CRON#TRAP网络钓鱼活动:利用Linux虚拟机感染Windows
发布时间 2024-11-061. CRON#TRAP网络钓鱼活动:利用Linux虚拟机感染Windows
11月4日,一项名为“CRON#TRAP”的新型网络钓鱼活动利用Linux虚拟机感染Windows系统,通过内置后门秘密访问企业网络。该活动通过伪装成“OneAmerica 调查”的网络钓鱼电子邮件,发送一个包含285MB ZIP档案的大型文件,内含一个Windows快捷方式和QEMU虚拟机应用程序。启动快捷方式后,会执行PowerShell命令,将下载的存档提取到指定文件夹,并在设备上设置和启动自定义QEMU Linux虚拟机。该虚拟机名为“PivotBox”,预装了后门,可确保持久的C2通信,使攻击者在后台进行操作。由于QEMU是合法工具,Windows不会对其发出警报,安全工具也无法检查虚拟机内部的恶意程序。后门的核心是名为Chisel的网络隧道程序,通过HTTP和SSH传输数据,使攻击者即使在网络受防火墙保护时也能与后门通信。为了防止QEMU滥用,建议监视从用户可访问文件夹执行的“qemu.exe”等进程,将QEMU和其他虚拟化套件放入阻止列表中,并从系统BIOS中禁用或阻止关键设备上的虚拟化。
https://www.bleepingcomputer.com/news/security/windows-infected-with-backdoored-linux-vms-in-new-phishing-attacks/
2. 黑客滥用DocuSign API创建虚假发票冒充知名品牌进行欺诈
11月4日,DocuSign 是一个电子签名平台,支持以数字方式签署、发送和管理文档。Envelopes API旨在帮助客户自动发送需要签名的文档、跟踪其状态并在签名后检索它们。威胁行为者正在利用DocuSign的Envelopes API创建并分发看似真实的虚假发票,冒充知名品牌如Norton和PayPal。他们使用合法的付费DocuSign账户,通过该API发送模仿知名软件公司外观和感觉的欺诈性发票,并诱导目标客户对文件进行电子签名以授权付款。这些发票的费用控制在现实范围内,以增加其合法性。据Wallarm安全研究人员称,这种滥用行为已经持续了一段时间,并已向DocuSign报告。客户也在DocuSign的社区论坛上多次举报此类行为,但似乎难以得到有效解决。这些攻击是自动化的,大规模发生,使得平台很难忽视。DocuSign尚未对询问其反滥用措施及是否计划加强这些措施的问题作出评论。黑客过去也曾滥用API进行其他恶意活动,如验证用户电话号码、抓取客户信息以及将电子邮件地址链接到帐户等。
https://www.bleepingcomputer.com/news/security/docusigns-envelopes-api-abused-to-send-realistic-fake-invoices/
3. 新型Android银行恶意软件ToxicPanda感染超1500台设备
11月5日,Cleafy 研究人员发现了一种名为 ToxicPanda 的新型 Android 银行恶意软件,已感染超过 1,500 台设备,主要目标为意大利、葡萄牙、西班牙和拉丁美洲的16家银行。该恶意软件与东南亚的 TgToxic 木马家族有相似之处,但代码差异显著。ToxicPanda 利用设备欺诈技术绕过银行安全措施,进行欺诈性资金转移。尽管处于早期开发阶段,代码不完整,但它已显示出强大的欺诈能力。ToxicPanda 采用手动方式,允许攻击者轻松绕过银行的行为检测防御。它还可以访问手机相册,收集敏感信息,并通过硬编码域名连接其命令和控制服务器。意大利是其主要目标,感染率高达 56.8%,葡萄牙、香港、西班牙和秘鲁等地也有感染。报告指出,当代防病毒解决方案难以检测到此类相对简单的威胁,缺乏主动、实时的检测系统是一个主要问题。
https://securityaffairs.com/170605/malware/toxicpanda-android-malware-targets-italy.html
4. 国际刑警组织“协同二号行动”重拳打击网络犯罪
11月5日,国际刑警组织在2024年4月至8月期间,代号为“协同二号行动”的国际执法行动中,成功逮捕了41名与勒索软件、网络钓鱼和信息窃取等网络犯罪相关的嫌疑人,并摧毁了 22,000 个 IP 地址上运行的1,037台服务器和基础设施。此次行动涉及95个国家,得到了多家私营网络安全公司的情报支持。行动中,约76%的恶意内容被删除,59台服务器被查封,43台电子设备被没收以获取更多证据。此外,当局还在调查另外65名涉嫌参与非法活动的人。行动亮点包括香港和澳门警方关闭了大量恶意服务器,蒙古进行了多次房屋搜查并查获了一台服务器,马达加斯加确定了与恶意服务器有联系的个人并查获了电子设备,爱沙尼亚则查获了超过80GB的服务器数据。国际刑警组织网络犯罪局局长表示,网络犯罪的全球性要求全球应对,此次行动不仅摧毁了恶意基础设施,还防止了数十万潜在受害者沦为网络犯罪的牺牲品。
https://www.bleepingcomputer.com/news/security/interpol-disrupts-cybercrime-activity-on-22-000-ip-addresses-arrests-41/
5. 乌克兰指责谷歌泄露军事基地位置,引发安全担忧
11月6日,乌克兰指责谷歌在其在线地图服务的最新更新中泄露了军事基地的位置,这些图像被俄罗斯人“积极传播”。乌克兰国家安全与国防委员会反虚假信息部门负责人表示,谷歌尚未修复地图,只回应了乌克兰的官方信件并承诺更新。谷歌乌克兰公司回应称,有问题的卫星图像是一年前拍摄的,来自公开来源,并表示重视此类请求并与乌克兰官员保持沟通。乌克兰担心军事信息的公开可能危及防空系统等军事装备的位置,不仅可能危及乌克兰,还可能危及任何使用导弹拦截器的国家。乌克兰和俄罗斯都高度依赖卫星图像来收集情报,但俄罗斯因制裁或道德问题而难以直接从商业公司购买。谷歌已暂停了在俄罗斯的许多服务,但地图等部分服务仍可使用,但功能有限。
https://therecord.media/ukraine-google-locations-revealing-military
6. Snowflake数据窃取攻击嫌疑人在加拿大被捕
11月5日,加拿大当局逮捕了一名涉嫌窃取云存储公司Snowflake客户数据的男子Alexander "Connor" Moucka(又名"Waifu"和"Judische")。据彭博社和404 Media报道,该男子以165个组织为目标,窃取了数亿数据,这些组织全部是Snowflake的客户。Snowflake、Mandiant和CrowdStrike的联合调查发现,这名攻击者使用信息窃取恶意软件窃取了未能配置多因素身份验证(MFA)保护的Snowflake帐户的客户凭证。这些攻击始于2024年4月,与之相关的数据泄露影响了使用AT&T、Ticketmaster、Santander等多家服务的数亿个人。其中,Ticketmaster的5.6亿客户和AT&T的约1.09亿客户的通话记录被盗。Snowflake此后宣布将对新账户强制实施MFA,并要求密码长度至少为14个字符。
https://www.bleepingcomputer.com/news/security/suspect-behind-snowflake-data-theft-attacks-arrested-in-canada/
京公网安备11010802024551号