4008708893
在网络安全领域,一种被称为 SHELBY 的复杂新型数据窃取恶意软件变种已经出现,其主要目标是北美和欧洲的金融机构及医疗保健组织。
这种恶意软件采用多阶段感染过程。一切始于包含看似合法发票附件的网络钓鱼电子邮件,当这些附件被打开时,会触发一个恶意宏,从而启动感染链。
一旦安装成功,SHELBY 会在后台悄悄运行,收集包括登录凭据、财务数据和患者记录等敏感信息,然后将这些信息泄露给其操控者。
SHELBY 特别值得注意的地方在于,它滥用了 GitHub 的基础设施来进行命令与控制(C2)操作。该恶意软件会在 GitHub 上创建并访问私有存储库,其操控者将命令以 Base64 编码字符串的形式存储在看似无害的文本文件中。
这种方式使得恶意软件能够将其通信混入发往 GitHub 域名的合法 HTTPS 流量中,这让传统的安全工具更难检测到它,因为传统安全工具通常不会阻止对广泛使用的开发平台的访问。
Elastic 的分析师在 2025 年 3 月初调查多家医疗保健提供商发生的一系列数据泄露事件时发现了 SHELBY 。他们的分析显示,在被发现之前,该恶意软件已在大约三个月的时间里未被察觉,这凸显了它复杂的逃避检测能力。
研究人员指出,这代表了一种日益增长的趋势,即威胁行为者利用受信任的平台和服务来托管恶意基础设施。
SHELBY 造成的影响巨大,至少有 17 个组织证实发生了与该恶意软件相关的数据泄露事件。被泄露的数据包括个人身份识别信息、医疗记录以及金融账户详细信息。
几家受影响的组织已根据监管要求,开始通知客户可能存在的数据泄露情况。
(来源:安全客)
