首頁 > 安全研究 > 安全通報 > 安全簡訊

惡意軟件Blank Grabber針對Python開發人員竊取信息

發布時間 2024-01-16
1. 惡意軟件Blank Grabber針對Python開發人員竊取信息


1月14日,Imperva 威脅研究團隊最近在 PyPI 中發現了一個名為“sellpass-sdk”的惡意軟件包,該軟件包是“Blank Grabber”信息竊取惡意軟件的傳播者。在發生一系列類似事件之后,這一發現標志著 Python 開發的網絡安全領域出現了令人擔憂的趨勢。該惡意軟件包模仿合法軟件包“sellpass”,采用各種策略來建立可信度。其中包括使用相似的作者姓名以及創建多個版本以使其看起來得到積極維護。這種詭計導致該軟件包被多次下載,凸顯出此類惡意軟件可以輕松滲透系統。一旦安裝,“Blank Grabber”就會表現出有害行為。它能夠阻止受感染設備上的來電和消息,防止受害者收到重要警報。該惡意軟件執行了復雜的數據泄露和系統入侵策略。這一事件清楚地提醒人們保持網絡安全警惕的重要性。開發人員和用戶都必須謹慎行事,尤其是從 PyPI 等存儲庫獲取軟件包時。


2. Phemedrone Stealer利用CVE-2023-36025規避檢測


1月14日,在最近的一項發現中,趨勢科技的網絡安全研究人員發現對 CVE-2023-36025 的積極利用,導致先前未知的惡意軟件變體(稱為 Phemedrone Stealer)的傳播。Phemedrone Stealer 是一種隱形惡意軟件,主要針對網絡瀏覽器、加密貨幣錢包和消息應用程序,包括Telegram、Steam 和 Discord 等流行平臺。這種多方面的惡意軟件不僅僅是竊取數據;它還捕獲屏幕截圖并收集關鍵系統信息,例如硬件詳細信息、位置和操作系統細節。被盜數據通過 Telegram 或其命令和控制服務器謹慎地傳輸給攻擊者。Phemedrone Stealer 的與眾不同之處在于其開源性質,用 C# 編寫,并在 GitHub 和 Telegram 上積極維護。Phemedrone Stealer 成功的根源在于它利用了 CVE-2023-36025,這是一個影響Microsoft Windows Defender SmartScreen 的漏洞。此漏洞是由于缺乏對 Internet 快捷方式 (.url) 文件的檢查和相關提示而導致的,威脅行為者利用這些文件來制作惡意 .url 文件。這些文件下載并執行惡意腳本,有效繞過 Windows Defender SmartScreen 警告和檢查。微軟于 2023 年 11 月 14 日修補了此漏洞,但攻擊利用的出現促使網絡安全和基礎設施安全局 (CISA) 將其納入已知利用漏洞 (KEV) 列表中。


3. 研究團隊稱2023年勒索軟件團伙已攻擊近5200個企業


1月12日,Rapid7 的一篇博客文章中表示,2023 年將有近 5,200 個組織遭受勒索軟件攻擊,并從其管理的檢測和響應團隊的公開披露和事件數據中進行了研究。Rapid7 威脅分析高級總監 Christiaan Beek 在報告中表示:“事實上,我們認為這個數字實際上更高,因為它沒有考慮到許多可能未被報告的攻擊?!盧apid7 沒有提供 2022 年的數據,但其他公司的研究得出結論,勒索軟件攻擊的數量正在上升。BlackFog 的數據顯示,2023 年下半年的勒索軟件攻擊數量是2022 年下半年的兩倍。雖然勒索軟件活動仍然很高,但用于這些攻擊的獨特勒索軟件家族的數量減少了一半以上,從2022年的95個新家族減少到2023年的43個。比克表示,這表明當前的勒索軟件系列和模型正在滿足威脅行為者的目標。AlphV 是去年最活躍的威脅組織。2023 年接下來的4個最活躍的勒索軟件組織包括:BianLian;Clop;LockBit 3.0和Play。


4. 超過100個以色列組織遭到黑客攻擊且大量數據泄露


1月15日,一個名為 Cyber Toufan 的黑客組織據稱受到某國支持,聲稱通過數據刪除和盜竊行動入侵了 100 多個以色列組織。這是因該地區日益緊張的政治局勢而發起的全面襲擊行動的一部分。安全研究人員已追蹤到超過 100 起與 Cyber Toufan 運營相關的攻擊,其特點是竊取大量數據(包括個人信息)并在網絡上傳播。該黑客組織在其 Telegram 頻道上泄露了 59 個組織的數據。然而,該組織在針對托管服務提供商 (MSP) 的攻擊中可能已經危害了另外 40 多個組織。該組織泄露的數據包括服務器的完整磁盤映像、仍然有效且正在使用的 SSL 證書、SQL 轉儲、CRM,甚至 WordPress 備份。受害者包括以色列國家檔案館;以色列創新局;以色列住房中心;以色列自然和公園管理局;特拉維夫學院;以色列衛生部;福利和社會事務部、以色列證券管理局;Allot、MAX Security & Intelligence、Radware 和豐田以色列公司等。


5. 研究團隊披露Sandworm針對丹麥和烏克蘭能源的攻擊


1月15日,在網絡安全領域,能源行業仍然是容易受到復雜網絡攻擊的關鍵領域。Forescout Vedere Labs 最近的威脅簡報揭示了針對丹麥和烏克蘭這一領域的兩次不同網絡攻擊,并將其歸因于 Sandworm,這是一個以高級持續威脅 (APT) 聞名的俄羅斯軍事威脅組織。Forescout Vedere Labs的報告對丹麥能源基礎設施的兩次獨立攻擊浪潮進行了全面分析。SektorCERT的初步調查結果丹麥關鍵基礎設施計算機緊急響應小組 (CERT) 指出了兩次不同的攻擊。然而,韋代雷實驗室的分析提出了不同的說法。這些攻擊的一個值得注意的方面是使用“靠地生存”(LotL) 技術。雖然不一定比定制惡意軟件更快,但 LotL 提供了隱秘優勢,使攻擊者能夠避免檢測并利用現有系統。這種方法凸顯了攻擊者不斷變化的策略以及對強大防御機制的需求。


6. Balada Injector用Popup Builder攻擊WordPress網站


1月15日,Sucuri 研究人員報告稱,9月份有超過 17,000 個 WordPress 網站易受到 Balada Injector的攻擊。Balada Injector是一個自 2017 年以來一直活躍的惡意軟件家族。該惡意軟件支持多種攻擊向量和持久性機制。該惡意代碼最初由 AV 公司 Doctor Web 于 2022 年 12 月發現。Sucurity 報告稱,12 月 13 日,  Balada Injector 活動開始使用舊版本的 Popup Builder(CVE-2023-6000,CVSS 評分 8.8)感染網站。威脅行為者使用了最近注冊(12 月 13 日)的域名 specialcraftbox[.]com。截至撰寫本文時,  PublicWWW 在 7100 多個網站上檢測到注入 。 

上一篇 下一篇