首頁 > 安全研究 > 安全通報 > 安全簡訊

DINODASRAT LINUX 變種針對全球用戶

發布時間 2024-04-02
1. DINODASRAT LINUX 變種針對全球用戶


3月31日,卡巴斯基實驗室的研究人員發現了 Linux 版本的多平臺后門 DinodasRAT,該后門被用于針對中國、土耳其和烏茲別克斯坦。DinodasRAT(又名 XDealer)是用 C++ 編寫的,支持廣泛的功能來監視用戶并從目標系統竊取敏感數據。ESET 研究人員報告稱,Windows 版本的 DinodasRAT 被用于針對圭亞那政府實體的攻擊。ESET 于 2023 年 10 月首次發現新的 Linux 版本的 DinodasRAT,但專家認為它自 2022 年以來就一直活躍。2024 年 3 月,趨勢科技研究人員在調查與中國相關的 APT Earth Lusca活動時發現了由被追蹤為 Earth Krahang 的威脅行為者發起的復雜活動 。該活動至少從 2022 年初開始似乎就很活躍,主要針對政府組織。自 2023 年起,Earth Krahang 轉移到另一個后門(  TeamT5命名為 XDealer  ,  ESET 命名為DinodasRAT  )。相比RESHELL,XDealer提供了更全面的后門功能。此外,我們發現威脅行為者同時使用 Windows 和 Linux 版本的 XDealer 來針對不同的系統。


https://securityaffairs.com/161255/malware/linux-variant-dinodasrat-backdoor.html


2. 全球密碼噴灑活動針對 VPN 系統可導致系統鎖定


3月31日,思科已發布關于針對全球企業使用的遠程訪問 VPN (RAVPN) 系統的廣泛密碼噴灑活動的嚴重警告。這種攻擊激增的目的是用通用密碼淹沒 VPN 登錄,可能會鎖定合法用戶并擾亂遠程工作。密碼噴灑活動會影響各種 VPN 提供商,而不僅僅是思科。依賴遠程訪問的企業需要保持高度警惕。這些攻擊的后果不僅僅是未經授權的訪問;它們有可能鎖定帳戶并引發類似拒絕服務 (DoS) 的情況,從而破壞數字操作的無縫流程并損害安全通信的完整性。該活動凸顯了遠程訪問解決方案所面臨的持續威脅。組織必須優先考慮強大的身份驗證、警惕的監控和強大的事件響應計劃,以領先于不斷變化的攻擊方法。


https://securityonline.info/global-password-spraying-campaign-targets-vpn-systems-causing-lockouts/


3. 木馬化 npm 軟件包瞄準加密貨幣錢包


3月31日,Phylum 研究團隊暴露了一個偽裝成合法工具包的惡意npm 包。該軟件包名為“vue2util”,偷偷地執行了一項復雜的計劃,旨在從毫無戒心的加密貨幣錢包中竊取 USDT 代幣?!皏ue2util”看起來像是標準實用函數的集合。然而,它隱藏了一個險惡的有效負載,當導入到項目中時,該有效負載會從遠程服務器加載惡意腳本。加載的腳本以幣安智能鏈的用戶為目標,搜索持有 USDT 加密貨幣的錢包。惡意軟件利用 ERC20 合約(管理 USDT)的審批流程。它允許自己無限制地訪問受害者持有的 USDT,無需進一步授權。為了增加成功的機會,惡意軟件巧妙地將其執行鏈接到用戶網頁上標記為“buy_btn”的按鈕。只需單擊一下,受害者就會在不知不覺中觸發令牌盜竊。


https://securityonline.info/trojanized-npm-package-targets-cryptocurrency-wallets-steals-usdt/


4. 研究團隊發現使用 Google Ads 跟蹤功能分發惡意軟件


4月1日,AhnLab 安全情報中心 (ASEC) 最近檢測到使用 Google Ads 跟蹤功能分發的惡意軟件變種。已確認的案例表明,該惡意軟件是通過偽裝成 Notion 和 Slack 等流行群件的安裝程序來傳播的。一旦惡意軟件安裝并執行,它就會從攻擊者的服務器下載惡意文件和有效負載。此類惡意軟件以安裝程序形式分發,通常為 Inno Setup 安裝程序或 Nullsoft 腳本安裝系統 (NSIS) 安裝程序。其中,Notion_software_x64_.exe文件直到最近用戶在Google上用關鍵字“notion”搜索時才出現。攻擊者使用 Google Ads 跟蹤來誘騙用戶認為他們正在訪問合法網站。Google Ads 跟蹤允許廣告客戶插入外部分析網站地址,以收集和使用訪問者的訪問相關數據來計算廣告流量。Google Ads 跟蹤最初用于分析網站流量。但是,該特定廣告不包含外部靜態站點,而是包含惡意代碼分發站點。

目前攻擊者的廣告已被刪除。


https://asec.ahnlab.com/en/63477/


5. 黑客使用 Microsoft OneNote 來策劃網絡攻擊


4月1日,該活動在網絡安全專家的關注下,展示了網絡威脅的新趨勢,即利用常用的辦公應用程序未經授權訪問企業網絡。pr0xylife 首先在其 GitHub 存儲庫上記錄了該惡意活動。它揭露了針對制造、技術、能源、零售、保險和其他幾個行業的公司的廣泛電子郵件網絡釣魚操作。這些電子郵件包含聲稱是“安全消息”的 OneNote 附件,這是一種欺騙收件人打開文件的幌子。該活動強調了網絡威脅不斷演變的情況,攻擊者利用對常用應用程序的信任來繞過傳統的安全措施。使用 Microsoft OneNote 文件傳播惡意軟件代表著向更具創造性的攻擊媒介的轉變,因此需要重新評估網絡安全策略以防范此類威脅。


https://gbhackers.com/microsoft-onenote-orchestrate/


6. TeamCity 修補了 26 個漏洞并保密詳細信息


4月1日,在 JetBrains 的持續集成和交付 (CI/CD) TeamCity 最近的軟件更新中,解決了 26 個安全問題。然而,該公司選擇不透露有關已發現漏洞的任何細節,引發了專業界的激烈討論。TeamCity 2024.03 版本更新旨在保護用戶免受潛在威脅,但完全沒有有關 26 個漏洞的詳細信息,著實讓安全專家感到驚訝。該公司缺乏透明度,特別是在 Rapid7 的專家批評 JetBrains 不夠開放的事件之后,一直受到特別批評。JetBrains 聲稱,保留詳細信息只是為了保護使用舊版 TeamCity 的客戶,盡管這在業界并未得到廣泛接受。盡管如此,該公司的意圖還是可以理解的。對于想要攻擊軟件供應鏈的犯罪分子來說,TeamCity 仍然是一個有吸引力的目標。歷史表明,此類攻擊可能會產生嚴重后果,正如 SolarWinds 的案例所示。


https://meterpreter.org/teamcity-patches-26-vulnerabilities-keeps-details-secret/

上一篇 下一篇