首頁 > 安全研究 > 安全通報 > 安全簡訊

AndroxGh0st僵尸網絡瞄準AWS、Azure和Office365憑證

發布時間 2024-01-19
1. AndroxGh0st僵尸網絡瞄準AWS、Azure和Office365憑證


1月17日,AndroxGh0st是一種基于 Python 的惡意軟件,由 Lacework 于 2022 年 12 月首次記錄,該惡意軟件啟發了AlienFox、GreenBot(又名 Mainance)、Legion 和 Predator 等多個類似工具。該云攻擊工具能夠滲透易受已知安全漏洞影響的服務器,以訪問 Laravel 環境文件并竊取 Amazon Web Services (AWS)、Microsoft Office 365、SendGrid 和 Twilio 等知名應用程序的憑據。攻擊者利用的一些值得注意的缺陷包括CVE-2017-9841 (PHPUnit)、CVE-2021-41773 (Apache HTTP Server) 和CVE-2018-15133 (Laravel Framework)。AndroxGh0st 具有多種功能,可以實現 SMTP 濫用。


2. 摩根大通面臨前所未有的網絡威脅,每日450億次入侵嘗試


1月17日,華爾街頂級金融機構之一摩根大通目前正在努力應對網絡攻擊數量的驚人增長。據報道,該公司每天面臨多達 450 億次網絡入侵嘗試,這說明了全球金融公司目前面臨的威脅的嚴重性和頻率。全球范圍內網絡犯罪的激增使得摩根大通等機構處于最前線,執行嚴格的安全措施來保護敏感的金融信息并維護其系統的完整性。這家銀行業巨頭披露了其每天遭受的大量黑客攻擊,突顯了網絡犯罪給金融部門帶來的不斷升級的挑戰。這種情況也凸顯了網絡安全在當今數字經濟中發揮的關鍵作用。


3. 伊朗黑客利用新的 MediaPl 惡意軟件瞄準大學和研究機構


1月17日,微軟表示,一群黑客正在針對歐洲和美國研究機構和大學的知名員工進行魚叉式網絡攻擊,推送新的后門惡意軟件。這些攻擊者是臭名昭著的 APT35(也稱為 Charming Kitten 和 Phosphorus)的一個子組織,他們通過之前被入侵的帳戶發送定制且難以檢測的網絡釣魚電子郵件。在這次活動中,Mint Sandstorm 使用定制的網絡釣魚誘餌,試圖通過社會工程手段讓目標下載惡意文件。MediaPl 惡意軟件使用加密的通信通道與其命令和控制 (C2) 服務器交換信息,旨在偽裝成 Windows Media Player 以繞過檢測。


4. Have I Been Pwned 增添7100萬個已經泄露的郵件賬號


1月17日,Have I Been Pwned 已將 Naz.API 數據集中與被盜帳戶相關的近 7100 萬個電子郵件地址添加到其數據泄露通知服務中。Naz.API 數據集是使用撞庫列表和信息竊取惡意軟件竊取的數據編譯而成的 10 億個憑證的龐大集合。撞庫列表是從之前的數據泄露事件中竊取的登錄名和密碼對的集合,這些數據泄露事件用于破壞其它網站上的帳戶。被盜數據被收集在文本文件和圖像中,這些文件存儲在稱為“日志”的檔案中。然后,這些日志會上傳到遠程服務器,以便攻擊者稍后收集。無論憑證如何被盜,它們都會被用來破壞受害者擁有的帳戶,出售給網絡犯罪市場上的其他威脅行為者,或在黑客論壇上免費發布以在黑客社區中獲得聲譽。


5. 卡巴斯基發布iOS檢測間諜軟件的開源工具iShutdown


1月17日,從歷史上看,檢測惡意軟件需要對 iPhone 進行完整備份,然后徹底檢查備份數據是否存在異常。然而,卡巴斯基現在設計了一種更簡化的方法,名為“iShutdown”??ò退够呀洶l布了iShutdown 是一個開源腳本,旨在快速檢測 iOS 設備中的是否感染間諜軟件。這個名為 shutdown.log 的日志文件成為卡巴斯基對以色列間諜軟件開發商(包括 NSO Group 的 Pegasus、QuaDream 的 Reign 和 Intellexa 的 Predator)研究的焦點。發現這些間諜軟件程序的共性。經常重新啟動 iPhone 的用戶更有可能觀察日志中的相關條目。因此,提取 shutdown.log 文件足以分析 iPhone 是否受到間諜軟件的危害。


6. ColdRiver APT發布定制版后門惡意軟件Spica


1月19日, ColdRiver 的高級持續威脅 (APT) 已深入定制惡意軟件領域,推出了名為Spica的專有后門。ColdRiver(又名 Blue Charlie、Callisto、Star Blizzard 或 UNC4057)通常以非政府組織、前情報和軍事官員以及北約政府為目標進行網絡間諜活動。當目標不可避免地回應說他們無法讀取加密文檔時,ColdRiver 會發送一個鏈接,巧妙地聲稱可以通往“解密”實用程序——當然,這實際上是 Spica 惡意軟件。一旦執行,Spica 就會打開一個所謂“已解碼”的 PDF 作為誘餌,同時悄悄地建立持久性并與其命令和控制服務器 (C2) 連接。

上一篇 下一篇