首頁 > 安全研究 > 安全通報 > 安全簡訊

新發現的 RustDoor 惡意軟件冒充 Visual Studio 更新

發布時間 2024-02-22
1. 新發現的 RustDoor 惡意軟件冒充 Visual Studio 更新


2月20日,新發現的 Apple macOS 后門名為 RustDoor,它通過復雜的惡意軟件活動針對加密貨幣領域的多家公司。該惡意軟件采用 Rust 開發,可在基于 Intel 的架構和 ARM 架構上運行。Bitdefender 的研究人員至少從 2023 年 11 月起就一直在跟蹤該惡意軟件,發現它與與臭名昭著的ALPHV/BlackCat 勒索軟件團伙相關的 C2 服務器進行通信。RustDoor 主要作為 Visual Studio for Mac 的更新程序進行分發,具有不同的名稱,如“zshrc2”、“Previewers”、“VisualStudioUpdater”、“VisualStudioUpdater_Patch”、“VisualStudioUpdating”、“visualstudioupdate”和“DO_NOT_RUN_ChromeUpdates”。感染系統后,惡意軟件與 C2 服務器通信以控制受感染的系統、執行任務并竊取數據。


https://cyware.com/news/newly-discovered-rustdoor-malware-impersonates-visual-studio-update-148f6632/?web_view=true


2.Earth Preta 針對亞洲的攻擊活動:DOPLUGS 惡意軟件威脅


2月20日,Check Point 的深入威脅分析闡明了高級持續威脅 (APT) 組織 Earth Preta 的持續行動。盡管其歐洲活動受到廣泛監控,但不可否認的是,其對亞洲目標的高度關注。這一定制策略的關鍵是一種名為 DOPLUGS 的定制惡意軟件,它是最近一系列入侵中利用的關鍵工具。分析表明,這種定制的 PlugX 變體遠非典型。Check Point 的研究人員認識到其獨特的屬性,并將其命名為 DOPLUGS。與具有全套后門命令的傳統 PlugX 惡意軟件不同。有趣的是,Check Point 發現了能夠利用“KillSomeOne”USB 蠕蟲病毒的 DOPLUGS 變體(最初于 2020 年曝光)。這一增加的維度有助于在受感染的網絡中快速移動,凸顯了威脅組織追求更廣泛的滲透。


https://securityonline.info/earth-pretas-targeted-asian-campaigns-the-doplugs-malware-threat/


3.DNS 漏洞 KeyTrap 可導致互聯網大范圍的中斷


2月21日,盡管它自 2000 年以來就一直存在,但研究人員最近才發現域名系統 (DNS) 安全擴展中的一個基本設計缺陷,該缺陷在某些情況下可能會被利用來摧毀大范圍的互聯網。DNS 服務器將網站 URL 轉換為 IP 地址,并且在大多數情況下不可見地承載所有互聯網流量。這一發現背后的團隊來自德國 ATHENE 國家應用網絡安全研究中心。他們將該安全漏洞命名為“KeyTrap”,編號為CVE-2023-50387。根據他們關于 KeyTrap DNS 錯誤的新報告,研究人員發現,使用 DNSSEC 擴展發送到 DNS 服務器實現來驗證流量的單個數據包可能會迫使服務器進入解析循環,從而導致其消耗所有自己的計算能力。根據該報告和 ISC 的說法,好消息是,到目前為止,還沒有任何主動利用的證據。


https://www.darkreading.com/cloud-security/keytrap-dns-bug-threatens-widespread-internet-outages


4. Joomla 遠程代碼執行漏洞 CVE-2024-21726


2月20日,研究團隊最近的一項發現暴露了流行的Joomla內容管理系統 (CMS)中的一個重要的安全問題。此漏洞指定為CVE-2024-21726,為多種跨站腳本 (XSS) 攻擊打開了大門,攻擊者可以利用此權限竊取敏感數據、重定向網站流量、破壞網站或安裝持久性惡意軟件以進一步危害。Joomla 行動迅速,發布了補丁版本(5.0.3、4.4.3、3.10.15-elts))??稍黾?Web 應用程序防火墻 (WAF) 和定期惡意軟件掃描,以增加針對攻擊的額外屏障。強制執行“最小權限”策略,僅向需要完全網站控制的人員授予管理訪問權限。


https://securityonline.info/cve-2024-21726-patch-now-to-stop-joomla-remote-code-execution/


5. VMware 敦促用戶卸載已棄用的增強型身份驗證插件


2月21日,在發現嚴重安全漏洞后,VMware 敦促用戶卸載已棄用的增強型身份驗證插件 (EAP)。該漏洞編號為CVE-2024-22245(CVSS 評分:9.6),被描述為任意身份驗證中繼錯誤。惡意行為者可能會欺騙在網絡瀏覽器中安裝了 EAP 的目標域用戶,請求并轉發任意 Active Directory 服務主體名稱 (SPN) 的服務票證。EAP是一個軟件包,旨在允許通過 Web 瀏覽器直接登錄 vSphere 的管理界面和工具,自 2021 年 3 月起已棄用。默認情況下不包含它,也不屬于 vCenter Server、ESXi 或 Cloud Foundation。值得指出的是,這些缺陷僅影響已將 EAP 添加到 Microsoft Windows 系統以通過 vSphere Client 連接到 VMware vSphere 的用戶。


https://thehackernews.com/2024/02/vmware-alert-uninstall-eap-now-critical.html


6. Linux 惡意軟件活動 Migo 瞄準 Redis 進行挖礦


2月20日,安全研究人員發現了針對流行數據存儲系統 Redis 的復雜惡意軟件活動。該活動被稱為“Migo”,采用新穎的策略來破壞 Redis 服務器,最終目標是在 Linux 主機上挖掘加密貨幣。特別是,Cado 安全實驗室研究人員觀察到,Migo 利用新的 Redis 系統弱化命令來利用數據存儲進行加密劫持。與之前針對 Redis 的攻擊不同,此活動引入了獨特的技術來危害系統的安全。攻擊的初始訪問階段涉及使用特定的 CLI 命令禁用 Redis 的各種配置選項。例如,攻擊者關閉保護模式和副本只讀等功能以促進其惡意活動。獲得訪問權限后,攻擊者設置了一系列命令來執行從 Transfer.sh 和 Pastebin 等外部來源檢索到的惡意負載。這些有效負載旨在在后臺挖掘加密貨幣,同時保持不被發現。


https://www.infosecurity-magazine.com/news/linux-malware-migo-targets-redis/

上一篇 下一篇