行命名管道通信。值得注意的是， Elastic Security Labs 于 2023 年 2 月首次记录了PIPEDANCE ，该事件与 2022 年 12 月下旬针对一个未透露姓名的越南组织的网络攻击有关。过去一年，亚太地域 (APAC)、欧洲、拉丁美洲 (LATAM) 和北美的金融组织已成为Blind Eagle和Lazarus Group等多个高级连续威胁组织的目标。另一个著名的出于经济动机的威胁组织是 UNC1945，据视察，该组织以 ATM 交换机服务器为目标，目的是用名为 CAKETAP 的自界说恶意软件熏染它们。

https://thehackernews.com/2024/03/new-apt-group-lotus-bane-behind-recent.html

2. RA World 勒索软件攻击拉丁美洲的医疗保健行业

3月6日，勒索软件组织 RA World（也称为 RA Group）提倡了新一波活动。该组织于 2023 年 4 月提倡恶意行动，在其任期内对众多组织提倡了攻击，主要是美国、德国、印度和台湾的医疗保健和金融领域的组织。研究人员发现，RA World 的最新攻击针对拉丁美洲的多家医疗机构。这些攻击是分阶段执行的，以最大限度地提高乐成行动的总体机会。初始访问阶段从黑客通过域控制器渗透计算机系统开始。在这里，组计谋工具 (GPO) 的编辑起着至关重要的作用，使犯罪者能够在受害者的系统中强加他们的规则。此外，该恶意软件还可以以特殊的宁静模式重新启动系统，以逃避防病毒软件的检测。它还消除了攻击后其存在的痕迹，使研究人员的分析事情变得越发庞大。

https://meterpreter.org/ra-world-ransomware-strikes-latin-american-healthcare/

3. 黑客使用武器化日历邀请安装 MacOS 恶意软件

3月6日，黑客使用武器化的日历邀请来利用电子邮件系统中的漏洞，诱骗用户点击恶意链接或下载伪装成活动附件的恶意软件。通过利用对日历邀请的信任，威胁行为者增加了乐成进行网络钓鱼攻击和未经授权访问敏感信息的可能性。Malwarebytes 的网络宁静研究人员最近发现，黑客正在积极利用武器化日历邀请来安装macOS 恶意软件。威胁行为者通过 Telegram DM 联系目标，通过提供通话或会议的机会来引诱目标。感兴趣的目标会收到虚假的会议邀请。当受害者实验加入时，链接会失败。诈骗者将此归咎于区域访问限制，并建议运行脚原来修复它。

https://gbhackers.com/malware-weaponized-calendar-invites/

4. 黑客滥用 QEMU 硬件模拟器进行隐秘 C2 通信

3月6日，QEMU 是一个开源平台，提供宁静且私有的虚拟化空间，用于在自己的环境中实验恶意代码、漏洞利用和攻击。这个受控的测试场最大限度地降低了被发现和执法问题的风险。??此外，QEMU 允许黑客开发可以在差异硬件架构和操作系统上运行的恶意软件。卡巴斯基实验室的网络宁静研究人员最近发现，黑客正在滥用 QEMU 硬件模拟器来秘密窃取被盗数据。攻击者喜欢使用正版工具以制止检测，同时也减少恶意软件支出。数据泄露、驱动器加密、远程执行和内存转储是可信软件支持的一些网络扫描活动。预安装的恶意软件或模仿员工的 RDP/ VPN访问充当受熏染系统的立足点。网络隧道和端口转发实用法式使用户能够绕过 NAT 和防火墙，从而进入内部系统。有许多工具可用于在系统之间创建网络隧道，其中一些是直接的，另一些则使用署理来掩盖攻击者 IP。

https://gbhackers.com/hackers-qemu-data-exfiltration/

5. 加拿大的反洗钱机构因网络攻击而关闭

3月6日，加拿大金融交易和陈诉分析中心 (FINTRAC) 宣布，作为预防措施，一次“网络事件”迫使其公司系统下线。FINTRAC 是加拿大的一个政府机构，作为该国的金融情报机构运作。它从事洗钱视察，每年追踪数百万笔可疑交易，并向警方披露数千起非法资金流向。该机构在其网站上发表了一份简短的新闻声明，指出该中心的情报或机密系统未被访问，因此与其核心任务相关的敏感信息和操作能力仍然宁静。FINTRAC 与包罗加拿大网络宁静中心在内的联邦合作伙伴合作，恢复运营并加强防御，以防止未来发生事件。该网络事件发生在周末，今后没有分享进一步的更新。BleepingComputer 尚未发现任何勒索软件或数据勒索威胁组织对 FINTRAC 的攻击卖力，因此威胁行为者仍然未知。自今年年初以来，加拿大在网络宁静方面经历了充满挑战的时期，泛起了多起引人注目的受害者和事件。

https://www.bleepingcomputer.com/news/security/canadas-anti-money-laundering-agency-offline-after-cyberattack/

6. 基于网络的 PLC 恶意软件将重新界说工业网络宁静威胁

3月4日，佐治亚理工学院的研究人员提出了一种开发可编程逻辑控制器 (PLC) 恶意软件的新要领，该要领被证明比当前计谋更灵活、更有弹性和更有影响力。该方案允许恶意软件使用管理门户网站果然的合法 Web 应用法式接口 (API) 秘密攻击底层的现实世界机器。此类攻击包罗伪造传感器读数、禁用宁静警报以及利用物理执行器。研究小组的视察表明，他们提出的攻击将对每个主要制造商生产的 PLC 起作用。此外，该要领比现有的 PLC 恶意软件技术（控制逻辑和固件）具有显着优势，例如平台独立性、易于部署和更高级此外持久性。研究人员还表明，工业控制环境中网络技术的泛起带来了 IT 领域或消费物联网设备中不存在的新宁静问题。与普遍看法相反，固件和控制逻辑并不是 PLC 计算的唯一级别。现代 PLC 现在包罗一个可编程嵌入式网络服务器，其中自界说客户端 JavaScript 代码使用日益强大的 API 来监视和控制物理过程。这种环境提供了一个新的、令人惊讶的理想平台来运行 PLC 恶意软件，这对工业控制系统组成了新的威胁。

https://industrialcyber.co/industrial-cyber-attacks/georgia-tech-researchers-warn-of-stuxnet-style-web-based-plc-malware-redefining-industrial-cybersecurity-threats/?web_view=true

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究