首頁 > 安全研究 > 安全通報 > 安全簡訊

AgentTesla基于無文件 .NET 的代碼注入進行傳播

發布時間 2024-04-30
1. AgentTesla基于無文件 .NET 的代碼注入進行傳播


4月29日,最近的惡意軟件活動使用 Word 文檔中的 VBA 宏來下載并執行 64 位 Rust 二進制文件。該二進制文件采用無文件注入技術將惡意 AgentTesla 有效負載加載到其內存空間中。該惡意軟件利用 CLR 托管(一種本機進程執行 .NET 代碼的機制)來實現此目的,并且動態加載 .NET 運行時庫,從而允許惡意軟件在不將文件寫入光盤的情況下進行操作。該惡意軟件通過修補“EtwEventWrite”API 來禁用 Windows 事件跟蹤 (ETW),然后從特定 URL 下載包含 AgenetTesla 有效負載的 shellcode。然后使用“EnumSystemLocalesA”API 執行 shellcode。 


https://gbhackers.com/clr-hosting-used-by-agenttesla/


2. 針對 USPS 的網絡釣魚活動與 USPS 本身一樣多


4月26日,Akamai 研究人員發現了大量極有可能的惡意活動和聲稱與美國郵政服務 (USPS) 相關的域名。Akamai 研究人員將五個月的合法域名 usps[.]com 的 DNS 流量與非法組合搶注域名的 DNS 流量進行了比較。惡意域與 usps[.]com 的總查詢計數幾乎相同,即使僅計算包含明確 USPS 縮寫詞的域也是如此。盡管在此分析中,USPS 贏得了這 5 個月期間總查詢量的 51%,但我們過濾數據的方式表明,惡意流量明顯超過了現實世界中的合法流量。我們看到惡意行為者采用了兩種不同的方法:他們要么將流量分散到許多不同的域名,要么僅使用幾個域,每個域都有大量流量。這可能是出于混淆目的:運營商和其他托管提供商意識到這些詐騙的普遍存在,并正在警惕地嘗試識別和刪除這些頁面??紤]到消除這些騙局的關注程度,他們的結果和我們的觀察更令人擔憂。


https://www.akamai.com/blog/security-research/phishing-usps-malicious-domains-traffic-equal-to-legitimate-traffic


3. 谷歌瀏覽器的新后量子加密技術可能會破壞 TLS 連接


4月28日,一些 Google Chrome 用戶報告在 Chrome 124 上周發布后,在默認啟用新的抗量子 X25519Kyber768 封裝機制的情況下,連接到網站、服務器和防火墻時出現問題。谷歌已測試量子安全 TLS 密鑰封裝機制,現已在最新的 Chrome 版本中為所有用戶啟用。新版本利用用于 TLS 1.3 和 QUIC 連接的 Kyber768 抗量子密鑰協商算法來保護 Chrome TLS 流量免受量子密碼分析。這些錯誤不是由 Google Chrome 中的錯誤引起的,而是由 Web 服務器未能正確實現傳輸層安全性 (TLS) 以及無法處理用于后量子加密的較大 ClientHello 消息引起的。如果不支持 X25519Kyber768,這會導致他們拒絕使用 Kyber768 抗量子密鑰協商算法的連接,而不是切換到經典加密。


https://www.bleepingcomputer.com/news/security/google-chromes-new-post-quantum-cryptography-may-break-tls-connections/


4. Kotak Mahindra 銀行被禁止應用程序注冊新客戶


4月28日,印度儲備銀行已實施對 Kotak Mahindra 銀行的禁令,禁止通過在線服務和應用程序注冊新客戶。該措施是在IT系統管理中發現重大缺陷后采取的,這些缺陷包括IT資產管理、更新和變更、用戶訪問、供應商相關風險、數據安全、數據泄露預防策略和災難恢復策略。Kotak Mahindra Bank 為超過 4100 萬客戶提供服務,管理著超過 5000 億美元的資產,該銀行在 2022/2023 財年年度報告中表示,該銀行一直致力于加強安全措施。然而,央行認為這些努力不夠。歷時兩年的檢查顯示,該行未能充分解決IT風險和信息安全管理問題。此外,該銀行還經歷了影響客戶的技術故障,引發了人們對其保持運營彈性與其增長率保持一致的能力的擔憂。


https://meterpreter.org/rbi-cracks-down-on-kotak-mahindra-online-banking-halt/


5. 黑客聲稱已滲透白俄羅斯的主要安全部門


4月28日,白俄羅斯黑客組織聲稱已滲透到該國主要克格勃安全機構的網絡,并訪問了該組織 8600 多名員工的人事檔案,該組織仍以其蘇聯名稱命名。為了支持其說法,白俄羅斯網絡游擊隊在消息應用程序 Telegram 的頁面上發布了該網站管理員、數據庫和服務器日志的列表。網絡游擊隊在過去四年中對白俄羅斯官方媒體進行了數次大規模攻擊,并在 2022 年對白俄羅斯鐵路進行了 3 次黑客攻擊,劫持了交通燈和控制系統的控制權。


https://www.securityweek.com/hackers-claim-to-have-infiltrated-belarus-main-security-service/


6. 抓取Discord的6.2億條信息的Spy.pet已關閉


4月29日,該網站自去年 11 月以來一直在竊取 Discord 用戶的公共數據,并于上周被發現該平臺包含來自 14000 多臺 Discord 服務器的近 6.2 億用戶的消息后被曝光。當 Spy.pet 被發現時,Discord 正在努力對任何違反其服務條款的人采取行動,但無法透露更多信息。Discord已經禁用與Spy.pet 網站有關的帳戶。Spy.pet 聲稱可以訪問的 Discord 服務器數量上周開始下降,上周四降至零。到周五,Spy.pet 網站本身已經停止運營——盡管尚不清楚該網站是否因為 Discord 的行為而離線。


https://www.theregister.com/2024/04/29/infosec_in_brief/

上一篇 下一篇