首頁 > 安全研究 > 安全通報 > 安全簡訊

Magnet Goblin 黑客組織利用漏洞部署 Nerbian RAT

發布時間 2024-03-12
1. Magnet Goblin 黑客組織利用漏洞部署 Nerbian RAT


3月11日,一個名為Magnet Goblin的出于經濟動機的威脅行為者正在迅速將1day安全漏洞納入其武器庫,以便伺機破壞邊緣設備和面向公眾的服務,并在受感染的主機上部署惡意軟件。對手發起的攻擊利用未修補的 Ivanti Connect Secure VPN、Magento、Qlik Sense 以及可能的 Apache ActiveMQ 服務器作為初始感染媒介來獲得未經授權的訪問。據稱該組織至少自 2022 年 1 月起就一直活躍。成功利用此漏洞后,會部署一個名為 Nerbian RAT 的跨平臺遠程訪問木馬 (RAT),該木馬由 Proofpoint 于 2022 年 5 月首次披露,其簡化變種為 MiniNerbian。Darktrace之前曾強調過 Linux 版本 Nerbian RAT 的使用。這兩種病毒都允許執行從命令與控制 (C2) 服務器接收的任意命令,并泄露返回給它的結果。Magnet Goblin 使用的其他一些工具包括WARPWIRE JavaScript 憑證竊取程序、基于 Go 的隧道軟件 Ligolo,以及合法的遠程桌面產品(例如 AnyDesk 和 ScreenConnect)。 


https://thehackernews.com/2024/03/magnet-goblin-hacker-group-leveraging-1.html


2. 針對美國和歐洲企業的新 DoNex 勒索軟件


3月11日,美國和歐洲各地的企業都處于高度戒備狀態,因為一種被稱為“DoNex”的新型勒索軟件一直在積極危害企業并聲稱受害者。對于這種突發威脅,網絡安全專家加班加點地了解攻擊的全部范圍并制定對策。DoNex 勒索軟件組織通過在其暗網門戶(可通過 Onion 網絡訪問)上將多家公司列為受害者而聞名。該團伙的手段尤為陰險,采用雙重勒索手段。這不僅涉及文件加密,然后附加一個唯一的。VictimID 擴展,而且還會泄露敏感數據,將其作為人質,以向受害者施加額外壓力,要求其支付贖金。受影響的公司在其系統上發現了名為 Readme.VictimID.txt 的勒索字條,該字條指示他們通過 Tox Messenger 與 DoNex 組織建立聯系,Tox Messenger 是一種點對點即時消息服務,以其安全和匿名功能而聞名。


https://gbhackers.com/donex-ransomware-observed/


3. 偽裝成 Notion 安裝程序的 MSIX 惡意軟件


3月11日,偽裝成 Notion 安裝程序的 MSIX 惡意軟件正在分發。分發網站看起來與實際的 Notion 主頁相似。安裝后,StartingScriptWrapper.ps1 和refresh.ps1 文件將在應用程序的路徑內創建。StartingScriptWrapper.ps1 文件是一個合法文件,包含 MS 簽名,具有執行作為參數給出的 Powershell 腳本的功能。該文件允許在安裝過程和執行特定 Powershell 腳本期間讀取包內的 config.json 配置文件。此命令從 C2 服務器下載附加 Powershell 命令并執行它們。C2服務器目前沒有正確響應,但分析團隊在初步分析期間確認了LummaC2惡意軟件的分布。在運行文件之前,用戶應該檢查文件是否來自官方網站的域,即使文件是使用合法證書簽名的,也要檢查簽名作者。建議在執行 MSIX 文件時格外小心,因為多種惡意變體不僅會偽裝 Notion,還會偽裝 Slack、WinRar 和 Bandicam 等應用程序。


https://asec.ahnlab.com/en/62815/


4. 日本將 PyPI 供應鏈網絡攻擊歸咎于朝鮮


3月11日,日本網絡安全官員警告稱,朝鮮臭名昭著的 Lazarus Group 黑客團隊最近針對 Python 應用程序的 PyPI 軟件存儲庫發動了供應鏈攻擊。威脅參與者上傳了名為“pycryptoenv”和“pycryptoconf”等受污染的包,其名稱與合法的 Python 加密工具包“pycrypto”類似。被誘騙將惡意軟件包下載到 Windows 計算機上的開發人員會感染一種名為 Comebacker 的危險特洛伊木馬。Gartner 高級總監兼分析師 Dale Gardner 將 Comebacker 描述為一種通用木馬,用于投放勒索軟件、竊取憑證和滲透開發流程。Comebacker 已被部署在與朝鮮有關的其他網絡攻擊中,包括對 npm 軟件開發存儲庫的攻擊。


https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack


5. 黑客利用 WordPress 插件缺陷用惡意軟件感染 3300 個網站


3月10日,黑客利用 Popup Builder 插件過時版本中的漏洞入侵 WordPress 網站,用惡意代碼感染 3,300 多個網站。攻擊中利用的缺陷被追蹤為 CVE-2023-6000,這是一個影響 Popup Builder 版本 4.2.3 及更早版本的跨站點腳本 (XSS) 漏洞,最初于 2023 年 11 月披露。今年年初發現的 Balada Injector 活動利用該特定漏洞感染了 6,700 多個網站,這表明許多網站管理員沒有足夠快地修補補丁。Sucuri 現在 報告 發現一個新的活動在過去三周內顯著增加,針對的是 WordPress 插件上的相同漏洞。根據 PublicWWW 的結果,在3,329 個 WordPress 網站中發現了與這一最新活動相關的代碼注入 ,Sucuri 自己的掃描儀檢測到了 1,170 個感染。


https://www.bleepingcomputer.com/news/security/hackers-exploit-wordpress-plugin-flaw-to-infect-3-300-sites-with-malware/


6. 澤西島金融服務委員會的數據泄露


3月7日,澤西島金融服務委員會的數據泄露導致非公開姓名和地址的訪問。該組織于 1 月 23 日確認其注冊系統中檢測到一個“漏洞”。該公司表示,此次泄密事件并未將任何個人與注冊實體或所擔任的角色聯系起來,并且已單獨寫信給那些姓名和地址被泄露的人。初步法醫審查發現泄漏是由于第三方提供的注冊系統配置錯誤造成的。該組織表示:“我們對發生這種情況深感遺憾,目前正在進一步調查以確定這是如何發生的?!盝FSC 表示正在與澤西島信息專員辦公室合作。負責金融服務的副部長伊恩·戈斯特表示,此次泄露影響了系統中“有限數量的條目”。他補充道:“我對發生這一錯誤感到抱歉,我了解聯合金融服務委員會正在進行最徹底的調查,以確保汲取教訓,并改進和加強登記冊的設計。


https://www.bbc.com/news/articles/cnk5zyypw24o?&web_view=true

上一篇 下一篇