SloppyLemming利用Cloudflare Workers等工具发起间谍攻击

首页 > 安全钻研 > 安全传递 > 安全简讯

SloppyLemming利用Cloudflare Workers等工具发起间谍攻击

颁布功夫 2024-09-27

1. SloppyLemming利用Cloudflare Workers等工具发起间谍攻击

9月25日，高级持续性威胁（APT）组织“SloppyLemming”近期被发现利用Cloudflare的Worker云服务以及Discord、Dropbox、GitHub等工具，在印度次大陆及周边地域对当局和法律机构进行宽泛的间谍活动。该组织被Crowdstrike追踪为“Outrider Tiger”，其行动与从印度及周边国度敏感组织窃取谍报高度有关。受害者蕴含当局机构、IT和电信企业、构筑公司，甚至巴基斯坦的核电设施，且攻击领域还扩大至孟加拉国、斯里兰卡及中国的能源与学术机构，甚至可能触及澳大利亚首都堪培拉。SloppyLemming通过精心设计的鱼叉式网络垂钓邮件启动攻击，利用Cloudflare Workers这一无服务器推算平台执行恶意剧本，拦截并操作流经Cloudflare的Web流量，以窃取登录凭证和泄露电子邮件。此表，SloppyLemming还开发了名为“CloudPhish”的定造工具，专门用于凭证窃取和泄露，通过仿照指标Webmail登录页面来诱骗用户输入信息。同时，该组织还利用Google OAuth令牌网络和RAR文件缝隙利用（CVE-2023-38831）等伎俩，构建复杂的攻击链，进一步加剧了安全威胁。

https://www.darkreading.com/cloud-security/sloppylemming-apt-cloudflare-pakistan-attacks

2. 法国9500万条公民数据遭泄露，涉及多行业信息

9月25日，法国近期产生了一路震惊的数据泄露事务，涉及超过9500万条公民数据纪录被公开置于互联网上，远超法国总人丁数，数据领域涵盖姓名、联系方式、电子邮件及部门支付信息等敏感内容。这次事务由Cybernews与网络安全专家共同告发，源头指向一个盛开的Elasticsearch服务器“vip-v3”，无需认证即可接见，内含至少30GB数据，源于17起分歧的数据泄露变乱。泄露数据不仅数量重大，且种类繁多，涉及电信、电商、社交媒体等多个行业，蕴含驰名公司如Lycamobile、Pandabuy、Darty、Discord及Snapchat等，反映了数据泄露问题的宽泛性和严沉性。尤为值得关注的是，数据库公开状态已持续一段功夫，不排除已有恶意第三方复造数据用于犯法活动。此表，该行为显著违反了欧盟GDPR律例，显示出数据库治理者对司法的忽视及潜在的恶意主张。钻研人员忠告，如此集中且详尽的幼我信息露出，将极大提升身份偷窃、诓骗及网络攻击的风险，对数百万幼我及企业组成威胁。

https://cybernews.com/security/french-records-exposed-by-mysterious-data-hoarder/

3. 美国国会超3000名工作人员信息遭暗网泄露

9月26日，美国国会大厦近期成为大规模网络攻击的受害者，导致超过3,000名国会工作人员的敏感幼我信息在暗网上曝光。据Proton和Constella Intelligence公司的钻研发现，这些泄露数据蕴含密码、IP地址及社交媒体信息，共计约3,191笔纪录，其中近五分之一的国会员工受到波及。出格值妥贴心的是，部门员工因不美德惯，如使用官方邮箱注册蕴含约会和成人网站等高风险网站，导致信息被屡次泄露，最高单例涉及31个密码。Proton指出，这种将工作邮箱与不安全平台绑定的行为组成了严沉安全缝隙。公司承诺将进一步颁布调查了局，并强调在总统选举期间加强防护的沉要性。同时，公司已向所有受影响的国会工作人员发出警示。此表，今年6月，统一调查团队还发现数百名英国及欧盟政客的幼我信息同样在暗网市场上流通，蕴含电子邮箱、密码及诞生日期等敏感数据，凸显了全球政治领域面对的网络安全挑战。

https://securityaffairs.com/168912/deep-web/3000-congressional-staffers-data-leaked-dark-web.html

4. Unit 42揭示RomCom恶意软件新变种SnipBot

9月25日，Unit 42安全团队近期告发了臭名远扬的RomCom恶意软件家族的新变种“SnipBot”，该变种于2024岁首崭露头角，专为企业网络设计，具备远程操控与恶意负载下载能力。SnipBot以其创新的代码混合技术和高级反检测战术为特点，被揣摩为针对IT服务、企业法人及农业等行业提议的宽泛网络攻击的一部门。2024年4月，Unit 42捕获到一个异常DLL�？�，确以为SnipBot工具包组件。通过深刻分析，钻研人员还原了SnipBot的习染蹊径及后续活动。其习染始于假装成合法PDF文件的垂钓邮件，内含恶意可执行文件。一旦入侵成功，SnipBot赋予攻击者全面节造权，允许其执行肆意号令、网络系统信息及窃取数据。同时，SnipBot能下载如SnippingTool.dll、svcnet.exe等额表�？�，加强攻击能力。Unit 42观察到，攻击者出格关注从受害者网络中提取数据，尤其是域节造器信息，利用PuTTY、WinRAR等合法工具及fsutil.exe、dsutil.exe等假装执行恶意操作。只管RomCom家族常与勒索软件活动有关联，但SnipBot的行为模式显示出其正转向谍报网络与间谍活动。

https://securityonline.info/new-romcom-variant-snipbot-unveiled-a-sophisticated-malware-targeting-enterprise-networks/

5. 起亚经销商网站现严沉缝隙：黑客可凭车商标远程节造数百万车辆

9月26日，安全领域近期曝出一路针对起亚汽车的安全缝隙事务，该缝隙涉及起亚汽车经销商门户网站，使得黑客仅凭车商标就能在极短功夫内远程节造数百万辆2013年后出产的起亚汽车。这一发现追忆至今年6月，由安全钻研员萨姆-库里等人告发。与去年曝光的涉及多家汽车品牌的缝隙类似，这次起亚缝隙不仅让黑客能远程操控车辆，还露出了车主的敏感幼我信息，如姓名、联系方式及地址。钻研人员通过注册经销商账户并获取接见令牌，成功渗入后端API，进而实现对车辆及车主数据的全面接见。他们开发了一个演示工具，展示了黑客若何通过车商标在30秒内执行蕴含锁定/解锁、启动/终场车辆、鸣笛及定位在内的远程节造操作。更为严沉的是，黑客还能在车主绝不知情的情况下，将自己增长为车辆的第二用户，实现荫蔽的远程操控。幸运的是，这些缝隙已被实时发现并建复，且未发现有恶意利用的纪录。起亚团队也确认了缝隙未被表部恶意攻击所利用。

https://www.bleepingcomputer.com/news/security/kia-dealer-portal-flaw-could-let-attackers-hack-millions-of-cars/

6. Rhadamanthys在0.7.0版本中增长了创新的AI职能

9月26日，Rhadamanthys是一款自2022年起迅快演进的高级信息窃取法式，其最新0.7.0版本集成了人为智能驱动的光学字符鉴别技术，能从图像中提取加密钱币种子短语，极大提升了其威胁性。只管面对地域性禁令，该恶意软件仍活跃于地下市场，利用MSI装置法式假装等伎俩躲避检测，以盗取凭证、系统信息及财政数据。其AI图像鉴别职能尤为引人瞩目，使攻击者能自动捕获并泄露加密钱币信息。Rhadamanthys的开发者通过TOX和Telegram等平台持续推广，并针对北美、南美等地加密钱币用户执行精准进攻。为应对这一威胁，Insikt Group提出了多种缓解战术，蕴含基于互斥锁的终止开关、高级检测规定及强化端点�；さ�，旨在自动阻止恶意软件执行并提升系统防护能力。瞻望将来，随着Rhadamanthys 0.8.0等新版本的研发，预计其将融合更多机械进建技术，进一步提升窃取效能与荫蔽性。因而，维持检测技术的持续更新与升级，对于有效招架此类高级威胁至关沉要。

https://www.recordedfuture.com/research/rhadamanthys-stealer-adds-innovative-ai-feature-version

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研