首頁 > 安全研究 > 安全通報 > 安全簡訊

StrelaStealer攻擊歐盟和美國的 100 多個組織或企業

發布時間 2024-03-25
1. StrelaStealer攻擊歐盟和美國的 100 多個組織或企業


3月24日,在Unit 42最近的一份報告中Palo Alto Networks 的研究人員發現了一系列新的網絡釣魚攻擊,旨在傳播名為 StrelaStealer 的惡意軟件。這一威脅已影響到歐盟和美國的 100 多個組織。這些攻擊是通過帶有啟動 StrelaStealer DLL負載的附件的垃圾郵件來執行的。為了逃避檢測,攻擊者會定期更改初始電子郵件中附件的文件格式。StrelaStealer 于 2022 年 11 月首次檢測到,旨在從流行的郵件客戶端竊取電子郵件帳戶數據,并將這些信息傳輸到攻擊者控制下的服務器。自該惡意軟件出現以來,研究人員記錄了兩次部署該惡意軟件的重大活動:一次于 2023 年 11 月,另一次于 2024 年 1 月。這些活動針對的行業包括技術、金融、專業和法律服務、制造、能源、保險、建筑等。


https://meterpreter.org/strelastealer-attacks-hit-100-organizations/


2. Apple M 系列芯片微架構嚴重漏洞,可導致Mac 設備密鑰泄露


3月24日,研究人員發現了 Apple M 系列芯片微架構中的一個嚴重漏洞,使犯罪分子能夠從 Mac 設備(包括計算機和筆記本電腦)中提取密鑰。問題的癥結在于,該漏洞與芯片設計有本質聯系,僅靠軟件更新無法完全修復。該漏洞與數據內存預取功能相關,該功能通過預測未來的內存請求來優化信息處理。此功能可能會誤解加密密鑰,從而為通過專門攻擊提取密鑰鋪平道路。一個國際研究團隊設計了一種名為 GoFetch 的攻擊,說明了無需設備管理權限即可提取密鑰的可行性。這種攻擊可以在專有的 M1 和 M2 芯片上執行,影響傳統加密算法和抵抗量子計算的算法。密鑰提取過程從不到一小時到十小時不等,具體取決于加密密鑰的類型和所采用的算法。這表明該漏洞能夠規避標準加密防御機制。為了防范此漏洞,加密軟件開發人員必須在其軟件中實施額外的安全機制,這可能會導致加密操作期間的性能下降。提議的保護措施包括數據屏蔽和將處理轉移到沒有 DMP 的處理器內核。研究人員還提出了一種長期解決方案,涉及擴展硬件和軟件交互,以便在關鍵操作期間停用 DMP。這可以幫助阻止攻擊,而不會顯著影響整體性能。


https://meterpreter.org/unfixable-apple-chip-issue-secret-keys-vulnerable/


3. 微軟將關閉針對俄羅斯企業的 50 項云服務的訪問


3月23日,微軟計劃在 3 月底之前限制俄羅斯組織對 50 多種云產品的訪問,這是歐盟監管機構去年 12 月對該國發布的制裁要求的一部分。暫停最初定于 2024 年 3 月 20 日進行,但后來推遲到本月底,以便受影響的實體有更多時間來制定替代解決方案。有關即將暫停的消息最先由 Softline Group of Companies 報道,該公司是俄羅斯現存最大的 IT 服務提供商之一。微軟的信中沒有具體說明哪些服務將被取消,但塔斯社已經列出了 50 多種產品的清單 ,這些產品將在 3 月底停止提供。已 明確 ,許可證失效影響俄羅斯從事建筑、設計、施工、制造、媒體、教育和娛樂、建筑信息模型(BIM)、計算機輔助設計(CAD)和計算機輔助制造的公司和組織(凸輪)。但是,沒有宣布限制個人訪問的計劃,因此假設上述產品仍可供普通用戶使用。


https://www.bleepingcomputer.com/news/microsoft/microsoft-to-shut-down-50-cloud-services-for-russian-businesses/


4. SIGN1 惡意軟件活動已感染 39000 多個 WORDPRESS 網站


3月23日,Sucuri 的 Sucurity 研究人員發現了一個名為 Sign1 的惡意軟件活動,該活動在過去六個月內已經危害了 39,000 個 WordPress 網站。專家們發現,威脅行為者入侵了網站,植入惡意 JavaScript 注入,將訪問者重定向到惡意網站。Sign1 背后的威脅參與者將惡意 JavaScript 注入合法插件和 HTML 小部件中。注入的代碼包括一個硬編碼的數字數組,它使用 XOR 編碼來獲取新值。專家對 XOR 編碼的 JavaScript 代碼進行了解碼,發現它用于執行遠程服務器上托管的 JavaScript 文件。研究人員注意到,攻擊者采用動態更改的 URL,動態 JavaScript 代碼的使用允許每 10 分鐘更改一次 URL。該代碼在訪問者的瀏覽器中執行,導致網站訪問者出現不需要的重定向和廣告。Sign1 活動最初由研究員Denis Sinegubko在 2023 年下半年發現,Sucuri 報告稱,自 2023 年 7 月 31 日以來,威脅行為者利用了多達 15 個不同的域。


https://securityaffairs.com/160942/hacking/sign1-malware-campaign.html


5. 美國政府發布針對公共部門的新 DDoS 攻擊指南


3月22日,美國政府為公共部門實體發布了新的分布式拒絕服務 (DDoS) 攻擊指南,以幫助防止關鍵服務中斷。該文件旨在作為綜合資源,解決聯邦、州和地方政府機構在防御 DDoS 攻擊方面面臨的具體需求和挑戰。該通報指出,DDoS 攻擊是指大量受感染的計算機向目標系統發送大量流量或請求,導致用戶無法使用該攻擊,這種攻擊很難追蹤和阻止。這種媒介通常被出于政治動機的攻擊者使用,包括黑客活動分子和民族國家團體,政府網站經常成為攻擊目標。例如,自 2022 年 2 月克里姆林宮入侵該國以來,與俄羅斯和烏克蘭有關的黑客經常使用 DDoS 攻擊對方政府網站。2023 年 10 月,英國王室官方網站因 DDoS 事件而下線,俄羅斯黑客組織 Killnet 聲稱對此次攻擊負責。


https://www.infosecurity-magazine.com/news/us-ddos-attack-guidance-public/?&web_view=true


6. 俄羅斯黑客利用 WineLoader 惡意軟件瞄準德國政黨


3月23日,研究人員警告稱,與俄羅斯對外情報局(SVR)有聯系的黑客組織首次針對德國政黨,將其焦點從典型的外交使團目標轉移開。網絡釣魚攻擊旨在部署名為 WineLoader 的后門惡意軟件,該惡意軟件允許威脅行為者遠程訪問受感染的設備和網絡。APT29(也稱為 Midnight Blizzard、NOBELIUM、Cozy Bear)是一個俄羅斯間諜黑客組織。該黑客組織與許多網絡攻擊有關,包括 2020 年 12 月臭名昭著的SolarWinds 供應鏈攻擊。這些年來,威脅行為者一直保持活躍,通常使用一系列網絡釣魚策略或供應鏈妥協來針對政府、大使館、高級官員和各種實體。APT29 最近的重點是云服務,破壞 Microsoft 系統并竊取 Exchange 帳戶的數據,并破壞Hewlett Packard Enterprise使用的 MS Office 365 電子郵件環境。


https://www.bleepingcomputer.com/news/security/russian-hackers-target-german-political-parties-with-wineloader-malware/

上一篇 下一篇