网络犯法分子瞄准AWS情形，使用设置过失推送垂纶活动

首页 > 清静研究 > 清静转达 > 清静简讯

网络犯法分子瞄准AWS情形，使用设置过失推送垂纶活动

宣布时间 2025-03-04

1. 网络犯法分子瞄准AWS情形，使用设置过失推送垂纶活动

3月3日，据Palo Alto Networks Unit 42的视察，网络犯法分子正针对亚马逊网络服务（AWS）情形，向目的推送网络垂纶活动。一个名为TGR-UNK-0011的活动集群（与JavaGhost组织有重叠）自2019年以来一直活跃，历史上专注于网站改动，但自2022年起转向发送网络垂纶邮件以谋取经济利益。这些攻击并未使用AWS误差，而是使用受害者情形中AWS会见密钥的设置过失，通过滥用SES和WorkMail服务发送垂纶新闻，从而绕过电子邮件�；�。攻击者一旦获得对AWS账户的会见权限，就会天生暂时凭证和登录URL，隐藏身份并审查账户资源。他们还使用SES和WorkMail建设垂纶基础设施，建设新用户并设置SMTP凭证发送邮件。JavaGhost建设了多种IAM用户，其中未使用的用户似乎作为恒久长期性机制。别的，他们还建设了一个新IAM角色，允许从另一个控制的AWS账户会见目的账户。Unit 42指出，该组织在攻击历程中留下相同标记，通过建设名为Java_Ghost的EC2清静组，组形貌为“我们保存但不可见”，这些清静组不包括任何清静规则。

https://thehackernews.com/2025/03/hackers-exploit-aws-misconfigurations.html

2. 帕劳卫生部遭麒麟勒索软件攻击后迅速恢复

3月4日，太平洋岛国帕劳的卫生部近期遭受了一次由着名犯法团伙Qilin提倡的勒索软件攻击。此次攻击导致帕劳卫生与公众服务部（MHHS）的IT系统被入侵，部分文件被窃取。帕劳国家医院作为该国要害医疗机构，其运营因此受到威胁。然而，在帕劳、澳大利亚网络清静专家和财务部官员的协助下，政府迅速查明事务真相，并在48小时内恢复了医院的正常运营。同时，美国网络司令部“前沿防御”小组也在现场举行取证网络和剖析。麒麟黑客威胁要宣布窃取的数据，但帕劳官员并未试图协商赎金。只管部分被盗信息已被宣布，包括患者账单摘要等小我私家信息，但MHHS以为这些信息泄露不会对帕劳小我私家的清静造成重大影响，但仍建议民众坚持小心，提防潜在的诓骗和网络垂纶邮件。别的，麒麟勒索软件团伙近期还针对其他医疗机构、地方政府和大型公司睁开了攻击，引起了普遍关注。

https://therecord.media/palau-health-ministry-ransomware-recover

3. 假手艺支持使用电话和Microsoft Teams诱骗用户装置勒索软件

3月3日，网络清静研究职员发出忠言，一种新的圈套正在肆虐，网络犯法分子假扮成手艺支持职员，通过发送大宗电子邮件并使用 Microsoft Teams 或电话诱骗受害者登录，进而获取远程会见权限。他们使用正当的Windows程序Quick Assist来提供远程手艺支持，但实则在装置名为BackConnect的后门恶意软件，使攻击者能够完全控制受熏染的系统。这一圈套与污名昭著的Black Basta勒索软件组织细密相关，该组织曾在2024年因类似手法被标记，并据报道在2023年从受害者那里赚取了凌驾1亿美元。别的，一些Black Basta成员已经转向Cactus勒索软件团伙，最近的Cactus攻击中使用的要领与Black Basta惊人地相似。这些攻击主要针对北美的制造业、金融、投资咨询和房地产行业，自2024年10月以来尤为活跃。攻击者使用社交工程和滥用正版软件和云服务相团结的方法，使恶意行为看起来像正常的盘算机活动。网络清静不但在于拥有准确的软件，更在于意识到犯法分子怎样试图诱骗人们。因此，Microsoft Teams用户应坚持小心，阻止受到此类圈套的损害。

https://hackread.com/fake-it-support-calls-microsoft-teams-users-install-ransomware/

4. 俄罗斯电信巨头Beeline再遭DDoS攻击

3月3日，俄罗斯电信公司Beeline遭受了定向漫衍式拒绝服务（DDoS）攻击，导致部分用户互联网中止，这是近几周内针对该公司的第二次重大攻击。此次攻击影响了Beeline的移动应用程序、网站和互联网服务，用户在会见时遇到难题，莫斯科和周边地区的用户纷纷投诉毗连问题。Beeline已接纳步伐稳固服务，但未提供更多细节。今年2月，Beeline也曾遭受类似攻击，导致大面积服务中止。此次攻击与1月俄罗斯电信巨头MegaFon遭受的攻击相似，均由大规模DDoS攻击造成，被以为是针对电信行业的严重黑客活动主义网络攻击之一。Beeline之前归荷兰公司Veon所有，Veon在入侵乌克兰后最先剥离其俄罗斯营业。此次攻击是俄罗斯电信行业一系列网络事务之一，包括Rostelecom疑似遭受网络攻击、乌克兰网络同盟声称对俄罗斯互联网提供商Nodex的攻击认真，以及Rapporto报告其基础设施遭受网络攻击等。

https://therecord.media/russian-telecom-beeline-outages-cyber

5. 新的ClickFix攻击通过Microsoft Sharepoint安排Havoc框架

3月3日，新发明的ClickFix网络垂纶活动诱骗受害者执行恶意PowerShell下令，以安排Havoc后使用框架来远程会见受熏染装备。ClickFix 是去年泛起的一种社会工程战略，威胁行为者通过建设显示虚伪过失的网站或附件，提醒用户单击按钮修复过失。单击后，恶意PowerShell下令会被复制到剪贴板，然后提醒用户粘贴到下令提醒符中，现实上执行的是远程站点上的恶意剧本，下载并装置恶意软件。在最近的一次ClickFix活动中，威胁行为者使用Microsoft云服务，发送垂纶邮件声称有“限制通知”，诱使用户翻开HTML文档后显示假的过失提醒，指导用户执行PowerShell下令。该下令启动托管在威胁行为者SharePoint服务器上的剧本，检查装备是否在沙盒情形中，然后修改注册表、装置Python诠释器，并下载并执行Python剧本以安排Havoc框架。Havoc框架允许攻击者远程控制装备，通过Microsoft Graph API与威胁行为者的服务通讯，混入通例网络通讯以逃避检测。ClickFix攻击越来越受接待，被用于安排种种恶意软件，威胁行为者还一直刷新手艺，使用社交媒体平台诱骗用户。

https://www.bleepingcomputer.com/news/security/new-clickfix-attack-deploys-havoc-c2-via-microsoft-sharepoint/

6. 波兰航天局遭网络攻击，太空机组成黑客新目的

3月3日，波兰航天局（POLSA）周日宣布其遭受了网络攻击，并已断开与互联网的毗连举行视察，同时其网站阻止周一仍无法会见。国家网络清静服务部分已检测到对POLSA IT基础设施的未经授权会见，并正在�；な苡跋斓南低�，同时起劲识别攻击者。现在尚不清晰此次攻击是由勒索软件组织照旧政治念头的黑客提倡，也未透露黑客入侵系统的详细细节。POLSA是波兰认真太空活动的政府机构，也是欧洲航天局成员，其可能成为黑客的诱人目的，由于与军事和情报机构的合作可能袒露敏感的国防相关信息、卫星运营或神秘研究，危及国家清静。波兰已成为亲俄黑客的主要目的，今年网络攻击数目翻倍，为此波兰已投资7.6亿美元增强网络清静。

https://therecord.media/poland-space-cyberattack-agency-investigate

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

耀世娱乐

网络清静防护

网络清静检测

应用清静

数据清静

清静管理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系耀世娱乐

清静研究