网络犯法分子瞄准AWS情形，，，，，，使用设置过失推送垂纶活动

首页 > 清静研究 > 清静转达 > 清静简讯

网络犯法分子瞄准AWS情形，，，，，，使用设置过失推送垂纶活动

宣布时间 2025-03-04

1. 网络犯法分子瞄准AWS情形，，，，，，使用设置过失推送垂纶活动

3月3日，，，，，，据Palo Alto Networks Unit 42的视察，，，，，，网络犯法分子正针对亚马逊网络效劳（AWS）情形，，，，，，向目的推送网络垂纶活动。。一个名为TGR-UNK-0011的活动集群（与JavaGhost组织有重叠）自2019年以来一直活跃，，，，，，历史上专注于网站改动，，，，，，但自2022年起转向发送网络垂纶邮件以谋取经济利益。。这些攻击并未使用AWS误差，，，，，，而是使用受害者情形中AWS会见密钥的设置过失，，，，，，通过滥用SES和WorkMail效劳发送垂纶新闻，，，，，，从而绕过电子邮件�；；；；�。。攻击者一旦获得对AWS账户的会见权限，，，，，，就会天生暂时凭证和登录URL，，，，，，隐藏身份并审查账户资源。。他们还使用SES和WorkMail建设垂纶基础设施，，，，，，建设新用户并设置SMTP凭证发送邮件。。JavaGhost建设了多种IAM用户，，，，，，其中未使用的用户似乎作为恒久长期性机制。。别的，，，，，，他们还建设了一个新IAM角色，，，，，，允许从另一个控制的AWS账户会见目的账户。。Unit 42指出，，，，，，该组织在攻击历程中留下相同标记，，，，，，通过建设名为Java_Ghost的EC2清静组，，，，，，组形貌为“我们保存但不可见”，，，，，，这些清静组不包括任何清静规则。。

https://thehackernews.com/2025/03/hackers-exploit-aws-misconfigurations.html

2. 帕劳卫生部遭麒麟勒索软件攻击后迅速恢复

3月4日，，，，，，太平洋岛国帕劳的卫生部近期遭受了一次由着名犯法团伙Qilin提倡的勒索软件攻击。。此次攻击导致帕劳卫生与公众效劳部（MHHS）的IT系统被入侵，，，，，，部分文件被窃取。。帕劳国家医院作为该国要害医疗机构，，，，，，其运营因此受到威胁。。然而，，，，，，在帕劳、澳大利亚网络清静专家和财务部官员的协助下，，，，，，政府迅速查明事务真相，，，，，，并在48小时内恢复了医院的正常运营。。同时，，，，，，美国网络司令部“前沿防御”小组也在现场举行取证网络和剖析。。麒麟黑客威胁要宣布窃取的数据，，，，，，但帕劳官员并未试图协商赎金。。只管部分被盗信息已被宣布，，，，，，包括患者账单摘要等小我私家信息，，，，，，但MHHS以为这些信息泄露不会对帕劳小我私家的清静造成重大影响，，，，，，但仍建议民众坚持小心，，，，，，提防潜在的诓骗和网络垂纶邮件。。别的，，，，，，麒麟勒索软件团伙近期还针对其他医疗机构、地方政府和大型公司睁开了攻击，，，，，，引起了普遍关注。。

https://therecord.media/palau-health-ministry-ransomware-recover

3. 假手艺支持使用电话和Microsoft Teams诱骗用户装置勒索软件

3月3日，，，，，，网络清静研究职员发出忠言，，，，，，一种新的圈套正在肆虐，，，，，，网络犯法分子假扮成手艺支持职员，，，，，，通过发送大宗电子邮件并使用 Microsoft Teams 或电话诱骗受害者登录，，，，，，进而获取远程会见权限。。他们使用正当的Windows程序Quick Assist来提供远程手艺支持，，，，，，但实则在装置名为BackConnect的后门恶意软件，，，，，，使攻击者能够完全控制受熏染的系统。。这一圈套与污名昭著的Black Basta勒索软件组织细密相关，，，，，，该组织曾在2024年因类似手法被标记，，，，，，并据报道在2023年从受害者那里赚取了凌驾1亿美元。。别的，，，，，，一些Black Basta成员已经转向Cactus勒索软件团伙，，，，，，最近的Cactus攻击中使用的要领与Black Basta惊人地相似。。这些攻击主要针对北美的制造业、金融、投资咨询和房地产行业，，，，，，自2024年10月以来尤为活跃。。攻击者使用社交工程和滥用正版软件和云效劳相连系的方法，，，，，，使恶意行为看起来像正常的盘算机活动。。网络清静不但在于拥有准确的软件，，，，，，更在于意识到犯法分子怎样试图诱骗人们。。因此，，，，，，Microsoft Teams用户应坚持小心，，，，，，阻止受到此类圈套的损害。。

https://hackread.com/fake-it-support-calls-microsoft-teams-users-install-ransomware/

4. 俄罗斯电信巨头Beeline再遭DDoS攻击

3月3日，，，，，，俄罗斯电信公司Beeline遭受了定向漫衍式拒绝效劳（DDoS）攻击，，，，，，导致部分用户互联网中止，，，，，，这是近几周内针对该公司的第二次重大攻击。。此次攻击影响了Beeline的移动应用程序、网站和互联网效劳，，，，，，用户在会见时遇到难题，，，，，，莫斯科和周边地区的用户纷纷投诉毗连问题。。Beeline已接纳步伐稳固效劳，，，，，，但未提供更多细节。。今年2月，，，，，，Beeline也曾遭受类似攻击，，，，，，导致大面积效劳中止。。此次攻击与1月俄罗斯电信巨头MegaFon遭受的攻击相似，，，，，，均由大规模DDoS攻击造成，，，，，，被以为是针对电信行业的严重黑客活动主义网络攻击之一。。Beeline之前归荷兰公司Veon所有，，，，，，Veon在入侵乌克兰后最先剥离其俄罗斯营业。。此次攻击是俄罗斯电信行业一系列网络事务之一，，，，，，包括Rostelecom疑似遭受网络攻击、乌克兰网络同盟声称对俄罗斯互联网提供商Nodex的攻击认真，，，，，，以及Rapporto报告其基础设施遭受网络攻击等。。

https://therecord.media/russian-telecom-beeline-outages-cyber

5. 新的ClickFix攻击通过Microsoft Sharepoint安排Havoc框架

3月3日，，，，，，新发明的ClickFix网络垂纶活动诱骗受害者执行恶意PowerShell下令，，，，，，以安排Havoc后使用框架来远程会见受熏染装备。。ClickFix 是去年泛起的一种社会工程战略，，，，，，威胁行为者通过建设显示虚伪过失的网站或附件，，，，，，提醒用户单击按钮修复过失。。单击后，，，，，，恶意PowerShell下令会被复制到剪贴板，，，，，，然后提醒用户粘贴到下令提醒符中，，，，，，现实上执行的是远程站点上的恶意剧本，，，，，，下载并装置恶意软件。。在最近的一次ClickFix活动中，，，，，，威胁行为者使用Microsoft云效劳，，，，，，发送垂纶邮件声称有“限制通知”，，，，，，诱使用户翻开HTML文档后显示假的过失提醒，，，，，，指导用户执行PowerShell下令。。该下令启动托管在威胁行为者SharePoint效劳器上的剧本，，，，，，检查装备是否在沙盒情形中，，，，，，然后修改注册表、装置Python诠释器，，，，，，并下载并执行Python剧本以安排Havoc框架。。Havoc框架允许攻击者远程控制装备，，，，，，通过Microsoft Graph API与威胁行为者的效劳通讯，，，，，，混入通例网络通讯以逃避检测。。ClickFix攻击越来越受接待，，，，，，被用于安排种种恶意软件，，，，，，威胁行为者还一直刷新手艺，，，，，，使用社交媒体平台诱骗用户。。

https://www.bleepingcomputer.com/news/security/new-clickfix-attack-deploys-havoc-c2-via-microsoft-sharepoint/

6. 波兰航天局遭网络攻击，，，，，，太空机组成黑客新目的

3月3日，，，，，，波兰航天局（POLSA）周日宣布其遭受了网络攻击，，，，，，并已断开与互联网的毗连举行视察，，，，，，同时其网站阻止周一仍无法会见。。国家网络清静效劳部分已检测到对POLSA IT基础设施的未经授权会见，，，，，，并正在�；；；；な苡跋斓南低�，，，，，，同时起劲识别攻击者。。现在尚不清晰此次攻击是由勒索软件组织照旧政治念头的黑客提倡，，，，，，也未透露黑客入侵系统的详细细节。。POLSA是波兰认真太空活动的政府机构，，，，，，也是欧洲航天局成员，，，，，，其可能成为黑客的诱人目的，，，，，，由于与军事和情报机构的相助可能袒露敏感的国防相关信息、卫星运营或神秘研究，，，，，，危及国家清静。。波兰已成为亲俄黑客的主要目的，，，，，，今年网络攻击数目翻倍，，，，，，为此波兰已投资7.6亿美元增强网络清静。。

https://therecord.media/poland-space-cyberattack-agency-investigate

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

凯旋国际游戏

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系凯旋国际游戏

清静研究