Void Balaur黑客雇佣组织 正在出售被盗邮箱和高敏数据

VSole2021-11-14 08:58:02

现如今,个人数据与信息保护的热议度居高不下,在各种数据安全布局持续加强的同时,以窃取数据为目标的黑客活动却依然层出不穷。名为Void Balaur的黑客雇佣组织就是其中之一。

五年多来,Void Balaur一直在窃取电子邮件和高度敏感的信息。趋势科技的安全研究人员在研究后表示,其商业模式是窃取“企业和个人最私密的数据”,并将其出售给具有雄厚财力和间谍目的的客户。

这个活跃的威胁组织正在俄罗斯地下论坛宣传他们的服务:号称拥有3500多个目标,几乎遍布所有大陆。

历史回溯

Void Balaur 的黑客活动可以追溯到 2015 年,但最早的提及者是在 2017 年 9 月,其形式是投诉该组织在其服务上发布垃圾邮件。

Void Balaur的付费广告从 2018 年开始出现在俄语论坛 Darkmoney (carding)、Probiv、Tenec (stolen credentials)和 Dublikat上。这些服务包括访问免费网络邮件(Gmail、Protonmail、Mail.ru、Yandex、VK)、社交媒体(电报)和公司电子邮件帐户。黑客会向客户提供被破坏邮箱的副本。

(根据2021年9月14日的汇率换算成美元)

多样化的服务

2019 年,随着俄罗斯的个人敏感私人数据开始以 21 美元至 124 美元的起价出售,该组织的服务变得多样化。

这些信息包括:

  • 护照和航班信息
  • 交通摄像头快照
  • 交警数据(罚款、汽车登记)
  • 武器登记
  • 犯罪记录
  • 信用记录
  • 银行账户余额和对账单
  • 税务服务记录

不仅如此,新服务还提供来自手机服务的数据,如电话号码、电话和短信记录(有或没有手机塔位置)、地图通话、电话或SIM卡位置、短信打印件。

当前,对于Void Balaur 获取这些信息的途径仍然没有定论。一种解释认为,向电信公司内部人士行贿是一种可能性。另一种解释则基于趋势科技获得的作证,即,Void Balaur 攻击了俄罗斯各电信公司的关键工程师和管理人员。

广泛的目标

根据加拿大非营利组织eQualitie和Amnesty International的报告,研究人员可以将Void Balaur活动与2016年开始的针对乌兹别克斯坦人权活动家和记者的攻击联系起来。

该组织在2020年9月的最新活动针对白俄罗斯的政治人物、总统候选人和反对党成员。

2021年9月,黑客们的关注点集中在“一个情报机构前负责人、五名现任政府部长(包括国防部长)和两名东欧国家议会议员的私人电子邮件地址“。

除此之外,其他国家(亚美尼亚、乌克兰、哈萨克斯坦、俄罗斯、法国、意大利、挪威、斯洛伐克)的政治人物和外交官、媒体组织、数十名记者也是Void Balaur网络钓鱼活动的目标。

同时,在2020年9月至2021年8月期间的另一场活动中,Void Balaur则将目标对准了一家俄罗斯大公司的董事会成员、董事和高管(及其家庭成员)。

另一组目标包括处理大量个人敏感数据的组织。这些数据可用于促进出于经济动机的攻击。

包括:

  • 移动和核心电信公司
  • 蜂窝设备供应商
  • 无线电和卫星通信公司
  • ATM供应商
  • 销售点(POS)系统供应商
  • 金融科技公司和银行
  • 商用航空公司
  • 俄罗斯至少三个地区的医疗保险机构
  • 俄罗斯的体外受精(IVF)诊所
  • 提供基因检测服务的生物技术公司

此外,Void Balaur 还一直在寻求访问各种交换服务(Binance、EXMO、BitPay、YoBit)的加密货币钱包,利用网络钓鱼网站来引诱受害者。

与Fancy Bear活动的重叠

在知情人提供了多封网络钓鱼电子邮件后,Void Balaur出现在了趋势科技的雷达上。

研究人员最初认为这些邮件出自Pawn Storm的手笔。Pawn Storm是一名俄罗斯威胁行为者(threat actor),也被称为Fancy Bear、Sednit、Pawn Storm和Sronium。

尽管他们最终将这些电子邮件归因于Void Balaur,但研究人员发现这两个群体之间存在重叠,虽然雇佣黑客显示出更多不同的客户和目标。

研究人员如今在一份报告中写道:“总的来说,我们观察到了12个电子邮件地址,这些地址分别在2014年至2015年期间被Pawn Storm、2020年至2021年期间被Void Balaur锁定。”

对此,趋势科技还补充道:“除了宗教领袖,我们还看到了外交官、政治家和记者遭到袭击。”

从趋势科技收集的证据可以看出,Void Balaur专注于将私人数据出售给任何愿意支付适当费用的人。这是一个网络雇佣集团,它不在乎客户如何处理他们购买的数据。

黑客趋势科技
本作品采用《CC 协议》,转载必须注明作者和本文链接
Pwn2Own Toronto 2022 黑客大赛首日,多队收获高额奖金!
CISA于2021年9月发布了一份报告,描述了此漏洞和其他 DOPSoft漏洞。Atlassian表示,该漏洞的CVSS严重性评分为9.9分,可以远程利用来发起代码执行攻击。Atlassian表示,被跟踪为CVE-2022-36804的安全漏洞是在Bitbucket Server and Data Ce
近期,趋势科技发布的一份报告显示,传播挖矿软件以敛财的黑客现在将目标转向了云端,云端正成为挖矿黑客之间的“新战场”。 这份名为《浮动战场:云端挖矿的版图一览》的报告指出,新冠疫情期间,企业投资了大量的云计算,然而新服务的部署也容易造成云端执行个体的大量增加,未修补程序或存在组态错误,使得黑客有机可趁。云端的高扩充性非常吸引黑客,尤其是在他们还能黑入多台像IoT装置这样连向云端的机器时。
Pwn2Own Automotive 2024于1月24日至26日在日本东京举行。Pwn2Own Automotive 2024是由趋势科技零日计划组织的为期三天的竞赛在趋势科技公开披露之前,供应商有90天的时间发布安全补丁。
参赛者们还成功演示了对不同厂商的打印机和路由器中的零日漏洞的利用,其中有佳能、Lexmark、惠普、NETGEAR、Synology、TP-Link、Mikrotik等。
4 月 1 日,雷锋网从微步在线了解到,境外黑客组织“白象”在蛰伏了一段时间后,于今年 3 月上旬对国内发起攻击。 2017年12月下旬,国外网络安全公司趋势科技对其攻击活动曝光后,该团伙迅速停用了所有域名、IP等基础设施,进入“蛰伏期”。然而在今年 3 月上旬至 3 月中旬,“白象”团伙再次发起针对我国的网络攻击,使用的诱饵文档均为某特定期间的新闻话题,涉及军事、社会、法律等多个方面。 此次,白
Pwn2Own Miami 2022在4月19日至4月21日的比赛中演示了针对ICS和SCADA产品的26次零日攻击。
解决的漏洞中有7个被评为严重,6个之前被披露为0day漏洞,60个被评为“重要”。
五年多来,Void Balaur一直在窃取电子邮件和高度敏感的信息。
众所周知,如今的电脑病毒和黑客攻击,与十年前、二十年前的情况已经截然不同了。比如说,就在最近几天,安全公司趋势科技公布的一份报告显示,一种名为 "Guerrilla" 的恶意软件已经感染了 50 个不同品牌的超过 890 万台手机。之后,"Guerrilla" 会接受幕后企业发来的广告数据。的确,从行业监测数据来看,截至目前为止,没有任何一线手机品牌被发现有预装恶意软件的行为。
VSole
网络安全专家