首頁 > 安全研究 > 安全通報 > 安全簡訊

RustDoor通過Justice AV Solutions JAVS Viewer進行傳播

發布時間 2024-05-27

1. RustDoor通過Justice AV Solutions JAVS Viewer進行傳播


5月26日,Rapid7 的研究人員警告稱,威脅行為者在 Justice AV Solutions JAVS Viewer 軟件的安裝程序中添加了后門。攻擊者能夠在從 JAVS 服務器分發的 JAVS Viewer v8.3.7 安裝程序中注入后門。Justice AV Solutions (JAVS) 是一家總部位于美國的公司,為法庭環境和其他環境(包括監獄、議會和演講室)提供數字視聽錄制解決方案。JAVS Viewer 在全球擁有超過 10,000 個安裝。研究人員提供的后門允許攻擊者完全控制受感染的系統。Rapid7 專家建議重新映像受影響的系統,重置相關憑據,并安裝最新版本的 JAVS Viewer(v8.3.8 或更高版本)。研究人員注意到,JAVS Viewer Setup 8.3.7.250-1.exe 的安裝程序使用意外的 Authenticode 簽名進行數字簽名,并包含一個名為 fffmpeg.exe 的二進制文件。該二進制文件執行編碼的 PowerShell 腳本,Rapid7 將 fffmpeg.exe 與GateDoor / Rustdoor惡意軟件聯系起來,該惡意軟件已被安全公司 S2W 識別。


https://securityaffairs.com/163683/hacking/supplay-chain-attack-javs-viewer.html


2. SlashNext發布2024年上半年網絡釣魚狀況報告


5月24日,報告稱,過去六個月中惡意網絡釣魚鏈接、商業電子郵件入侵 (BEC)、二維碼和基于附件的威脅增加了 341%。該數據來自 SlashNext 的年中《2024 年網絡釣魚狀況》報告 ,該報告還發現,在過去 12 個月中,惡意電子郵件和消息威脅增加了 856%。自 2022 年 11 月推出 ChatGPT 以來,惡意網絡釣魚消息激增了 4151%。Keeper Security 首席執行官兼聯合創始人 Darren Guccione 警告稱:不良行為者可以通過多種方式利用 ChatGPT,包括創建令人信服的網絡釣魚電子郵件。這些工具不僅可以幫助不法分子創建可信的網絡釣魚電子郵件或勒索軟件攻擊的惡意代碼等內容,而且他們可以快速輕松地完成這些操作。防御能力最弱的組織將特別容易受到攻擊,因為攻擊量可能會繼續增加。報告還發現,在過去六個月中,憑證竊取網絡釣魚攻擊增加了 217%,BEC 攻擊增加了 29%?;?CAPTCHA 的攻擊也在增加,攻擊者使用 CloudFlare 的 CAPTCHA 來隱藏憑證收集表格。此外,網絡犯罪分子正在利用 Microsoft SharePoint、AWS 和 Salesforce 等可信服務來隱藏網絡釣魚和惡意軟件?;诙S碼的攻擊現在占所有惡意電子郵件的 11%,通常集成到合法基礎設施中。


https://www.infosecurity-magazine.com/news/341-rise-advanced-phishing-attacks/?&web_view=true


3. ShrinkLocker 劫持 BitLocker 針對企業發起攻擊


5月25日,卡巴斯基實驗室的專家已經確定使用一種名為 ShrinkLocker 的新勒索軟件程序對企業設備進行攻擊,該程序利用了 BitLocker。BitLocker 是 Windows 中的一項安全功能,可通過加密保護數據。這些攻擊的目標包括工業和制藥公司以及政府機構。攻擊者使用 VBScript 編寫了一個惡意腳本。該腳本會檢查設備上安裝的 Windows 版本并激活相應的 BitLocker 功能。ShrinkLocker 可以感染新舊版本的操作系統,最高可感染 Windows Server 2008。該腳本會修改操作系統的啟動參數,然后嘗試使用 BitLocker 加密硬盤分區。創建一個新的啟動分區,以便稍后加載加密的計算機。攻擊者還會刪除用于保護 BitLocker 加密密鑰的安全工具,阻止用戶恢復它們。隨后,惡意腳本將受感染計算機上生成的系統信息和加密密鑰發送到攻擊者的服務器。然后,它會通過刪除日志和各種可能有助于調查攻擊的文件來“掩蓋其蹤跡”。


https://meterpreter.org/new-ransomware-threat-shrinklocker-hijacks-bitlocker-for-corporate-attacks/


4. APT36利用Linux間諜軟件攻擊印度的國防組織


5月25日,一個與巴基斯坦利益相符的、出于政治動機的黑客組織正與印度軍方同步放棄 Windows 操作系統,并將重點放在為 Linux 編碼的惡意軟件上。該網絡間諜組織利用電子郵件作為魚叉式網絡釣魚攻擊的載體,還利用 Telegram、Discord、Slack 和 Google Drive 等流行網絡服務來存儲和分發誘餌和惡意軟件。每次攻擊的時機都是有策略性的,這表明黑客在發動每次攻擊時都進行了詳細的規劃,并有特定的目標。自研究人員開始跟蹤 APT36 行動以來,該組織首次使用 ISO 映像作為攻擊媒介。在印度政府宣布招標購買戰斗機和升級數十架蘇霍伊 30MKI 戰斗機之際,該組織還在魚叉式網絡釣魚電子郵件中使用 ISO 映像來攻擊印度空軍官員。黑莓稱,該間諜組織模仿印度國防和戰略智庫及政府機構的網站域名,誘騙受害者下載惡意誘餌文件。這些組織包括位于新德里的獨立智庫陸戰研究中心、印度計算機應急響應小組和陸軍福利教育協會。


https://www.bankinfosecurity.com/pakistani-aligned-apt36-targets-indian-defense-organizations-a-25296?&web_view=true


5. 假冒 Pegasus 間諜軟件病毒充斥即時通訊平臺和暗網


5月25日,CloudSEK 發現,假冒 Pegasus 間諜軟件的源代碼正在表層網絡、暗網和即時通訊平臺上出售。繼蘋果公司最近發出有關“雇傭型間諜軟件”攻擊的警告后,云安全提供商 CloudSEK 對明網和暗網中與間諜軟件相關的威脅進行了調查。該公司分析了大約 25,000 條 Telegram 帖子,發現許多帖子聲稱出售 Pegasus 的真實源代碼。Pegasus 是由以色列公司 NSO Group 商業化的間諜軟件。這些帖子大多遵循提供非法服務的通用模板,其中經常提到 Pegasus 和 NSO 工具。通過與 150 多名潛在賣家互動,研究人員深入了解了各種樣本和指標,包括所謂的 Pegasus 源代碼、現場演示、文件結構和快照。在分析了來自暗網源的 15 個源代碼樣本和 30 多個指標后,CloudSEK 發現幾乎所有樣本都是欺詐性的且無效的。威脅行為者創建了自己的工具和腳本,并以 Pegasus 的名義分發,利用其惡名獲取經濟利益。這一趨勢在多個地下論壇中也有所體現,犯罪者在這些論壇上營銷和分發樣本,利

用 Pegasus 的名義獲取金錢利益,并在地表網絡代碼共享平臺上傳播與 Pegasus 虛假關聯的隨機生成的源代碼。


https://www.infosecurity-magazine.com/news/fake-pegasus-spyware-dark-web/


6. Cencora數據泄露導致11家制藥公司的美國患者信息被泄露


5月25日,全球一些最大的制藥公司披露了數據泄露事件,原因是 2024 年 2 月對其制藥和商業服務合作伙伴 Cencora 發起的網絡攻擊。Cencora(前身為 AmerisourceBergen)是一家專門從事藥品分銷、專業藥房、咨詢和臨床試驗支持的醫藥服務提供商。該公司總部位于賓夕法尼亞州,業務遍及 50 個國家,擁有 46,000 名員工,2023 年營收為 2620 億美元。2024 年 2 月,Cencora 在向美國證券交易委員會提交的 8-K 表格中披露了數據泄露事件 ,稱未經授權的各方訪問了其信息系統并竊取了個人數據。當時,該公司選擇不分享有關該事件及其對客戶的潛在影響的任何其他信息。此外,沒有任何勒索軟件組織承認對此次攻擊負責。今天,加州總檢察長辦公室公布了美國一些最大的制藥公司在過去幾天提交的多份數據泄露通知樣本,這些公司均將其數據泄露歸咎于 2 月份的 Cencora 事件。數據泄露通知警告稱,Cencora 的內部調查于 2024 年 4 月 10 日結束,調查證實以下信息已被泄露:全名、地址、健康診斷、藥物和處方。信中指出,截至目前,沒有證據表明竊取的信息已在互聯網上公開披露或被用于欺詐目的。為了應對受影響個人面臨的較高風險,Cencora 將通過 Experian 為受助者提供兩年的免費身份保護和信用監控服務,受助者可以使用這些服務直到 2024 年 8 月 30 日。


https://www.bleepingcomputer.com/news/security/cencora-data-breach-exposes-us-patient-info-from-11-drug-companies/

上一篇 下一篇