TA453 利用新型 AnvilEcho 恶意软件攻击犹太知名人物
发布时间 2024-08-228月20日,伊朗国家支持的威胁组织TA453针对犹太知名人物发起了一系列精心策划的鱼叉式网络钓鱼活动。此活动旨在传播名为AnvilEcho的新型情报收集工具,该工具通过BlackSmith恶意软件工具包传播,并伪装成合法邀请以建立信任。AnvilEcho作为一款强大的PowerShell木马,具备系统侦察、截屏、下载远程文件及敏感数据上传等功能,明显聚焦于情报收集和泄露。此外,该活动利用社会工程学手段,如冒充研究机构发送虚假邀请和受密码保护的文档链接,诱导受害者点击恶意链接和下载病毒。与此同时,另一项发现揭示了一种新的基于Go语言的恶意软件Cyclops,可能作为Charming Kitten后门BellaCiao的后续产品,进一步表明攻击者正积极更新其武器库。Cyclops旨在通过REST API反向隧道传输至C2服务器,控制目标机器,并已被用于攻击黎巴嫩和阿富汗的特定组织。此恶意软件的选择反映了Go语言在恶意软件开发者中的流行,且其低检测率对安全解决方案构成挑战。
https://thehackernews.com/2024/08/iranian-cyber-group-ta453-targets.html
2. Xeon Sender云攻击工具,利用合法服务大肆进行短信钓鱼
8月19日,恶意行为者正利用名为Xeon Sender的云攻击工具,通过滥用合法云服务进行大规模的短信钓鱼和垃圾邮件活动。这款工具利用多个软件即服务(SaaS)提供商的有效凭证,通过合法API接口发送垃圾信息,而不依赖任何固有弱点。SentinelOne安全研究员指出,Xeon Sender及其变体如XeonV5和SVG Sender,利用包括亚马逊通知服务(SNS)在内的多个短信分发平台,通过Telegram和黑客论坛传播。最新版本的Xeon Sender在名为Orion Toolxhub的Telegram频道上发布,该频道还提供其他黑客工具。Xeon Sender不仅限于短信发送,还具备验证账户凭证、生成电话号码及检查号码有效性等功能。其基于Python的命令行界面允许用户轻松与API通信,协调攻击。该工具虽然源代码混乱,但有效降低了技术门槛,使得低技能攻击者也能利用。由于Xeon Sender使用特定供应商库进行API请求,检测难度增加,企业需采用综合手段,包括API日志分析和行为监控,以识别并防御此类攻击。
https://thehackernews.com/2024/08/xeon-sender-tool-exploits-cloud-apis.html
3. CERT-UA警告:新型网络钓鱼攻击利用Vermin集群传播恶意软件
8月21日,乌克兰计算机应急反应小组(CERT-UA)近日发出警告,指出一种新的网络钓鱼攻击正在活跃,该攻击利用恶意软件企图感染用户设备,其背后威胁集群被标记为UAC-0020,又称Vermin。尽管攻击的具体规模和范围尚不明朗,但已知其通过伪装成库尔斯克地区战俘照片的网络钓鱼邮件发起,诱导用户点击链接下载ZIP文件。这些ZIP文件内含嵌有JavaScript代码的Microsoft CHM文件,该代码进一步触发混淆的PowerShell脚本执行。一旦用户打开这些文件,不仅会安装已知间谍软件SPECTR的组件,还会引入名为FIRMACHAGENT的新恶意软件。FIRMACHAGENT的主要任务是搜集SPECTR窃取的数据,并将其回传至远程服务器。SPECTR作为一款功能强大的恶意软件,自2019年起便与Vermin组织相关联,且据信与卢甘斯克人民共和国(LPR)的安全机构有联系。SPECTR能够广泛收集用户信息,包括但不限于即时通讯应用(Element、Signal、Skype、Telegram等)中的文件、屏幕截图、登录凭证及敏感数据。
https://thehackernews.com/2024/08/cert-ua-warns-of-new-vermin-linked.html
4. CannonDesign遭勒索软件Avos Locker攻击,1.3 万客户数据泄露
8月20日,知名美国建筑设计公司CannonDesign近期向其庞大的13,000余名客户群发送了数据泄露通知,揭示了2023年初遭遇的重大网络安全事件。该事件发生在1月19日至25日之间,黑客非法侵入了公司系统并窃取了数据,尽管公司迅速于1月25日发现并介入,但全面的调查工作直至2024年5月3日才告一段落。据通报,泄露的信息可能包含客户的敏感个人资料,如姓名、地址、社会安全号码及驾驶执照号,对此,CannonDesign决定为受害者提供为期24个月的信用监控服务。此次数据泄露与Avos Locker勒索软件攻击紧密相关,该团伙于2023年2月公开宣称攻击了CannonDesign并掌握5.7 TB 的被盗数据,包括公司和客户文件。在勒索未果后,数据被转交给了Dark Angels 勒索软件组织的数据泄露网站 Dunghill Leaks,该组织发布了涉及客户详情、项目资料及公司内部信息等2TB 数据。2024 年 2 月,同一数据集在暗网中的黑客论坛上发布,包括 ClubHydra,而数据集的一部分在 2024 年 7 月通过 torrent 在 Breached Forums 上分享。
https://www.bleepingcomputer.com/news/security/cannondesign-confirms-avos-locker-ransomware-data-breach/
5. Chrome紧急修补已遭黑客积极利用的零日漏洞CVE-2024-7971
8月21日,Google近期紧急发布了Chrome浏览器的最新版本(128.0.6613.84/85),主要是为了应对一个已被黑客积极利用的零日漏洞CVE-2024-7971。这一高危漏洞存在于V8 JavaScript引擎中,具体表现为类型混淆问题,它允许攻击者在不法访问用户设备时执行恶意代码,严重威胁用户数据安全,可能导致数据泄露、非法访问或恶意软件植入。鉴于该漏洞已在现实中遭到利用,此次更新显得尤为迫切。除了针对CVE-2024-7971的修复外,Chrome 128版本还一并解决了包括CVE-2024-7964和CVE-2024-7965在内的多个高严重性安全漏洞。所有Chrome用户被强烈建议立即手动检查并更新至128.0.6613.84或更高版本。此外,对于依赖Chrome处理敏感数据的组织而言,迅速应用此更新并考虑实施额外的安全防护措施(如应用沙盒隔离、强化网络分段等)变得尤为关键,以进一步降低CVE-2024-7971及其他潜在漏洞带来的安全风险。
https://securityonline.info/urgent-chrome-update-active-zero-day-exploit-detected-cve-2024-7971/
6. 朝鲜黑客UAT-5394部署新型恶意软件MoonPeak
8月21日,一种新型远程访问木马MoonPeak被揭露为国家支持的朝鲜威胁活动集团的新工具。思科Talos将其与编号为UAT-5394的黑客组织联系起来,该组织在战术上与已知的Kimsuky国家行为者存在交集。MoonPeak作为Xeno RAT恶意软件的变种,被设计用于从云服务中检索恶意负载,具备加载插件、控制进程及与C2服务器通信等功能。Talos分析指出,UAT-5394可能是Kimsuky的分支或朝鲜网络机构内另一采用相似战术的团队。此次活动显著特点是构建了新的基础设施,包括C2服务器、负载托管点和测试环境,以支持MoonPeak的持续迭代。研究人员观察到,威胁行为者频繁更新服务器上的恶意文件,并收集感染日志,显示出高度的灵活性和隐蔽性。值得注意的是,MoonPeak的进化与新基础设施的建立紧密相连,每次更新都引入更多混淆技术,以阻碍分析和改变通信机制。这种设计确保了MoonPeak的特定版本仅与匹配的C2服务器协同工作,增加了防御难度。UAT-5394迅速构建新基础设施的能力表明,该组织正积极扩大活动范围,增设投放点和C2服务器。不过,目前尚不清楚此次活动的目标。
https://thehackernews.com/2024/08/north-korean-hackers-deploy-new.html
京公网安备11010802024551号