全球70余组织遭Voldemort间谍软件攻击
发布时间 2024-09-021. 全球70余组织遭Voldemort间谍软件攻击
9月1日,Proofpoint 研究人员揭露了一起复杂的间谍活动,该活动通过名为“Voldemort”的定制恶意软件,影响全球70多个组织。此恶意软件通过超过20,000封钓鱼邮件传播,特别是8月17日激增近6,000封,邮件伪装多国税务机关诱骗用户。攻击链利用Google AMP Cache URL、Cloudflare隧道、WebDAV共享及Python脚本等技术,巧妙引导用户下载并执行恶意LNK或ZIP文件。Voldemort的一大特点是利用Google表格进行命令与控制(C2),规避传统安全检测,显示了高度的隐蔽性和创新性。其目标主要锁定在保险公司、航空航天、交通运输及大学等18个垂直行业,且精准定位受害者至其居住国,显示出深层次的间谍动机。此外,该恶意软件还采用罕见的Windows .search-ms文件格式,伪装远程文件为本地文件,结合DLL劫持技术,进一步增加感染成功率。然而,攻击活动中也暴露出一些简陋之处,如使用简单的文件命名约定,使得该活动呈现出“弗兰肯斯坦式混合体”的特点,难以判断威胁行为者的真实技术水平。
https://securityonline.info/cyber-espionage-campaign-leverages-novel-tactics-and-voldemort-malware-to-target-global-organizations/https://securityonline.info/cyber-espionage-campaign-leverages-novel-tactics-and-voldemort-malware-to-target-global-organizations/
2. APT组织Citrine Sleet利用Chrome 0day部署FudModule rootkit
8月31日,与朝鲜有关联的APT组织Citrine Sleet(亦称AppleJeus、Labyrinth Chollima等)利用新修补的Google Chrome零日漏洞CVE-2024-7971,成功部署了FudModule rootkit。该漏洞(CVSS评分8.8)影响特定版本的Chromium,允许攻击者在沙盒化的渲染器进程中执行远程代码。Citrine Sleet通过精心设计的钓鱼策略,诱使受害者访问其控制的恶意域名,进而触发CVE-2024-7971漏洞,下载并执行包含Windows沙盒逃逸漏洞(CVE-2024-38106)和FudModule rootkit的shellcode。FudModule rootkit采用直接内核对象操作(DKOM)技术,从用户模式运行并篡改内核,干扰安全机制,尽管在目标设备上未检测到后续恶意活动。值得注意的是,CVE-2024-38106虽已修复,但可能与Citrine Sleet的利用活动无直接关联,暗示可能存在“漏洞碰撞”现象。Microsoft强调,组织应确保系统及时更新,部署具备全面网络攻击链可见性的安全解决方案,并加强操作环境配置,以有效检测和阻止此类高级威胁。
https://securityaffairs.com/167848/breaking-news/north-korea-linked-apt-exploited-chrome-zero-day-cve-2024-7971.html
3. GitHub 遭滥用:数千条虚假修复评论分发Lumma Stealer恶意软件
8月31日,GitHub 平台近期遭遇了滥用,不法分子通过在项目评论中发布虚假修复程序的方式,广泛分发 Lumma Stealer 信息窃取恶意软件。这一活动最初由teloxide rust库的贡献者在Reddit上揭露,随后BleepingComputer深入调查发现,数千条类似评论已遍布GitHub多个项目,诱导用户下载并执行包含恶意软件的文件。这些评论伪装成问题解决方案,诱骗用户从mediafire.com或bit.ly链接下载名为“fix.zip”的加密存档,并提示使用统一密码“changeme”解锁。三天内,此类推广恶意软件的评论数量激增至超过29,000条。下载的存档中包含DLL文件和可执行文件x86_64-w64-ranlib.exe,经分析确认为Lumma Stealer,一种能够深入用户浏览器窃取敏感信息的高级信息窃取工具。此外,它还针对加密货币钱包和特定命名的文本文件进行搜索,收集可能包含私钥和密码的数据。尽管GitHub迅速响应并删除了这些恶意评论,但已有用户受害。受影响用户需立即为所有账户更换唯一密码,并将加密货币转移至新钱包。
https://www.bleepingcomputer.com/news/security/github-comments-abused-to-push-password-stealing-malware-masked-as-fixes/
4. 复杂网络钓鱼攻击揭露:AsyncRAT与Infostealer联手威胁用户安全
8月31日,eSentire 威胁响应部门(TRU)的研究人员揭露了一项复杂的网络钓鱼攻击,该攻击利用精心设计的感染链分发 AsyncRAT 远程访问木马(RAT)及其信息窃取插件 Infostealer。攻击始于一封看似无害的钓鱼邮件,内含伪装成正常文件的恶意存档。执行后,这一存档触发了一系列复杂操作,包括下载并执行混淆的 VBScript 和 PowerShell 脚本,最终部署 AsyncRAT 及其插件。攻击过程中,恶意软件通过下载看似无害的图像文件(实为 ZIP 存档)并解压出更多恶意脚本和可执行文件,在受害者系统中扎根。它利用计划任务维持持久性,每两分钟执行一次恶意代码,并通过进程空心化技术将 AsyncRAT 注入合法进程中以逃避检测。AsyncRAT 不仅为攻击者提供对受感染系统的远程控制权,还搭载了 Infostealer 插件,该插件专门瞄准网络浏览器中的加密钱包扩展和2FA验证工具,旨在窃取包括密码、凭据和加密货币钱包在内的宝贵数据。eSentire TRU 呼吁用户保持高度警惕。
https://securityonline.info/evasive-phishing-campaign-delivers-asyncrat-and-infostealer/
5. People Data Labs1.7亿条敏感信息无密码暴露
8月30日,Cybernews研究团队近期发现了一项重大数据泄露事件,涉及超过1.7亿条敏感个人信息在互联网上公开暴露,数据内容详尽,包括全名、联系方式、地址、教育背景及工作经历等。此次泄露的数据集标有“PDL”标识,指向旧金山的数据经纪公司People Data Labs(PDL),该公司自称拥有15亿个人档案数据库,服务于企业营销、销售及招聘等领域。尽管数据泄露源头尚未明确,但Elasticsearch服务器未设密码的严重安全漏洞成为焦点,这种配置极易被黑客利用,迅速窃取数据,对个人隐私构成重大威胁,增加身份盗窃、欺诈及网络钓鱼风险。值得注意的是,PDL此前已发生过类似的数据泄露事故,同样因未保护的Elasticsearch服务器导致,涉及数据规模更为庞大。此次泄露的“Version 26.2”数据集可能与此前事件有关联,再次暴露了PDL在数据安全方面的重大缺陷。
https://cybernews.com/security/people-data-labs-data-leak/
6. Roblox开发人员频遭攻击,伪造npm包传播恶意软件
9月2日,Roblox 开发人员成为一系列恶意攻击的目标,这些攻击通过伪造 npm 包,尤其是模仿流行的 noblox.js 库,企图窃取敏感数据和破坏系统。自今年初以来,多个名为 noblox.js 变种的软件包被确认为恶意,包括 noblox.js-proxy-server 和 noblox-ts,它们通过品牌劫持、组合抢注和星号劫持等技术伪装成合法库,诱导开发者下载。这些恶意包如 noblox.js-async、noblox.js-thread 等,尽管下载量有限,却成功欺骗了用户。此外,攻击者还采用 starjacking 手法,将虚假软件包的源存储库标记为实际 noblox.js 库,增强信任度。这些恶意软件包内嵌的代码不仅窃取 Discord 令牌,还通过修改 Windows 注册表和更新防病毒排除列表来逃避检测和维持持久性。每当用户尝试打开 Windows 设置应用时,恶意软件便会被激活。最终目标是部署 Quasar RAT,使攻击者能远程控制受感染系统,并将收集到的信息通过 Discord webhook 发送至 C2 服务器。尽管已有措施清除这些恶意软件,但新软件包仍不断出现,提醒开发人员需保持高度警惕。
https://thehackernews.com/2024/09/malicious-npm-packages-mimicking.html
京公网安备11010802024551号