首頁 > 安全研究 > 安全通報 > 安全簡訊

AI語音生成器應用程序被用來投放Gipy惡意軟件

發布時間 2024-05-28
1. AI語音生成器應用程序被用來投放Gipy惡意軟件


5月26日,Gipy 是最近發現的一種利用信息竊取惡意軟件的攻擊活動,它以德國、俄羅斯、西班牙和臺灣的用戶為目標,并承諾提供 AI 語音轉換應用程序作為網絡釣魚誘餌??ò退够难芯咳藛T表示,Gipy 惡意軟件于 2023 年初首次出現,一旦交付,攻擊者便可以竊取數據、挖掘加密貨幣并在受害者的系統上安裝其他惡意軟件。研究人員解釋稱,在這種情況下,威脅行為者以合法的人工智能語音修改應用程序的承諾來引誘受害者??ò突鶊F隊補充說,一旦用戶安裝該應用程序,應用程序就會開始按承諾運行,同時,Gipy 惡意軟件也會在后臺運行。


https://www.darkreading.com/threat-intelligence/ai-voice-generator-used-to-drop-gipy-malware


2. 用于傳播信息竊取惡意軟件的虛假 AV 網站


5月26日,威脅行為者使用偽裝成 Avast、Bitdefender 和 Malwarebytes 合法防病毒產品的虛假 AV 網站來分發惡意軟件。2024 年 4 月中旬,Trellix 高級研究中心團隊的研究人員發現了多個用于分發信息竊取程序的虛假 AV 網站。這些惡意網站托管了復雜的惡意文件,例如 APK、EXE 和 Inno 安裝安裝程序,包括間諜和竊取程序功能。這些虛假網站偽裝成 Avast、Bitdefender 和 Malwarebytes 的合法防病毒產品。托管惡意軟件的網站是 avast-securedownload.com (Avast.apk)、bitdefender-app.com (setup-win-x86-x64.exe.zip)、malwarebytes.pro (MBSetup.rar)。專家還發現了一個偽裝成合法程序 (AMCoreDat.exe) 的惡意 Trellix 二進制文件。研究人員并未將這些攻擊歸咎于特定的威脅行為者。該報告還列出了使用虛假 AV 網站進行的攻擊的危害指標 (IoC)。


https://securityaffairs.com/163673/cyber-crime/fake-av-websites-distribute-malware.html


3. 黑客利用木馬病毒克隆版“掃雷者”攻擊金融機構


5月26日,黑客正在利用微軟經典游戲掃雷的 Python 克隆代碼來隱藏惡意腳本,以攻擊歐洲和美國的金融機構。烏克蘭的 CSIRT-NBU 和 CERT-UA 將這些攻擊歸咎于一個被追蹤為“UAC-0188”的威脅行為者,他使用合法代碼來隱藏下載和安裝 SuperOps RMM 的 Python 腳本。Superops RMM 是一款合法的遠程管理軟件,可讓遠程參與者直接訪問受感染的系統。CERT-UA 報告稱 ,在首次發現此次攻擊之后進行的研究顯示,歐洲和美國的金融和保險機構中至少存在五起由相同文件引發的潛在漏洞。


https://www.bleepingcomputer.com/news/security/hackers-phish-finance-orgs-using-trojanized-minesweeper-clone/


4. CERT-UA 警告威脅行為者 UAC-0006 發起的惡意軟件活動


5月26日,烏克蘭計算機應急反應小組 (CERT-UA) 警告稱,與以經濟為目的的威脅行為者UAC-0006相關的網絡攻擊激增。UAC-0006 自 2013 年以來一直活躍。威脅行為者專注于入侵會計師的個人電腦(用于支持金融活動,例如訪問遠程銀行系統)、竊取憑證以及進行未經授權的資金轉移。政府專家報告稱,自 5 月 20 日以來,該組織進行了至少兩次大規?;顒?,威脅行為者旨在通過電子郵件傳播SmokeLoader惡意軟件。SmokeLoader 充當其他惡意軟件的加載器,一旦執行,它就會將惡意代碼注入當前運行的 Explorer 進程(explorer.exe),并將另一個有效負載下載到系統中。


https://securityaffairs.com/163711/cyber-warfare-2/cert-ua-warns-uac-0006-massive-campaigns.html


5. 黑客在最近的 MITRE 網絡攻擊中創建惡意虛擬機


5月27日,黑客最近利用了 MITRE 的網絡實驗、研究和虛擬化環境 (NERVE) 中的漏洞。他們使用惡意虛擬機(VM)來逃避檢測并在網絡攻擊中保持持久性。此次攻擊被歸咎于一個與中國有關的組織 UNC5221,凸顯了網絡威脅日益復雜化,甚至頂級網絡安全組織在防御這些威脅時也面臨挑戰。該漏洞始于 2023 年 12 月下旬,當時攻擊者利用了 Ivanti Connect Secure 設備中的兩個零日漏洞,漏洞編號為CVE-2023-46805和CVE-2024-21887。這些漏洞使得黑客能夠通過會話劫持繞過多因素身份驗證,從而獲得對 MITRE 的 NERVE 環境的未經授權的訪問。2024 年 4 月發現了最初的利用跡象,促使 MITRE 和第三方數字取證團隊進行了徹底的調查。一旦進入 NERVE 環境,攻擊者就會使用泄露的管理員憑據進行橫向移動,瞄準 VMware 基礎架構。


https://gbhackers.com/rogue-vms-mitres-cyber-attack/


6. 思科FIREPOWER管理中心高危漏洞CVE-2024-20360


5月27日,思科 Firepower 管理中心 (FMC) 軟件的 Web 管理界面中存在一個漏洞,可能導致經過身份驗證的遠程攻擊者對受影響的系統進行 SQL 注入攻擊。存在此漏洞的原因是 Web 管理界面沒有充分驗證用戶輸入。攻擊者可以通過對應用程序進行身份驗證并向受影響的系統發送精心設計的 SQL 查詢來利用此漏洞。成功利用此漏洞可能允許攻擊者從數據庫獲取任何數據,在底層操作系統上執行任意命令,并將權限提升到 root。要利用此漏洞,攻擊者至少需要只讀用戶憑據。思科表示,目前尚無解決此漏洞的變通方法。該 IT 巨頭已確認,此漏洞不會影響自適應安全設備 (ASA) 軟件或 Firepower 威脅防御 (FTD) 軟件。


https://securityaffairs.com/163718/security/a-high-severity-vulnerability-affects-cisco-firepower-management-center.html

上一篇 下一篇