首頁 > 安全研究 > 安全通報 > 安全簡訊

LATRODECTUS不斷更新并分發ICEDID和其他惡意軟件

發布時間 2024-05-22
1. LATRODECTUS不斷更新并分發ICEDID和其他惡意軟件


5月21日,LATRODECTUS于 2023 年 10 月由沃爾瑪研究人員首次發現,是一種在網絡犯罪分子中越來越流行的惡意軟件加載程序。雖然這被認為是一個新的家族,但由于行為和發展相似性,LATRODECTUS 和ICEDID之間存在緊密聯系,包括下載和執行加密負載(如 ICEDID)的命令處理程序。Proofpoint 和 Team Cymru 基于這種聯系,發現了ICEDID 和 LATRODECTUS 運營商使用的網絡基礎設施之間存在緊密聯系。LATRODECTUS 提供了一系列全面的標準功能,威脅行為者可以利用這些功能來部署更多的有效負載,在初步入侵后執行各種活動。代碼庫未經過混淆,僅包含 11 個專注于枚舉和執行的命令處理程序。這種類型的加載器代表了我們團隊最近觀察到的浪潮,例如PIKABOT,其中代碼更加輕量級和直接,處理程序數量有限。


https://www.elastic.co/security-labs/spring-cleaning-with-latrodectus?&web_view=true


2. Kinsing攻擊Apache Tomcat部署挖礦程序


5月20日,Kinsing 惡意軟件以利用 Linux 云服務器上的漏洞部署后門和加密貨幣挖礦程序而聞名,最近將其目標擴展到包括 Apache Tomcat 服務器。該惡意軟件利用新穎的技術來逃避檢測,將自身隱藏在看似無害的系統文件中,使其在受感染的系統上持久存在,突出了 Kinsing 不斷發展的策略,并強調系統管理員需要對這些新興威脅保持警惕。Kinsing 利用容器和服務器中的漏洞來部署后門和加密挖礦程序,調查結果顯示多個服務器受到感染,其中包括具有嚴重缺陷的 Apache Tomcat。Tomcat 是一款可公開訪問的靜態內容開源服務器,由于其在互聯網上的暴露而成為主要攻擊目標,這使得 Kinsing 可以滲透到系統中并建立隱藏的后門以實現持久性,同時部署加密礦工來竊取計算資源以進行加密貨幣挖掘。 


https://gbhackers.com/kinsing-malware-apache-tomcat-servers/


3. SEC要求金融組織需要在 30 天內披露數據泄露事件


5月21日,美國證券交易委員會(SEC)對 SP 法規進行了修改,要求金融公司在 30 天內報告數據泄露情況。這是保護消費者的一大進步。這項新規定將于 2024 年 5 月 15 日生效,旨在加強和更新對消費者金融信息的保護。自 2000 年推出以來,SEC 監管 SP要求經紀交易商、投資公司和持牌投資顧問通過書面政策和程序保護客戶記錄和信息。該規則還解釋了如何正確刪除消費者報告信息,并要求隱私政策通知和選擇退出選項。多年來,技術的進步使得數據泄露的可能性更大,這就是需要這些改變的原因。


https://gbhackers.com/financial-organizations-data-breach/


4. Git 遠程代碼執行漏洞CVE-2024-32002


5月21日,研究團隊發現了一個嚴重的遠程代碼執行漏洞,該漏洞被指定為 CVE-2024-32002,嚴重程度為 9.0(嚴重)。這個特殊的漏洞存在于廣泛使用的clone命令中。Git 上周發布了一份安全公告,其中指出了有關遠程代碼執行的問題。除此之外,該漏洞被描述為由于可以以特定方式起草的子模塊而存在,從而可能導致遠程代碼執行。不過這個漏洞已經被git修復,并且發布了修補版本。根據網絡安全新聞分享的報告,git 使用子模塊,這些子模塊是嵌套在其他存儲庫中的存儲庫。每個子模塊在主目錄中都有一個指定的目錄路徑,該目錄路徑會被跟蹤以確保準確記錄更改。進一步觀察發現,Windows(A/modules/x)和macOS(a/modules/x)的默認設置中存在不區分大小寫的文件系統。這兩個路徑的處理方式相同,這是遠程代碼執行背后的主要原因。 


https://gbhackers.com/git-flaw-remote-code-execution/


5. Fluent Bit 嚴重缺陷影響所有主要云提供商


5月21日,可在拒絕服務和遠程代碼執行攻擊中利用的關鍵 Fluent Bit 漏洞影響了所有主要云提供商和許多技術巨頭。Fluent Bit 是一種非常流行的日志記錄和指標解決方案,適用于 Windows、Linux 和 macOS,嵌入在主要 Kubernetes 發行版中,包括來自 Amazon AWS、Google GCP 和 Microsoft Azure 的發行版。截至 2024 年 3 月,Fluent Bit 的下載和部署次數超過 130 億次,較 2022 年 10 月報道的30 億次下載量大幅增長。Fluent Bit 也被 Crowdstrike 和 Trend Micro 等網絡安全公司以及思科、VMware、英特爾、Adobe 和戴爾等許多科技公司使用。這個嚴重的內存損壞漏洞被跟蹤為CVE-2024-4323,并被發現該漏洞的 Tenable 安全研究人員稱為Linguistic Lumberjack,它是在版本 2.0.7 中引入的,是由 Fluent Bit 的嵌入式 HTTP 服務器解析跟蹤請求中的堆緩沖區溢出漏洞引起的。盡管未經身份驗證的攻擊者可以輕松利用該安全漏洞來觸發拒絕服務或遠程捕獲敏感信息,但如果有適當的條件和足夠的時間來創建可靠的漏洞,他們也可以使用它來獲得遠程代碼執行。


https://www.bleepingcomputer.com/news/security/critical-fluent-bit-flaw-impacts-all-major-cloud-providers/


6. Antidot木馬偽裝成Google Play更新,竊取銀行數據


5月22日,Cyble的研究人員發現了一種針對 Android 設備的新銀行木馬。這種復雜的惡意軟件具有多種危險功能,包括覆蓋攻擊、鍵盤記錄和混淆技術。該木馬根據其源代碼中的字符串命名為“Antidot”,以偽裝成官方 Google Play 更新并支持多種語言而聞名,包括英語、德語、法語、西班牙語、葡萄牙語、羅馬尼亞語,甚至俄語。該惡意軟件作為 Google Play 的更新進行分發,并以“新版本”的名稱出現在受害者的設備上。安裝和首次啟動后,用戶會看到一個假頁面,據稱來自 Google Play,其中包含完成更新所需操作的詳細說明。


https://meterpreter.org/new-antidot-trojan-masquerades-as-google-play-update-steals-banking-data/

上一篇 下一篇