您所在的位置: 首頁(yè) >
新聞資訊 >
威脅情報(bào) >
惡意軟件瘋狂傳播!波及全球164個(gè)國(guó)家,超25萬(wàn)用戶遭受攻擊
Positive Technologies的專家使用Maxpatrol SIEM事件監(jiān)控和事件管理系統(tǒng)檢測(cè)到網(wǎng)絡(luò)上的異?;顒?dòng),表明惡意軟件的大規(guī)模傳播。這項(xiàng)研究發(fā)現(xiàn),攻擊影響了164個(gè)國(guó)家的25萬(wàn)多名用戶,其中大部分受害者在俄羅斯、烏克蘭、白俄羅斯和烏茲別克斯坦。
為了尋找必要的軟件,用戶經(jīng)常訪問(wèn)torrent資源,而不知道這種數(shù)據(jù)交換的危險(xiǎn)性。然而,通過(guò)下載和安裝此類軟件,用戶允許攻擊者訪問(wèn)其個(gè)人信息和銀行賬戶,如果公司計(jì)算機(jī)被感染,攻擊者將控制該設(shè)備,并利用該設(shè)備在針對(duì)雇主公司的攻擊鏈中組織中間節(jié)點(diǎn)。
2023年8月,Positive Technologies的SOC專家在一家俄羅斯公司發(fā)現(xiàn)了異?;顒?dòng)。事件需要PT CSIRT團(tuán)隊(duì)(PT專家安全中心的一個(gè)部門)進(jìn)行干預(yù)。專家們發(fā)現(xiàn),被調(diào)查的公司的用戶是未知惡意軟件的受害者。
詳細(xì)的全面調(diào)查中,在164個(gè)國(guó)家發(fā)現(xiàn)了受害者。絕大多數(shù)(超過(guò)20萬(wàn))在俄羅斯、烏克蘭、白俄羅、烏茲別克斯坦。還包括來(lái)自印度、菲律賓、巴西、波蘭和德國(guó)的用戶。
根據(jù)CSIRT的數(shù)據(jù),攻擊主要針對(duì)下載非法軟件的非公司用戶,但受害者包括政府機(jī)構(gòu)、教育機(jī)構(gòu)、石油和天然氣公司、醫(yī)療、建筑、零售和IT公司。他們都收到了威脅通知。
Positive Technologies安全專家中心網(wǎng)絡(luò)威脅研究主管Denis Kuvshinov表示:“一旦安裝,這種惡意軟件的行為就會(huì)非常復(fù)雜:它收集有關(guān)受害者計(jì)算機(jī)的信息,安裝 RMS(用于遠(yuǎn)程控制)程序和 XMRig 礦工,并存檔用戶 Telegram 文件夾 (tdata) 的內(nèi)容——這些只是在短時(shí)間內(nèi)觀察中最活躍的行動(dòng)。在我們觀察到的一個(gè)特定案例中,惡意軟件將收集到的信息從用戶的企業(yè)筆記本電腦發(fā)送到Telegram bot,它在該鏈中充當(dāng)控制服務(wù)器。”
專家指出,入侵者訪問(wèn)了Telegram文件夾,進(jìn)入用戶的Telegram會(huì)話并監(jiān)視通信,從帳戶中提取數(shù)據(jù),同時(shí)保持隱身。即使用戶設(shè)置了雙因素身份驗(yàn)證,黑客也可以通過(guò)使用暴力強(qiáng)制(Brute Force)來(lái)成功地繞過(guò)它。建議Telegram用戶在檢測(cè)到黑客跡象后結(jié)束當(dāng)前會(huì)話并再次登錄Messenger。
根據(jù)調(diào)查數(shù)據(jù),此次襲擊中使用的惡意軟件并不難分析,專家們只研究了一次使用它的攻擊,就獲得了全球超過(guò)25萬(wàn)受害者的信息。Positive Technologies認(rèn)為,實(shí)際受害人數(shù)超過(guò)了這一數(shù)字,隨著使用這種武器的攻擊數(shù)量的增加,受害者人數(shù)只會(huì)增加。
文章來(lái)源:E安全