别错过:暗网动态版,涉及恶魔集团、MSP定向攻击等更多内容

Dark Reading本周的其他“不容错过”的故事摘要——包括微软发布的一个警报,揭示了不同的网络犯罪活动之间的联系,以及在黑暗网络上发生了一次不寻常的行动后,Luca Stealer变种的爆发。
别错过:暗网动态版,涉及恶魔集团、MSP定向攻击等更多内容

我们是一个专注于网络安全的新闻团队,每周都有很多忙碌的事情,我们不可能把所有值得报道的新闻都带给你。这就是为什么我们开发了我们的每周摘要,汇总了所有我们没能及时报道的事情,以防你错过了(ICYMI)。

本周,我们深入探讨了网络犯罪地下世界,以及这些市场和复杂关系的典型运作方式。

如果你错过了,继续阅读以下来自暗网的故事:

1.树莓罗宾USB蠕虫与邪恶公司关联。

2.初始访问代理现在积极针对MSPs进行定向攻击。

3.卢卡窃取者的数十个变种在作者开源后涌现。

4.树莓罗宾USB蠕虫与邪恶公司关联。

Raspberry Robin的后门蠕虫,它通过感染USB设备来入侵电脑,然后再传播到目标网络上的其他设备。这种蠕虫被用来执行一场与**Evil Corp.**活动组织有关的攻击行动。

根据微软在周四发布的最新警报,已经存在的、休眠的Raspberry Robin感染被一个已知的初始访问代理(被微软追踪为DEV-0206)利用,来部署一种叫做FakeUpdates的恶意软件,这种恶意软件会下载更多的代码。

在这一阶段,Evil Corp.开始接管攻击,根据分析。FakeUpdates会传送Cobalt Strike和其他“预勒索软件”的特征,然后部署一种定制的内部勒索软件载荷,比如WastedLockerPhoenixLocker或者Macaw

“在2021年11月左右,[Evil Corp.]开始在他们的入侵中部署LockBit 2.0……载荷,”根据文章。 “Evil Corp.活动组织使用一种RaaS载荷可能是一种尝试……来避免被追溯到他们的组织,这可能会阻止受害者支付赎金,因为他们被制裁了。”

微软指出,DEV-0206和Evil Corp.已经合作了一段时间,但是之前的初始访问是通过恶意广告实现的。与Raspberry Robin的联系是新的和值得注意的,根据研究人员。

“我们继续看到Raspberry Robin的活动,但是我们没有办法把它和任何特定的人、公司、实体或者国家联系起来,”Red Canary的情报总监Katie Nickels说,他们是在2021年首次发现这种威胁的。 “最终,现在还太早说Evil Corp.是否负责或者与Raspberry Robin有关。”

初始访问代理现在正在积极针对MSPs

初始访问代理(IABs)是地下经济中的一个重要组成部分;它们侵入网络,建立后门,然后将这种访问权限租借给其他不良分子。Huntress的研究人员本周披露了一个新的变化:IABs积极向托管服务提供商(MSP)兜售访问权限,以此方式来进一步接触其下游客户。

Huntress首席执行官Kyle Hanslovan在一个地下论坛上发现了一则提供这种访问权限的广告,宣称租用将包括至少50家MSP客户网络的“内部”权限。

众所周知,MSPs曾是Kaseya事件的目标,导致5,000多家组织遭受了REvil勒索软件攻击。

MSPs仍然是各种类型的攻击者的有吸引力的供应链目标,正如美国联邦机构在五月份所指出的。对于MSPs及其客户的警告指出,多个国家的MSPs(包括澳大利亚、加拿大、新西兰和英国)可能正受到积极的攻击目标。

在作者开源后,数十个Luca Stealer变种崭露头角

研究人员警告称,由于源代码在网络上曝光,信息窃取恶意软件Luca Stealer将在网络犯罪领域变得更加普遍。

Cyble的研究人员本周表示,这款用Rust编写的恶意软件的开发者决定于7月3日在网络犯罪论坛和GitHub上公开发布源代码,希望提升作为恶意软件编程者的新手声誉。在一个可以高价租用自定义恶意软件的世界里,这是一个奇怪的举动。

不到一个月的时间,已经有25多个Luca Stealer样本在网络上传播,由多个威胁行为者开发。鉴于原始作者继续更新GitHub代码并提供了如何修改以进行犯罪和牟利的有用提示,很可能还会有更多变种出现。

Luca Stealer具有一系列令人担忧的能力,包括从基于Chromium的浏览器中提取数据、外泄文件以及从消息应用程序和加密钱包中窃取信息的能力。根据Cyble的说法,在当前观察到的攻击活动中,网络犯罪分子特别针对加密货币爱好者。

推荐阅读:

MSSQL数据库遭受FreeWorld勒索软件的攻击

FBI合作项目遭黑客泄露8万用户信息在暗网论坛出售

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20