npm供应链遭域名抢注攻击,恶意软件瞄准开发人员
发布时间 2024-11-071.npm供应链遭域名抢注攻击,恶意软件瞄准开发人员
https://www.theregister.com/2024/11/05/typosquatting_npm_campaign/
2. Winos4.0框架:黑客利用游戏应用瞄准Windows用户进行恶意攻击
11月6日,黑客近期频繁利用恶意的Winos4.0框架攻击Windows用户,该框架通过伪装成无害的游戏相关应用程序进行传播。据趋势科技今夏发布的报告,一个名为Void Arachne/Silver Fox的威胁行为者曾利用修改并捆绑恶意组件的软件(如VPN和谷歌Chrome浏览器)针对中国市场。现网络安全公司Fortinet发现,黑客活动已演变,继续依赖游戏和游戏相关文件攻击中国用户。当执行伪装成合法的安装程序时,它们会从特定网址下载DLL文件,启动多步骤感染过程。这包括下载其他文件、设置执行环境、建立持久性、加载API、检索配置数据、建立与C2服务器的连接等。最终,加载的登录模块执行主要恶意操作,如收集系统信息、检查安全软件、收集加密货币钱包数据、维持与C2服务器的连接,以及截屏、监视剪贴板变化和窃取文件。Winos4.0还能检查多种安全工具进程,以确定是否在受监控环境中运行,并调整行为。该框架功能强大,类似Cobalt Strike和Sliver,且新活动的出现表明其在恶意操作中的作用已巩固。
https://www.bleepingcomputer.com/news/security/hackers-increasingly-use-winos40-post-exploitation-kit-in-attacks/
3.VEILDrive威胁活动:利用微软SaaS服务进行网络钓鱼与恶意软件部署
11月6日,一项名为VEILDrive的持续威胁活动被发现利用微软的合法服务,如Teams、SharePoint、Quick Assist和OneDrive,进行鱼叉式网络钓鱼攻击并分发恶意软件。以色列网络安全公司Hunters在调查一起针对美国关键基础设施组织的网络事件时发现了这一活动。攻击者冒充IT团队成员,通过Teams消息和快速助手工具请求远程访问系统,并利用之前受到攻击的组织的可信基础设施来分发攻击。他们通过SharePoint分享了一个指向托管在不同租户上的ZIP存档文件的下载链接,该存档中嵌入了远程访问工具LiteManager。然后,通过快速助手获得的远程访问权限,在系统上创建了定期执行LiteManager的计划任务。还下载了第二个ZIP文件,其中包含基于Java的恶意软件和整个Java开发工具包。该恶意软件使用硬编码的凭据连接到对手控制的OneDrive帐户,并将其用作命令和控制服务器,以在受感染的系统上获取和执行PowerShell命令。这种依赖SaaS的策略使实时检测变得复杂,并绕过了传统防御措施。
https://thehackernews.com/2024/11/veildrive-attack-exploits-microsoft.html
4.华盛顿州法院系统遭网络攻击瘫痪,紧急恢复中
11月6日,自周日官员发现网络存在“未经授权的活动”以来,华盛顿州各地的法院系统陷入瘫痪,所有州法院的司法信息系统、网站及相关服务均受持续影响。据《西雅图时报》报道,法院管理办公室(AOC)已迅速行动,确保关键系统安全并努力恢复服务。AOC副主任温迪·费雷尔表示,出于安全考虑,系统已主动关闭,并与专家合作昼夜恢复。部分市法院和地区法院仍在提供有限服务,而皮尔斯县高等法院书记员办公室虽服务中断,但仍可进行在线访问,并正积极恢复服务。预计法院基本职能和诉讼程序将按计划进行,客户服务柜台开放,但建议提前确认服务可用性。同时,部分服务如判决/罚款余额信息和电子法庭记录搜索在皮尔斯县法院恢复前暂不可用。类似事件曾在堪萨斯州发生,2023年10月中旬,其法院管理局网络遭入侵,黑客窃取敏感文件,具有勒索软件攻击迹象,迫使司法部门关闭多个信息系统。
https://www.bleepingcomputer.com/news/security/washington-courts-systems-offline-following-weekend-cyberattack/
5.SteelFox恶意软件:利用易受攻击驱动技术窃取信息与挖掘加密货币
11月6日,名为“SteelFox”的新恶意软件利用“自带易受攻击的驱动程序”技术获取Windows系统权限,以挖掘加密货币并窃取信用卡数据等信息。该软件通过论坛和种子追踪器以破解工具的形式分发,可激活多种软件的合法版本。卡巴斯基研究人员于8月发现该攻击活动,但恶意软件自2023年2月已存在,并通过多种渠道增加了传播。SteelFox使用易受攻击的驱动程序提升权限,创建服务并利用漏洞将权限提升到最高级别。该恶意软件还用于加密货币挖掘,并激活信息窃取组件,从网络浏览器中提取数据。尽管C2域是硬编码的,但威胁行为者通过切换IP地址和使用Google公共DNS和DoH隐藏其位置。SteelFox攻击没有特定目标,但主要针对AutoCAD、JetBrains和Foxit PDF Editor的用户,已感染多个国家的系统。
https://www.bleepingcomputer.com/news/security/new-steelfox-malware-hijacks-windows-pcs-using-vulnerable-driver/
6.SelectBlinds网站遭黑客攻击,20万顾客信用卡信息被盗
11月7日,黑客在大型零售商SelectBlinds的网站上植入了恶意软件,导致20多万顾客的信用卡信息和其他数据被盗。该恶意软件至少从1月7日就已存在,于9月28日被员工发现。除了登录信息,黑客还可能获取了顾客的姓名、电子邮件、送货和账单地址、电话号码以及支付卡号、有效期和安全/CVV代码。为了迫使用户更改密码,SelectBlinds已锁定用户账户并删除了恶意软件,同时警告在其他网站上重复使用相同登录信息的人应立即更改密码。黑客利用电子盗刷器窃取信用卡信息已成为长期存在的问题,他们通过向易受攻击的网站注入恶意代码来捕获敏感数据,并将这些信息出售给信用卡欺诈机构。据Recorded Future在上个月的一份报告中称,黑客在暗网信用卡商店中发布了1500万条信用卡记录以供出售。
https://therecord.media/selectblinds-customers-credit-card-info-data-breach-website-malware
京公网安备11010802024551号