首頁 > 安全研究 > 安全通報 > 安全簡訊

Sucuri發現大規模的SEO活動已入侵近15000個網站

發布時間 2022-11-11
1、Sucuri發現大規模的SEO活動已入侵近15000個網站

據11月9日報道,Sucuri發現一起大規模的搜索引擎優化(SEO)活動,入侵了近15000個網站,將訪問者重定向到偽造的問答討論論壇。每個被攻擊的網站都包含大約20000個文件,作為搜索引擎垃圾郵件活動的一部分,其中大多數網站是WordPress。攻擊者會修改WordPress的PHP文件,如'wp-singup.php'和'wp-cron.php',來注入重定向。有時攻擊者會在目標網站上分發他們自己的PHP文件,并使用了隨機或偽合法的文件名,如'wp-logln.php'。

https://www.bleepingcomputer.com/news/security/15-000-sites-hacked-for-massive-google-seo-poisoning-campaign/

2、Mandian檢測到APT29針對歐洲外交組織的攻擊活動

Mandian在11月8日稱,APT29成功地釣魚攻擊了一個歐洲的外交實體,并最終利用了Windows憑證漫游(Credential Roaming)功能。研究人員在2022年初APT29感染目標時,觀察到針對Active Directory系統執行的大量具有非典型屬性的LDAP查詢。進一步檢查發現,此屬性是Active Directory憑據漫游功能的一部分。研究人員還強調了一個任意文件寫入導致的遠程代碼執行漏洞(CVE-2022-30170),可被攻擊者武器化來執行攻擊。

https://www.mandiant.com/resources/blog/apt29-windows-credential-roaming

3、IceXLoader聲稱已感染全球數千臺個人和組織的PC

11月8日報道稱,新版本的IceXLoader可能已感染了全球數千臺設備。IceXLoader于今年6月首次被Fortinet發現,是一種商業惡意軟件。當時發現的版本(v3.0)好像仍在開發中,研究人員近期發現了一個功能齊全且包含多階段分發鏈的版本(v3.3.3)。感染始于通過釣魚郵件發送的ZIP文件,它會分發下一階段的可執行文件STOREM~2.exe,最終IceXLoader會使用進程空心注入到STREM~2.exe中。研究人員已向受影響的公司通報了此次事件,但該惡意軟件的被攻擊目標的數據庫仍在不斷更新。

https://minerva-labs.com/blog/new-updated-icexloader-claims-thousands-of-victims-around-the-world/

4、歐洲刑警組織逮捕涉嫌參與LockBit勒索攻擊的嫌疑人

歐洲刑警組織11月10日宣布逮捕了一名與LockBit勒索攻擊有關的嫌疑人。這名33歲的嫌疑人名叫Mikhail Vasiliev,擁有俄羅斯和加拿大雙國籍,于10月26日在加拿大安大略省被捕。執法人員從其家中查獲了8臺電腦和32個外置硬盤、兩把槍和價值40萬歐元的加密貨幣。雖然歐洲刑警組織將其描述為LockBit的運營人員,但他很可能是作為該活動的附屬機構而非管理者。他現在正在等待因涉嫌參與LockBit勒索攻擊而被引渡到美國。

https://www.bleepingcomputer.com/news/security/russian-lockbit-ransomware-operator-arrested-in-canada/

5、Trend Micro發布關于Earth Longzhi團伙的分析報告

Trend Micro在11月9日發布了關于Earth Longzhi團伙的分析報告。該團伙從2020年就開始活躍,利用定制版本的Cobalt Strike加載程序在目標中植入后門。它還與Earth Baku有相似的TTP,兩者都被認為是APT41子組織。該組織第一次活動發生在2020年5月至2021年2月,利用Symatic攻擊中國臺灣的政府、醫療保健和學術等行業。第二次活動從2021年8月持續到2022年6月,利用CroxLoader、BigpipeLoader和OutLoader等工具,針對泰國、馬來西亞和印度尼西亞等國家的組織。

https://www.trendmicro.com/en_us/research/22/k/hack-the-real-box-apt41-new-subgroup-earth-longzhi.html

6、Check Point發布PyPI上惡意包混淆方式的分析報告

11月9日,Check Point透露其檢測到一個新的惡意程序包,旨在隱藏圖像中的代碼并通過Github上的開源項目感染PyPI用戶。該惡意包名為apicolor,看似是個普通的包,但它會先手動安裝兩個包requests和judyb。judyb代碼是一個隱寫模塊,負責隱藏和顯示圖片中的隱藏信息。用戶在搜索并安裝這些開源項目時,并不知道其中隱藏著惡意代碼。目前,PyPI在收到Check Point的報告后刪除了apicolor包。

https://research.checkpoint.com/2022/check-point-cloudguard-spectral-exposes-new-obfuscation-techniques-for-malicious-packages-on-pypi/
上一篇 下一篇