越南威胁组织利用恶意软件瞄准数字营销专家
发布时间 2024-10-2210月20日,Cyble 研究与情报实验室 (CRIL) 最近揭露了一次针对数字营销专业人士,特别是 Facebook 和 Instagram 广告专家的复杂攻击活动。自 2022 年 7 月起,一个越南威胁组织一直在传播 Ducktail 和 Quasar RAT 等恶意软件,采用网络钓鱼、沙盒逃避和特权升级技术。攻击始于包含伪装成 PDF 的恶意 LNK 文件的网络钓鱼邮件,这些文件会执行 PowerShell 命令,下载混淆和编码过的脚本,通常托管在 Dropbox 等平台上。通过多重反沙盒和反调试检查,恶意软件确保仅在真实环境中运行。一旦确认目标,脚本将解密有效载荷,部署 Quasar RAT,使攻击者能完全控制受害者系统,窃取数据和凭据。该组织使用 AES 加密、反调试技术和基于 .NET 的高级混淆,逃避传统安全解决方案。此外,该组织不断改进策略,整合恶意软件即服务 (MaaS) 产品,提升业务范围。
https://securityonline.info/ducktail-quasar-rat-vietnamese-threat-actors-target-meta-ads-professionals/
2. Lumma Stealer:通过伪造CAPTCHA与CDN传播的持续信息窃取威胁
10月20日,Lumma Stealer 是一种通过恶意软件即服务(MaaS)提供的信息窃取恶意软件,专门窃取敏感数据如密码、浏览器信息和加密货币钱包详情。攻击者已从传统的网络钓鱼转向利用合法软件传播 Lumma Stealer,并通过伪造的 CAPTCHA 验证欺骗用户执行恶意载荷,使其成为一种持续威胁。Qualys威胁研究部门(TRU)持续监控 Lumma Stealer 活动,并发现攻击者使用多阶段无文件技术传递最终载荷,增加了威胁的欺骗性和持久性。攻击链从用户被重定向到虚假 CAPTCHA 网站开始,通过点击验证按钮触发 PowerShell 命令执行,下载并启动恶意软件下载程序。最终,恶意软件 Lumma Stealer(VectirFree.exe)通过进程挖空技术注入合法程序,逃避检测,并在系统中搜索加密货币和密码相关的敏感文件和数据。Lumma Stealer 还会与命令和控制(C2)服务器通信,以窃取被盗数据,并尝试使用特定顶级域名连接到 C2 服务器域。威胁行为者使用内容分发网络(CDN)进行载荷传送,增加了威胁的复杂性。
https://blog.qualys.com/vulnerabilities-threat-research/2024/10/20/unmasking-lumma-stealer-analyzing-deceptive-tactics-with-fake-captcha
3. Roundcube漏洞遭黑客利用,网络钓鱼攻击窃取用户凭证
10月21日,黑客利用现已修补的Roundcube漏洞CVE-2024-37383(CVSS评分6.1)发起了网络钓鱼攻击,旨在从开源网络邮件软件中窃取用户凭证。Positive Technologies的研究人员发现,这些攻击是通过一封包含隐藏附件和特定JavaScript代码的电子邮件进行的,该邮件试图利用Roundcube Webmail中的漏洞。该漏洞影响1.5.7之前的版本和1.6.7之前的1.6.x版本,攻击者可通过SVG动画属性进行XSS攻击,该漏洞已在2024年5月发布的更新中修复。攻击者通过诱骗用户打开特制邮件,在Web浏览器上下文中执行任意JavaScript代码。在攻击中,JavaScript负载会保存一个空文档并从邮件服务器检索消息,同时在Roundcube界面中创建一个虚假的登录表单,捕获用户凭据并发送到恶意服务器。尽管Roundcube Webmail可能不是使用最广泛的电子邮件客户端,但由于政府机构普遍使用它,因此仍是黑客的重要目标。目前研究人员已发布该漏洞的PoC利用代码,但无法将此次攻击与已知参与者联系起来。
https://securityaffairs.com/170055/hacking/roundcube-flaw-exploited-in-phishing-attack.html
4. Transak数据泄露事件影响超9.2万人
10月22日,加密支付处理商Transak近期遭遇数据泄露事件,一名员工的笔记本电脑被黑客入侵,导致超过92,000名用户的信息被泄露。尽管该公司声称没有财务敏感或关键信息泄露,但用户的姓名、生日、护照、驾照信息及自拍照等个人信息均受影响。此次事件仅影响了Transak约1%的用户群,作为全球领先的加密货币基础设施提供商之一,Transak为近600万用户提供服务,覆盖160个国家和美国46个州。Transak强调,作为一个非托管平台,用户资金安全未受影响,用户始终对自己的资产拥有完全控制权。然而,Stormous勒索软件团伙已承认此次盗窃行为,并声称窃取了300GB的数据,包括政府颁发的身份证、财务报表等,计划出售或泄露数据以索取赎金。Transak已聘请网络安全公司调查此事,并计划通过电子邮件联系受影响用户。同时,公司已通知英国信息专员办公室及欧盟和美国其他监管机构,并敦促客户如有疑问请联系公司。
https://therecord.media/crypto-payment-services-data-breach
5. 塞浦路斯遭亲巴勒斯坦黑客组织协同网络攻击
10月22日,塞浦路斯近期遭受了多个亲巴勒斯坦黑客组织发起的协同网络攻击,目标直指其关键基础设施和政府网站。尽管大多数攻击未能成功,但仍对银行、机场和政府网站等目标设施造成了暂时中断。黑客组织在Telegram和暗网论坛上发布声明,声称将入侵塞浦路斯机构以“惩罚”该国对以色列的支持。尽管塞浦路斯在巴以冲突中保持中立,但历来支持以色列军队,这成为黑客攻击的可能动机。受影响的服务包括政府门户网站、电力电信部门、主要银行、石油公司和机场运营商等,多数报告称遭受了分布式拒绝服务(DDoS)攻击,黑客还声称已窃取敏感数据。然而,机场运营并未受影响,仅在线停车预订服务受阻。塞浦路斯数字部表示,政府中央在线门户网站仅短暂无法访问,其他部委或政府服务网站未受影响。最高网络官员乔治·迈克尔德斯呼吁公司做好准备,迅速抵御未来攻击并恢复服务,同时表示没有必要恐慌。
https://therecord.media/cyprus-critical-infrastructure-cyberattack-israel-palestine
6. WordPress网站频遭黑客攻击,恶意插件推送窃取信息软件
10月21日,WordPress网站近期频繁遭受黑客攻击,攻击者通过安装恶意插件来推送窃取信息的恶意软件。自2023年起,ClearFake恶意活动已在受感染网站上显示虚假的网络浏览器更新横幅,而2024年引入的ClickFix活动则伪装成包含修复程序的软件错误消息,实则下载并安装窃取信息的恶意软件。这些活动变得越来越普遍,威胁行为者会入侵网站并显示包含Google Chrome、Google Meet会议、Facebook甚至验证码页面的虚假错误横幅。据GoDaddy报告,ClearFake/ClickFix威胁行为者已入侵超过6000个WordPress网站并安装恶意插件来显示相关虚假警报。这些恶意插件使用与合法插件相似的名称,如Wordfence Security和LiteSpeed Cache,或通用的虚构名称,一旦安装,就会将恶意JavaScript脚本注入网站的HTML中,进而加载ClearFake或ClickFix脚本来显示虚假横幅。威胁行为者似乎正在利用被盗的管理员凭据登录WordPress网站并以自动方式安装插件。WordPress运营人员应立即检查已安装插件的列表,并删除任何未知插件,同时将所有管理员用户的密码重置为唯一密码,以确保网站安全。
https://www.bleepingcomputer.com/news/security/over-6-000-wordpress-hacked-to-install-plugins-pushing-infostealers/
京公网安备11010802024551号