新勒索軟體AXLocker不僅加密檔案還竊取Discord帳戶;DraftKings的客戶遭到撞庫攻擊損失近300000美元

1、新勒索軟體AXLocker不僅加密檔案還竊取Discord帳戶

Cyble在11月18日稱其發現一個新勒索軟體AXLocker,不僅會通過加密目標的檔案勒索贖金,還會竊取目標使用者的Discord帳戶。當使用者使用憑據登入Discord時,平臺會發回保存在計算機上的使用者身份驗證令牌,然後使用此令牌以使用者身份登入或發出API請求以檢索關於關聯帳戶的資訊。作為勒索軟體它沒有什麼特殊的地方,使用AES演算法加密檔案,且不會在加密檔案上附加檔案副檔名。

https://blog.cyble.com/2022/11/18/axlocker-octocrypt-and-alice-leading-a-new-wave-of-ransomware-campaigns/

2、DraftKings的客戶遭到撞庫攻擊損失近300000美元

據11月21日報道,體育博彩公司DraftKings透露其客戶受到撞庫攻擊的影響,造成300000美元損失。所有被劫持的賬戶的共同點似乎是最初的5美元存款,然後攻擊者會篡改密碼,在不同的電話號碼上啟用2FA,然後從目標關聯銀行賬戶中儘可能多地提款。DraftKings認為,這些客戶的登入資訊是在其它網站上洩露的,DraftKings的系統並未遭到入侵。目前已確定損失不到300000美元,該公司打算補償受影響客戶。

https://www.bleepingcomputer.com/news/security/hackers-steal-300-000-in-draftkings-credential-stuffing-attack/

3、Unit221b公開兩年前開發的Zeppelin解密器的細節

據媒體11月18日報道,Unit221b曾在Zeppelin的加密機制中發現漏洞並利用其開發了解密器,於2020年開始幫助被攻擊的組織恢復檔案。Zeppelin使用臨時的RSA-512金鑰來加密AES金鑰,AES金鑰儲存在每個加密檔案的頁腳中,因此破解RSA-512金鑰即可解密檔案。該公司已原計劃於2020年2月公開其技術信節,但為了向攻擊者隱瞞該漏洞而推遲了計劃。由於最近幾個月Zeppelin的被攻擊目標的數量大幅下降,他們決定公開所有細節。

https://www.bleepingcomputer.com/news/security/researchers-secretly-helped-decrypt-zeppelin-ransomware-for-2-years/

4、Checkmarx披露WASP針對Python開發人員的供應鏈攻擊

11月18日報道,Checkmarx發現了一起持續的供應鏈攻擊活動,來自其追蹤為WASP的攻擊團伙,主要針對Python開發人員。攻擊者使用Python包來分發多型惡意軟體W4SP Stealer。惡意程式碼能夠竊取目標Discord帳戶、密碼、加密錢包和信用卡等資料,然後通過硬編碼的Discord webhook地址將被盜資料發送回攻擊者。值得注意的是,攻擊者使用隱寫術來提取隱藏在Imgur上的圖像檔案中的惡意軟體payload。目前已有數百個使用者遭到攻擊。

https://thehackernews.com/2022/11/w4sp-stealer-constantly-targeting.html

5、BlackBerry檢測到ARCrypter針對全球組織的攻擊活動

11月16日,BlackBerry發佈報告稱ARCrypter的攻擊範圍已從拉丁美洲擴大到全球。今年8月,該勒索軟體曾攻擊了智利的一個政府機構 ,並在10月攻擊了哥倫比亞國家食品和藥物監督研究所。目前,攻擊媒介仍然未知,但研究人員找到了兩個AnonFiles URL,它們用作「win.exe」和「win.zip」的下載。Dropper包含兩個檔案BIN和HTML,其中HTML儲存贖金記錄,BIN包含需要密碼的加密資料。研究人員仍無法確定BIN的解密金鑰,但推斷第二個payload是ARCrypter勒索軟體。

https://blogs.blackberry.com/en/2022/11/arcrypter-ransomware-expands-its-operations-from-latin-america-to-the-world

6、Kaspersky發佈2022年第三季度IT威脅態勢的分析報告

11月18日,Kaspersky發佈了2022年第三季度IT威脅態勢的分析報告。報告指出了Q3有針對性的攻擊,包括複雜的UEFI rootkit CosmicStrand;Andariel分發DTrack和Maui勒索軟體;DeathStalker持續攻擊外匯和加密貨幣交易所;Kimsuky的GoldDragon集群和C2操作;對工業企業的針對性攻擊。報告還公開了其它惡意軟體,如Prilex、Luna和Black Basta、線上程式碼儲存庫中的惡意包、針對遊戲玩家的網路威脅、NullMixer和瀏覽器中的潛在威脅。

https://securelist.com/it-threat-evolution-q3-2022/107957/

安全工具

cypherhound

Python3終端應用程序,包含260多個Neo4j cyphers的BloodHound資料集。

https://github.com/fin3ss3g0d/cypherhound

patchy

使用GCP補丁管理的自動持久化和橫向移動。

https://github.com/rek7/patchy

安全分析

基於AI的DoubleZero .NET Wiper檢測解決方案

https://unit42.paloaltonetworks.com/doublezero-net-wiper/

Meta解僱數十名劫持使用者Facebook和Instagram帳戶的員工

https://thehackernews.com/2022/11/meta-reportedly-fires-dozens-of.html

微軟在緊急更新中修復Kerberos身份驗證問題

https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-windows-kerberos-auth-issues-in-emergency-updates/

Google在野發現34個被黑版本的Cobalt Strike工具

https://thehackernews.com/2022/11/google-identifies-34-cracked-versions.html

研究人員發佈Exchange漏洞ProxyNotShell的PoC

https://www.bleepingcomputer.com/news/security/exploit-released-for-actively-abused-proxynotshell-exchange-bug/

QBot釣魚攻擊利用Windows控制面板EXE感染設備

https://www.bleepingcomputer.com/news/security/qbot-phishing-abuses-windows-control-panel-exe-to-infect-devices/

利用Windows安全繞過漏洞分發惡意軟體

https://www.bleepingcomputer.com/news/security/new-attacks-use-windows-security-bypass-zero-day-to-drop-malware/

網路釣魚工具冒充知名品牌針對美國購物者

https://www.bleepingcomputer.com/news/security/phishing-kit-impersonates-well-known-brands-to-target-us-shoppers/