黑客组织Polonium使用恶意软件针对以色列发起攻击【信息安全三分钟】2022.10.15

信息安全三分钟

盘点24小时内最新信息安全事件，旨在帮助安全工作者能够快速、高效抵御安全威胁。

研究人员发现至少从2021年9月以来，被追踪为Polonium的黑客组织参与了十多次针对以色列实体针对性的攻击，这些攻击具有七个不同的自定义后门。这些入侵针对的是各个不同领域的组织，例如工程、信息技术、法律、通信、品牌和营销、媒体、保险和社会服务。该组织开展的活动于今年6月初首次曝光，攻击的核心是使用被称为CreepyDrive和CreepyBox的恶意软件，因为它们能够将敏感数据回传到攻击者控制的OneDrive和Dropbox帐户中。还部署了一个名为CreepySnail的PowerShell后门。尽管攻击中使用了大量恶意软件，但用于破坏网络的初始访问攻击目前尚不清楚，怀疑可能涉及利用VPN漏洞。

研究人员发现，自9月28日以来，已有800多名企业用户在新的QBot恶意软件传播活动中受到感染。QBot从受感染的设备中窃取电子邮件档案，并将被盗的电子邮件用于后续邮件，获得的信息被用来引诱受害者打开这些电子邮件。在9月28日至10月7日期间，研究人员观察到全球有近1800名用户感染了QBot，超过一半的受害者是企业用户。美国、意大利、德国和印度是此次QBot新的攻击活动中感染最多的国家。

研究人员发现，恶意行为者正在使用语音网络钓鱼策略来欺骗受害者在其设备上安装Android恶意软件。研究人员发现了一个针对意大利在线银行用户的网络钓鱼网站，这些网站旨在获取他们的联系方式。面向电话的攻击传递(TOAD)，被称为社会工程技术，涉及使用先前从欺诈网站收集的信息来呼叫受害者。受害者被欺骗后，会部署一个名为Copybara的Android恶意软件，这是一种移动端木马，于2021年11月首次检测到，主要用于针对意大利用户的覆盖攻击来执行设备上的欺诈。

RansomExx表示，周二在暗网上发布的一份52GB的文件，其中包含来自提供医疗和社会服务的公共实体Consorci Sanitari Integral(CSI)的数据。CSI表示，它正在与加泰罗尼亚网络安全局和加泰罗尼亚数据保护局合作，以限制违规的范围。受影响医院的工作人员表示，他们无法访问计算机中的患者记录、药物计划和诊断测试。这次攻击还影响了医护人员的电子邮件服务。CSI周二表示，它使用云中的备份副本完全恢复了系统。其中包括网络分段和防火墙在内的防御措施限制了攻击的影响。

Medibank是澳大利亚一家拥有370万客户的私人健康保险公司，今天证实，这是最新一家成为网络入侵受害者的企业。在一份简短的声明中，该公司证实已将ahm和国际学生政策系统下线，并安全的重启系统。该公司表示，今天与澳大利亚网络安全中心、APRA、澳大利亚信息专员办公室、私人健康监察员、卫生部和内政部建立了联系，但该公司并没有解释攻击者如何访问其网络、他们在那里呆了多长时间或其他任何相关的事情。

点击下方公众号即可快速关注