恶意Google广告推送带有隐藏后门的假IP扫描软件
发布时间 2024-04-191. 恶意Google广告推送带有隐藏后门的假IP扫描软件
4月18日,新的 Google 恶意广告活动正在利用一组模仿合法 IP 扫描软件的域来提供一个以前未知的名为MadMxShell 的后门。威胁行为者使用误植技术注册了多个相似的域名,并利用 Google Ads 将这些域名推至针对特定搜索关键字的搜索引擎结果的顶部,从而引诱受害者访问这些网站。据称,2023 年 11 月至 2024 年 3 月期间注册的域名多达 45 个,这些网站伪装成端口扫描和 IT 管理软件,如 Advanced IP Scanner、Angry IP Scanner、IP 扫描仪 PRTG 和 ManageEngine。虽然这并不是威胁行为者第一次利用恶意广告技术通过相似的网站提供恶意软件服务,但这一发展标志着交付工具首次被用来传播复杂的 Windows 后门。
https://thehackernews.com/2024/04/malicious-google-ads-pushing-fake-ip.html
2. 攻击者利用OpenMetadata在Kubernetes上进行挖矿
4月17日,Microsoft Threat Intelligence 发现了针对运行流行开源元数据平台 OpenMetadata 的 Kubernetes 集群的新攻击活动。攻击者正在利用一系列最近披露的关键漏洞来访问工作负载并安装加密货币挖掘恶意软件。该攻击利用了 1.3.1 之前的 OpenMetadata 版本中存在的多个安全漏洞(CVE-2024-28255、CVE-2024-28847、CVE-2024-28253、CVE-2024-28848、CVE-2024-28254)。成功利用该漏洞将赋予攻击者远程执行代码的能力,从而使他们能够完全控制受影响的系统。攻击通常从网络犯罪分子扫描运行易受攻击的 OpenMetadata 实例的暴露于互联网的 Kubernetes 工作负载开始。一旦识别出目标,攻击者就会利用这些漏洞来控制托管 OpenMetadata 的容器。
https://securityonline.info/attackers-exploit-critical-openmetadata-flaws-for-cryptomining-on-kubernetes/
3. SoumniBot 恶意软件利用 Android 漏洞来绕过检测
4月17日,一种名为“SoumniBot”的新 Android 银行恶意软件通过利用 Android 清单提取和解析过程中的弱点,使用一种不太常见的混淆方法。该方法使 SoumniBot 能够规避 Android 手机中的标准安全措施并执行信息窃取操作。该恶意软件由卡巴斯基研究人员发现并分析,他们提供了 该恶意软件利用 Android 例程解析和提取 APK 清单的方法的技术细节。清单文件(“AndroidManifest.xml”)位于每个应用程序的根目录中,包含有关组件(服务、广播接收器、内容提供程序)、权限和应用程序数据的详细信息。虽然恶意 APK 可以使用 Zimperium 的各种压缩技巧来愚弄安全工具并逃避分析,但卡巴斯基分析师发现 SoumniBot 使用三种不同的方法来绕过解析器检查,其中涉及操纵清单文件的压缩和大小。
https://www.bleepingcomputer.com/news/security/soumnibot-malware-exploits-android-bugs-to-evade-detection/
4. FIN7 针对美国汽车制造商的 IT 员工发起网络钓鱼攻击
4月17日,出于经济动机的威胁组织 FIN7 针对一家美国大型汽车制造商,向 IT 部门的员工发送鱼叉式网络钓鱼电子邮件,以利用 Anunak 后门感染系统。据黑莓研究人员称,这次攻击发生在去年底,并且依赖于非本地二进制文件、脚本和库 (LoLBas)。威胁行为者将重点放在具有高级权限的目标上,通过冒充合法高级 IP 扫描器工具的恶意 URL 链接来引诱他们。黑莓高度确信此次攻击是由 FIN7 发起的,因为该攻击使用了独特的 PowerShell 脚本,该脚本使用了对手的签名“PowerTrash”混淆的 shellcode 调用程序,该脚本首次出现在 2022 年的一次活动中。在此之前,FIN7 被发现以暴露的Veeam 备份和Microsoft Exchange服务器为目标,并将Black Basta和Clop 勒索软件负载部署到企业网络上。
https://www.bleepingcomputer.com/news/security/fin7-targets-american-automakers-it-staff-in-phishing-attacks/
5. 与俄罗斯有关的Sandworm 攻击军火库中的新后门Kapeka
4月17日,除了微软于 2024 年 2 月 14 日发布的关于发现一个名为 KnuckleTouch 的新后门的简短描述之外,目前公众对 Kapeka 后门的了解几乎为零。微软将 KnuckleTouch 后门归咎于 SeaShell Blizzard,这是其对 Sandworm 的名称。Microsoft 尚未对此恶意软件进行分析,但 WithSecure 确信 KnuckleTouch 就是 Kapeka。微软和 WithSecure 认为该恶意软件自 2022 年以来一直在使用,但除了 WithSecure 分析之外,人们对 Kapeka 知之甚少。WithSecure 迄今为止只发现了两个野外样本。考虑到当前的地缘政治,受害者学也表明其起源于俄罗斯:爱沙尼亚和乌克兰。这种有限的遥测可能是因为该恶意软件尚未广泛使用,也可能是因为 Kapeka 齐心协力保持隐秘。
https://www.securityweek.com/kapeka-a-new-backdoor-in-sandworms-arsenal-of-aggression/
6. Visa针对金融机构的JSOutProx日益增加的威胁发出通告
4月17日,Visa 最近发布了关于特别危险的JSOutProx 恶意软件活动显着增加的严重安全警报。这种远程访问木马 ( RAT ) 以其对金融机构及其客户的复杂攻击能力而闻名,特别是针对南亚和东南亚、中东和非洲地区。JSOutProx 于 2019 年 12 月首次被发现,是一种高度混淆的 JavaScript 后门,使网络犯罪分子能够执行大量恶意活动。其中包括运行 shell 命令、下载额外的有害负载、执行文件、捕获屏幕截图以及完全控制受感染设备的键盘和鼠标。随着时间的推移,JSOutProx 不断发展,增强了其规避技术以避免检测并增强了其破坏能力。JSOutProx 的初始有效负载支持基本但关键的功能,使攻击者能够对受感染的系统进行相当大的控制。
https://securityboulevard.com/2024/04/jsoutprox-malware-variant-targeting-financial-orgs-warns-visa/#google_vignette
京公网安备11010802024551号