俄罗斯威胁行为者利用Signal“链接设备”功能发起网络钓鱼攻击
发布时间 2025-02-201. 俄罗斯威胁行为者利用Signal“链接设备”功能发起网络钓鱼攻击
2月19日,俄罗斯威胁行为者近期频繁利用Signal消息应用程序的“链接设备”功能进行网络钓鱼活动,试图未经授权访问目标账户。据谷歌威胁情报小组(GTIG)报告,此技术已成为俄罗斯入侵Signal账户的最新且广泛手段。攻击者通过创建恶意二维码,诱骗受害者扫描,实现Signal消息与攻击者设备的同步,无需破坏目标设备即可监控对话。这些攻击会根据目标类型调整策略,伪装成合法应用资源或设备配对指令,甚至定制网络钓鱼页面。臭名昭著的俄罗斯黑客组织Sandworm也采用此方法。GTIG还观察到,攻击者会修改合法群组邀请页面,将其重定向到恶意URL,将目标账户连接到攻击者设备。此外,与俄罗斯有关的威胁行为者还使用专门为攻击乌克兰军事人员创建的Signal网络钓鱼工具包。GTIG指出,俄罗斯和白俄罗斯还使用多种工具从Signal应用程序数据库文件中搜索和收集消息。研究人员强调,Signal并非唯一受关注的消息应用程序,类似攻击也针对WhatsApp等。此类设备链接攻击难以防范,一旦成功可能长时间不被察觉。因此,建议Signal用户更新至最新版本,并采取复杂密码、屏幕锁、定期检查链接设备列表、谨慎扫描二维码及启用双因素身份验证等措施增强安全性。
https://www.bleepingcomputer.com/news/security/russian-phishing-campaigns-exploit-signals-device-linking-feature/
2. Ghost勒索软件全球肆虐,CISA与FBI发布联合防御指南
2月19日,CISA和FBI联合发布公告称,Ghost勒索软件攻击者已对全球70多个国家的多个行业实施攻击,包括关键基础设施组织、医疗保健、政府、教育、科技、制造业及众多中小型企业。自2021年初,这些攻击者开始针对运行过时版本软件和固件的互联网服务进行无差别攻击。Ghost勒索软件组织频繁更改其恶意软件、文件扩展名和勒索通知内容,导致其归属难以确定。该组织利用公开代码攻击易受攻击的服务器,特别关注Fortinet、ColdFusion和Exchange中的未修补漏洞。为防御此类攻击,建议网络防御者采取异地系统备份、尽快修补漏洞、隔离网络、实施多因素身份验证等措施。此外,Ghost勒索软件攻击者还利用CVE-2018-13379等漏洞进行初始访问,该漏洞也被国家支持的黑客组织用于攻击易受攻击的Fortinet SSL VPN设备和美国选举支持系统。CISA、FBI和MS-ISAC发布的联合咨询提供了与先前Ghost勒索软件活动相关的妥协指标、策略、技术和程序以及检测方法。
https://www.bleepingcomputer.com/news/security/cisa-and-fbi-ghost-ransomware-breached-orgs-in-70-countries/
3. TA2726与TA2727联手推广FrigidStealer恶意软件
2月19日,近期,网络犯罪组织TA2726与TA2727联手开展了一项名为FakeUpdate的恶意软件活动,推广针对macOS的新型信息窃取恶意软件FrigidStealer。该活动也涉及Windows和Android平台的攻击。TA2726作为流量分发者,利用Keitaro TDS向其他犯罪分子出售流量,而TA2727则负责分发恶意软件,包括适用于不同操作系统的Lumma Stealer、Marcher和FrigidStealer。在此次活动中,威胁行为者通过注入恶意JavaScript到网站HTML中,显示虚假的浏览器更新消息,诱导用户下载并执行伪装成更新的恶意文件。Mac用户需手动启动下载并输入密码以绕过Gatekeeper保护。FrigidStealer恶意软件能够窃取存储在Safari或Chrome中的cookie、登录凭据、密码、加密钱包凭据、Apple Notes中的敏感信息以及用户主目录中的文档。被盗数据被压缩后泄露至恶意软件的C2地址。信息窃取活动已成为一项大规模的全球行动,对个人和组织造成毁灭性攻击。为避免感染,用户不应执行网站提示的命令或下载,尤其是那些假装是修复、更新或验证码的内容。已感染的用户应在每个网站上更改密码。
https://www.bleepingcomputer.com/news/security/new-frigidstealer-infostealer-infects-macs-via-fake-browser-updates/
4. 澳大利亚生育服务巨头 Genea 遭遇网络入侵
2月19日,澳大利亚生育服务提供商Genea遭遇网络入侵事件,未知攻击者访问了其系统上的数据。Genea在检测到可疑活动后紧急展开调查,并确认未经授权的第三方已访问其数据,但尚未明确被访问数据的性质和范围,以及是否涉及个人信息。Genea正努力恢复服务器以控制漏洞并保护系统,同时向患者保证将尽最小程度干扰其治疗,并承诺在发现个人信息受影响时与相关个人沟通。此次事件导致Genea的电话服务和MyGenea应用程序中断。Genea是澳大利亚最大的生育服务提供商之一,在全国多个地区设有生育诊所,提供多种服务。据澳大利亚国家广播公司报道,Genea与该行业的另外两家公司占据了该国该行业总收入的80%以上。BleepingComputer试图联系Genea发言人但未获立即回应。
https://www.bleepingcomputer.com/news/security/australian-fertility-services-giant-genea-hit-by-security-breach/
5. Pegasus间谍软件感染范围扩大,企业高管成新目标
2月19日,移动设备安全公司iVerify最新发现,强大的零点击间谍软件Pegasus的使用范围比我们之前所知的更加广泛,不仅影响民间社会成员,还开始影响企业高管。仅在12月份,iVerify测试的18,000台独立设备中,就有11台检测到了Pegasus间谍软件。新确认的受害者来自私营行业,包括房地产、物流和金融等领域,只有一名是欧洲政府官员。Pegasus由以色列公司NSO Group制造,尽管该公司坚称其产品只卖给针对罪犯和恐怖分子的政府,但Pegasus已多次出现在民间社会和企业高管的手机中。企业高管可以接触到公司秘密计划和财务数据,这使得他们成为Pegasus攻击的新目标,为间谍软件危机增添了新的维度。iVerify的扫描会寻找恶意软件特征,并依靠机器学习查找感染迹象,新研究仅包括感染Pegasus的手机结果。据iVerify联合创始人表示,世界仍未做好应对此类威胁的准备,且只有一半的感染用户收到了苹果的威胁通知。
https://therecord.media/pegasus-spyware-infections-iverify
6. WordPress插件漏洞导致超9万网站受影响
2月19日,安全研究人员发现,超过90,000个网站使用的Jupiter X Core WordPress插件存在一个严重漏洞,允许具有贡献者权限或更高权限的攻击者上传恶意SVG文件并在服务器上执行远程代码。该漏洞的CVSS评分为8.8(高),源于对SVG文件上传的不当清理以及插件对get_svg()函数的使用。攻击者可以上传包含PHP代码的特制SVG文件,并通过结合该函数中的漏洞在服务器上执行恶意文件,从而绕过访问控制、获取敏感数据或实现代码执行。该漏洞于2025年1月6日被报告,插件开发商Artbees于1月29日发布补丁解决了该问题。建议Jupiter X Core用户立即更新至4.8.8版本,并采取主动措施如启用自动更新、定期审核并删除未使用或过时的插件以减少攻击面。
https://www.infosecurity-magazine.com/news/wordpress-plugin-flaw-exposes/
京公网安备11010802024551号