PipeMagic木马利用伪造ChatGPT应用程序攻击沙特阿拉伯
发布时间 2024-10-171. PipeMagic木马利用伪造ChatGPT应用程序攻击沙特阿拉伯
10月15日,卡巴斯基全球研究与分析团队(GReAT)近期披露了一项新的网络攻击活动,该活动利用一种名为PipeMagic的复杂后门木马进行传播,其地理目标已从亚洲扩展到沙特阿拉伯。此次攻击中,网络犯罪分子采用了一款用Rust开发的伪造ChatGPT应用程序作为初始感染媒介,该程序利用常见的Rust库来规避初步检测,但在执行时仅显示空白屏幕,并隐藏一个包含恶意负载的加密数据数组。在后续阶段,恶意软件会采用名称哈希算法定位关键的Windows API函数,以分配内存、加载PipeMagic后门、配置设置并启动恶意软件。PipeMagic木马具有独特的功能,能够生成一个16字节的随机数组,用于建立命名管道以实现隐蔽通信和命令执行,其命令和控制(C2)服务器被托管在Microsoft Azure上。
https://securityonline.info/pipemagic-trojan-exploits-fake-chatgpt-app-to-target-saudi-arabian-organizations/
2. ErrorFather活动利用未被发现Cerberus银行木马进行复杂攻击
10月15日,网络安全提供商Cyble报告了一项新的复杂恶意活动,该活动正在使用未被发现的Cerberus Android银行木马负载。Cyble发现了15个冒充Chrome和Play Store应用的恶意样本,这些样本采用多阶段投放器部署银行木马负载,并利用了Cerberus银行木马。Cerberus是一种可以窃取银行应用程序登录凭据、信用卡详细信息和其他个人信息的恶意程序,自2019年出现以来已成为最著名的银行木马之一。尽管其源代码在2020年泄露,导致出现了新的变种如Alien和ERMAC,但Cerberus及其分支仍在不断被重新利用。此次ErrorFather活动中,威胁行为者对恶意软件进行了轻微修改,但主要基于原始的Cerberus代码,采用了复杂的感染链,使检测和删除工作变得复杂。最终的有效载荷采用键盘记录、覆盖攻击、VNC和域生成算法(DGA)来执行恶意活动。Cyble建议用户仅从官方应用商店下载软件,使用知名防病毒和互联网安全软件包,使用强密码和多因素身份验证,启用生物识别安全功能,并确保Android设备上启用了Google Play Protect。
https://www.infosecurity-magazine.com/news/cerberus-android-banking-trojan/
3. CISA警告SolarWinds WHD软件严重安全漏洞正被积极利用
10月16日,美国网络安全和基础设施安全局(CISA)宣布,已将影响SolarWinds Web Help Desk (WHD) 软件的严重安全漏洞CVE-2024-28987(CVSS评分9.1)添加到其已知被利用漏洞(KEV)目录中,并指出已有证据表明该漏洞正在被主动利用。此漏洞与硬编码凭证相关,可能使远程未经身份验证的用户获得访问权限并进行数据修改。SolarWinds在2024年8月下旬首次公开了该漏洞详情,随后网络安全公司Horizon3.ai进一步提供了技术细节。安全研究员扎克·汉利指出,该漏洞能让攻击者远程读取和修改帮助台票证中的敏感信息,如重置密码请求和服务帐户凭据。尽管目前尚不清楚该漏洞的具体利用情况和利用者身份,但这一发现紧随CISA两个月前将同一软件中的另一高危漏洞(CVE-2024-28986,CVSS评分9.8)纳入KEV目录之后。鉴于此,联邦民事行政部门(FCEB)机构需在2024年11月5日前应用最新修复程序(版本12.8.3 Hotfix 2或更高),以确保网络安全。
https://thehackernews.com/2024/10/cisa-warns-of-active-exploitation-in.html
4. 黑客利用EDRSilencer红队工具绕过安全防护进行攻击
10月15日,研究人员近日发现了一种名为EDRSilencer的红队操作工具,该工具能够识别安全工具并将其向管理控制台发出的警报静音,从而帮助攻击者逃避检测。EDRSilencer是一个开源工具,受MdSec NightHawk FireBlock启发而开发,可检测运行中的端点检测和响应(EDR)进程,并使用Windows过滤平台(WFP)监控、阻止或修改网络流量。通过自定义规则,攻击者可以破坏EDR工具与其管理服务器之间的数据交换,阻止警报和遥测报告的发送。在最新版本中,EDRSilencer可检测并阻止16种现代EDR工具。趋势科技等网络安全公司对EDRSilencer进行了测试,发现一些受影响的EDR工具可能仍能发送报告,但EDRSilencer允许攻击者扩展目标进程列表以涵盖各种安全工具。这使得恶意软件或其他恶意活动可能仍未被发现,增加了攻击成功的可能性。趋势科技建议将EDRSilencer作为恶意软件进行检测,并实施多层次的安全控制来防范此类攻击。
https://www.bleepingcomputer.com/news/security/edrsilencer-red-team-tool-used-in-attacks-to-bypass-security/
5. OwlTing因AWS S3存储桶配置错误,暴露765,000用户敏感数据
10月15日,区块链技术公司OwlTing因配置错误的亚马逊S3存储桶,意外暴露了765,000名用户的敏感数据,主要影响台湾的酒店客人。泄露的数据包括全名、电话号码、电子邮件地址以及酒店预订详情等个人信息。OwlTing成立于2010年,是一家服务于全球旅游、食品安全、酒店、媒体和其他电子商务领域并提供知名区块链解决方案的台湾公司。OwlTing确认了数据泄露,但声称不涉及敏感数据,然而Cybernews研究人员警告说,这些信息可能导致身份盗窃和欺诈。泄露的数据对网络犯罪分子来说非常有价值,可能被用于鱼叉式网络钓鱼、语音钓鱼、短信钓鱼等攻击。Cybernews建议采取一系列措施来缓解亚马逊S3存储桶暴露的风险,包括限制公开访问、监控访问日志、启用服务器端加密等。
https://cybernews.com/security/taiwan-visitors-exposed-in-massive-data-leak-owlting/
6. 朝鲜黑客组织ScarCruft利用IE零日漏洞发起攻击
10月16日,朝鲜黑客组织ScarCruft(又称APT37或RedEyes)于5月发起大规模攻击,利用Internet Explorer的零日漏洞CVE-2024-39178,通过特制的Toast弹出广告感染目标设备,植入RokRAT恶意软件以窃取数据。该漏洞为类型混淆漏洞,ASEC和NCSC发现后迅速通知微软,微软于8月发布安全更新修复。研究人员指出,此次攻击的漏洞与ScarCruft过去使用的CVE-2022-41128漏洞相似,仅增加三行代码以绕过旧修复。ScarCruft入侵韩国广告公司服务器,在流行免费软件中推送含恶意iframe的Toast广告,当由Internet Explorer渲染时,触发远程代码执行。RokRAT变种每30分钟将特定文件传输至Yandex云实例,同时执行键盘记录、监视剪贴板更改和屏幕截图捕获。攻击通过四步过程注入“explorer.exe”进程以逃避检测,若检测到Avast或Symantec防病毒软件,则将恶意软件注入随机可执行文件中。通过在Windows启动时添加最终有效负载并注册到系统调度程序中,实现持久性感染。
https://www.bleepingcomputer.com/news/security/malicious-ads-exploited-internet-explorer-zero-day-to-drop-malware/
京公网安备11010802024551号