Lancefly利用后门Merdoor攻击南亚和东南亚的组织

首页 > 安全钻研 > 安全传递 > 安全简讯

Lancefly利用后门Merdoor攻击南亚和东南亚的组织

颁布功夫 2023-05-17

1、Lancefly利用后门Merdoor攻击南亚和东南亚的组织

Symantec在5月15日披露了APT组织Lancefly针对南亚和东南亚确当局、航空和电信组织的攻击活动。自2018年以来，Lancefly一向在针对性的攻击活动中分发荫蔽的自界说后门Merdoor，以在指标网络上成立悠久性、执行号令和纪录键盘。一旦进入指标系统，攻击者就会通过DLL侧载将Merdoor后门注入合法过程perfhost.exe或svchost.exe，旨在绕过检测。此表，攻击活动还使用了更新版本的ZXShell rootkit。

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lancefly-merdoor-zxshell-custom-backdoor

2、Check Point发现Camaro Dragon攻击欧洲表交组织的活动

5月16日，Check Point称其发现了Camaro Dragon通过习染住宅TP-Link路由器，来攻击欧洲表交事务组织的活动。尚未确定攻击者若何使用恶意固件镜像习染TP-Link路由器，但可能是通过缝隙利用或暴力破解治理员痛处。调查发现了两个木马化固件镜像样本，与合法版本进行比力，发现内核和uBoot部门是一样的。但是，恶意固件使用了一个自界说的SquashFS文件系统，该系统蕴含额表的恶意文件组件，作为Horse Shell后门的一部门。

https://research.checkpoint.com/2023/the-dragon-who-sold-his-camaro-analyzing-custom-router-implant/

3、航空公司airBaltic将部门乘客的预约信息发送给其他人

据媒体5月15日报路，拉脱维亚的旗舰航空公司airBaltic因技术谬误，将部门乘客的预约信息发送给其他乘客。5月14日，多名airBaltic乘客称其收到了发给其他人的电子邮件。泄露信息蕴含姓名、诞生日期和邮件地址等。airBaltic泄漏该事务并非由网络攻击引起，5月12日，在airBaltic的邮件分发系统中检测到内部技术问题，因而少数乘客（约占0.009%的预约）收到了谬误的邮件。

https://www.bleepingcomputer.com/news/security/airline-exposes-passenger-info-to-others-due-to-a-technical-error/

4、Cisco披露RA Group针对美国和韩国公司的攻击活动

Cisco Talos于5月15日披露了新勒索团伙RA Group的攻击活动，入侵了三个美国的组织和一个韩国的组织。该活动至少从4月22日起头活跃，涉及多个垂直行业，蕴含造药、保险、财富治理和造作公司。攻击者使用了泄露的勒索软件Babuk的源代码。RA Group的加密法式选取间歇加密，加密数据时，会使用curve25519和eSTREAM cipher hc-128算法。钻研人员泄漏该活动正处于早期阶段。

https://blog.talosintelligence.com/ra-group-ransomware/

5、Academy Mortgage遭到BlackCat团伙的勒索攻击

媒体5月15日报路，Academy Mortgage遭到了勒索团伙BlackCat的攻击。在赞成支付3850万美元以解决联国指控的几个月后，Academy Mortgage又遭到了勒索攻击。5月14日，勒索团伙将Academy Mortgage增长到其网站，称其获得了机密数据并筹备颁布，蕴含客户/合作同伴的数据、幼我信息、财政和机密数据等。攻击者还提到了该公司之前的麻烦，称思考到贵公司在2022年12月面对的指控，数据泄露可能会对公司的名誉和诺言造成覆灭性影响。BlackCat暗示该公司回绝支付任何用度。

https://www.databreaches.net/only-months-after-dealing-with-one-problem-academy-mortgage-gets-hit-with-a-ransomware-attack/

6、Group-IB颁布关于勒索软件Qilin的技术分析汇报

5月15日，Group-IB颁布了关于勒索软件Qilin的RaaS法式的分析汇报。Qilin，别名Agenda，在2022年8月被发现，一止仉对关键行业的公司，使用Rust和Go说话（Golang）开发的勒索软件。3月，Group-IB发现Qilin在RaaS模式下运作，并为其从属组织提供治理面板，分为argets、Blogs、Stuffers、News、Payments和FAQs等部门，以更有效地治理攻击。据悉，这些从属组织可从每笔赎金中赚取80%至85%的收益。

https://www.group-ib.com/blog/qilin-ransomware/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研