StrelaStealer攻击欧盟和美国的 100 多个组织或企业
发布时间 2024-03-253月24日,在Unit 42最近的一份报告中Palo Alto Networks 的研究人员发现了一系列新的网络钓鱼攻击,旨在传播名为 StrelaStealer 的恶意软件。这一威胁已影响到欧盟和美国的 100 多个组织。这些攻击是通过带有启动 StrelaStealer DLL负载的附件的垃圾邮件来执行的。为了逃避检测,攻击者会定期更改初始电子邮件中附件的文件格式。StrelaStealer 于 2022 年 11 月首次检测到,旨在从流行的邮件客户端窃取电子邮件帐户数据,并将这些信息传输到攻击者控制下的服务器。自该恶意软件出现以来,研究人员记录了两次部署该恶意软件的重大活动:一次于 2023 年 11 月,另一次于 2024 年 1 月。这些活动针对的行业包括技术、金融、专业和法律服务、制造、能源、保险、建筑等。
https://meterpreter.org/strelastealer-attacks-hit-100-organizations/
2. Apple M 系列芯片微架构严重漏洞,可导致Mac 设备密钥泄露
3月24日,研究人员发现了 Apple M 系列芯片微架构中的一个严重漏洞,使犯罪分子能够从 Mac 设备(包括计算机和笔记本电脑)中提取密钥。问题的症结在于,该漏洞与芯片设计有本质联系,仅靠软件更新无法完全修复。该漏洞与数据内存预取功能相关,该功能通过预测未来的内存请求来优化信息处理。此功能可能会误解加密密钥,从而为通过专门攻击提取密钥铺平道路。一个国际研究团队设计了一种名为 GoFetch 的攻击,说明了无需设备管理权限即可提取密钥的可行性。这种攻击可以在专有的 M1 和 M2 芯片上执行,影响传统加密算法和抵抗量子计算的算法。密钥提取过程从不到一小时到十小时不等,具体取决于加密密钥的类型和所采用的算法。这表明该漏洞能够规避标准加密防御机制。为了防范此漏洞,加密软件开发人员必须在其软件中实施额外的安全机制,这可能会导致加密操作期间的性能下降。提议的保护措施包括数据屏蔽和将处理转移到没有 DMP 的处理器内核。研究人员还提出了一种长期解决方案,涉及扩展硬件和软件交互,以便在关键操作期间停用 DMP。这可以帮助阻止攻击,而不会显着影响整体性能。
https://meterpreter.org/unfixable-apple-chip-issue-secret-keys-vulnerable/
3. 微软将关闭针对俄罗斯企业的 50 项云服务的访问
3月23日,微软计划在 3 月底之前限制俄罗斯组织对 50 多种云产品的访问,这是欧盟监管机构去年 12 月对该国发布的制裁要求的一部分。暂停最初定于 2024 年 3 月 20 日进行,但后来推迟到本月底,以便受影响的实体有更多时间来制定替代解决方案。有关即将暂停的消息最先由 Softline Group of Companies 报道,该公司是俄罗斯现存最大的 IT 服务提供商之一。微软的信中没有具体说明哪些服务将被取消,但塔斯社已经列出了 50 多种产品的清单 ,这些产品将在 3 月底停止提供。已 明确 ,许可证失效影响俄罗斯从事建筑、设计、施工、制造、媒体、教育和娱乐、建筑信息模型(BIM)、计算机辅助设计(CAD)和计算机辅助制造的公司和组织(凸轮)。但是,没有宣布限制个人访问的计划,因此假设上述产品仍可供普通用户使用。
https://www.bleepingcomputer.com/news/microsoft/microsoft-to-shut-down-50-cloud-services-for-russian-businesses/
4. SIGN1 恶意软件活动已感染 39000 多个 WORDPRESS 网站
3月23日,Sucuri 的 Sucurity 研究人员发现了一个名为 Sign1 的恶意软件活动,该活动在过去六个月内已经危害了 39,000 个 WordPress 网站。专家们发现,威胁行为者入侵了网站,植入恶意 JavaScript 注入,将访问者重定向到恶意网站。Sign1 背后的威胁参与者将恶意 JavaScript 注入合法插件和 HTML 小部件中。注入的代码包括一个硬编码的数字数组,它使用 XOR 编码来获取新值。专家对 XOR 编码的 JavaScript 代码进行了解码,发现它用于执行远程服务器上托管的 JavaScript 文件。研究人员注意到,攻击者采用动态更改的 URL,动态 JavaScript 代码的使用允许每 10 分钟更改一次 URL。该代码在访问者的浏览器中执行,导致网站访问者出现不需要的重定向和广告。Sign1 活动最初由研究员Denis Sinegubko在 2023 年下半年发现,Sucuri 报告称,自 2023 年 7 月 31 日以来,威胁行为者利用了多达 15 个不同的域。
https://securityaffairs.com/160942/hacking/sign1-malware-campaign.html
5. 美国政府发布针对公共部门的新 DDoS 攻击指南
3月22日,美国政府为公共部门实体发布了新的分布式拒绝服务 (DDoS) 攻击指南,以帮助防止关键服务中断。该文件旨在作为综合资源,解决联邦、州和地方政府机构在防御 DDoS 攻击方面面临的具体需求和挑战。该通报指出,DDoS 攻击是指大量受感染的计算机向目标系统发送大量流量或请求,导致用户无法使用该攻击,这种攻击很难追踪和阻止。这种媒介通常被出于政治动机的攻击者使用,包括黑客活动分子和民族国家团体,政府网站经常成为攻击目标。例如,自 2022 年 2 月克里姆林宫入侵该国以来,与俄罗斯和乌克兰有关的黑客经常使用 DDoS 攻击对方政府网站。2023 年 10 月,英国王室官方网站因 DDoS 事件而下线,俄罗斯黑客组织 Killnet 声称对此次攻击负责。
https://www.infosecurity-magazine.com/news/us-ddos-attack-guidance-public/?&web_view=true
6. 俄罗斯黑客利用 WineLoader 恶意软件瞄准德国政党
3月23日,研究人员警告称,与俄罗斯对外情报局(SVR)有联系的黑客组织首次针对德国政党,将其焦点从典型的外交使团目标转移开。网络钓鱼攻击旨在部署名为 WineLoader 的后门恶意软件,该恶意软件允许威胁行为者远程访问受感染的设备和网络。APT29(也称为 Midnight Blizzard、NOBELIUM、Cozy Bear)是一个俄罗斯间谍黑客组织。该黑客组织与许多网络攻击有关,包括 2020 年 12 月臭名昭著的SolarWinds 供应链攻击。这些年来,威胁行为者一直保持活跃,通常使用一系列网络钓鱼策略或供应链妥协来针对政府、大使馆、高级官员和各种实体。APT29 最近的重点是云服务,破坏 Microsoft 系统并窃取 Exchange 帐户的数据,并破坏Hewlett Packard Enterprise使用的 MS Office 365 电子邮件环境。
https://www.bleepingcomputer.com/news/security/russian-hackers-target-german-political-parties-with-wineloader-malware/
京公网安备11010802024551号