首頁 > 安全研究 > 安全通報 > 安全簡訊

TA453 利用新型 AnvilEcho 惡意軟件攻擊猶太知名人物

發布時間 2024-08-22
1. TA453 利用新型 AnvilEcho 惡意軟件攻擊猶太知名人物


8月20日,伊朗國家支持的威脅組織TA453針對猶太知名人物發起了一系列精心策劃的魚叉式網絡釣魚活動。此活動旨在傳播名為AnvilEcho的新型情報收集工具,該工具通過BlackSmith惡意軟件工具包傳播,并偽裝成合法邀請以建立信任。AnvilEcho作為一款強大的PowerShell木馬,具備系統偵察、截屏、下載遠程文件及敏感數據上傳等功能,明顯聚焦于情報收集和泄露。此外,該活動利用社會工程學手段,如冒充研究機構發送虛假邀請和受密碼保護的文檔鏈接,誘導受害者點擊惡意鏈接和下載病毒。與此同時,另一項發現揭示了一種新的基于Go語言的惡意軟件Cyclops,可能作為Charming Kitten后門BellaCiao的后續產品,進一步表明攻擊者正積極更新其武器庫。Cyclops旨在通過REST API反向隧道傳輸至C2服務器,控制目標機器,并已被用于攻擊黎巴嫩和阿富汗的特定組織。此惡意軟件的選擇反映了Go語言在惡意軟件開發者中的流行,且其低檢測率對安全解決方案構成挑戰。


https://thehackernews.com/2024/08/iranian-cyber-group-ta453-targets.html


2. Xeon Sender云攻擊工具,利用合法服務大肆進行短信釣魚


8月19日,惡意行為者正利用名為Xeon Sender的云攻擊工具,通過濫用合法云服務進行大規模的短信釣魚和垃圾郵件活動。這款工具利用多個軟件即服務(SaaS)提供商的有效憑證,通過合法API接口發送垃圾信息,而不依賴任何固有弱點。SentinelOne安全研究員指出,Xeon Sender及其變體如XeonV5和SVG Sender,利用包括亞馬遜通知服務(SNS)在內的多個短信分發平臺,通過Telegram和黑客論壇傳播。最新版本的Xeon Sender在名為Orion Toolxhub的Telegram頻道上發布,該頻道還提供其他黑客工具。Xeon Sender不僅限于短信發送,還具備驗證賬戶憑證、生成電話號碼及檢查號碼有效性等功能。其基于Python的命令行界面允許用戶輕松與API通信,協調攻擊。該工具雖然源代碼混亂,但有效降低了技術門檻,使得低技能攻擊者也能利用。由于Xeon Sender使用特定供應商庫進行API請求,檢測難度增加,企業需采用綜合手段,包括API日志分析和行為監控,以識別并防御此類攻擊。


https://thehackernews.com/2024/08/xeon-sender-tool-exploits-cloud-apis.html


3. CERT-UA警告:新型網絡釣魚攻擊利用Vermin集群傳播惡意軟件


8月21日,烏克蘭計算機應急反應小組(CERT-UA)近日發出警告,指出一種新的網絡釣魚攻擊正在活躍,該攻擊利用惡意軟件企圖感染用戶設備,其背后威脅集群被標記為UAC-0020,又稱Vermin。盡管攻擊的具體規模和范圍尚不明朗,但已知其通過偽裝成庫爾斯克地區戰俘照片的網絡釣魚郵件發起,誘導用戶點擊鏈接下載ZIP文件。這些ZIP文件內含嵌有JavaScript代碼的Microsoft CHM文件,該代碼進一步觸發混淆的PowerShell腳本執行。一旦用戶打開這些文件,不僅會安裝已知間諜軟件SPECTR的組件,還會引入名為FIRMACHAGENT的新惡意軟件。FIRMACHAGENT的主要任務是搜集SPECTR竊取的數據,并將其回傳至遠程服務器。SPECTR作為一款功能強大的惡意軟件,自2019年起便與Vermin組織相關聯,且據信與盧甘斯克人民共和國(LPR)的安全機構有聯系。SPECTR能夠廣泛收集用戶信息,包括但不限于即時通訊應用(Element、Signal、Skype、Telegram等)中的文件、屏幕截圖、登錄憑證及敏感數據。


https://thehackernews.com/2024/08/cert-ua-warns-of-new-vermin-linked.html


4. CannonDesign遭勒索軟件Avos Locker攻擊,1.3 萬客戶數據泄露


8月20日,知名美國建筑設計公司CannonDesign近期向其龐大的13,000余名客戶群發送了數據泄露通知,揭示了2023年初遭遇的重大網絡安全事件。該事件發生在1月19日至25日之間,黑客非法侵入了公司系統并竊取了數據,盡管公司迅速于1月25日發現并介入,但全面的調查工作直至2024年5月3日才告一段落。據通報,泄露的信息可能包含客戶的敏感個人資料,如姓名、地址、社會安全號碼及駕駛執照號,對此,CannonDesign決定為受害者提供為期24個月的信用監控服務。此次數據泄露與Avos Locker勒索軟件攻擊緊密相關,該團伙于2023年2月公開宣稱攻擊了CannonDesign并掌握5.7 TB 的被盜數據,包括公司和客戶文件。在勒索未果后,數據被轉交給了Dark Angels 勒索軟件組織的數據泄露網站 Dunghill Leaks,該組織發布了涉及客戶詳情、項目資料及公司內部信息等2TB 數據。2024 年 2 月,同一數據集在暗網中的黑客論壇上發布,包括 ClubHydra,而數據集的一部分在 2024 年 7 月通過 torrent 在 Breached Forums 上分享。


https://www.bleepingcomputer.com/news/security/cannondesign-confirms-avos-locker-ransomware-data-breach/


5. Chrome緊急修補已遭黑客積極利用的零日漏洞CVE-2024-7971


8月21日,Google近期緊急發布了Chrome瀏覽器的最新版本(128.0.6613.84/85),主要是為了應對一個已被黑客積極利用的零日漏洞CVE-2024-7971。這一高危漏洞存在于V8 JavaScript引擎中,具體表現為類型混淆問題,它允許攻擊者在不法訪問用戶設備時執行惡意代碼,嚴重威脅用戶數據安全,可能導致數據泄露、非法訪問或惡意軟件植入。鑒于該漏洞已在現實中遭到利用,此次更新顯得尤為迫切。除了針對CVE-2024-7971的修復外,Chrome 128版本還一并解決了包括CVE-2024-7964和CVE-2024-7965在內的多個高嚴重性安全漏洞。所有Chrome用戶被強烈建議立即手動檢查并更新至128.0.6613.84或更高版本。此外,對于依賴Chrome處理敏感數據的組織而言,迅速應用此更新并考慮實施額外的安全防護措施(如應用沙盒隔離、強化網絡分段等)變得尤為關鍵,以進一步降低CVE-2024-7971及其他潛在漏洞帶來的安全風險。


https://securityonline.info/urgent-chrome-update-active-zero-day-exploit-detected-cve-2024-7971/


6. 朝鮮黑客UAT-5394部署新型惡意軟件MoonPeak


8月21日,一種新型遠程訪問木馬MoonPeak被揭露為國家支持的朝鮮威脅活動集團的新工具。思科Talos將其與編號為UAT-5394的黑客組織聯系起來,該組織在戰術上與已知的Kimsuky國家行為者存在交集。MoonPeak作為Xeno RAT惡意軟件的變種,被設計用于從云服務中檢索惡意負載,具備加載插件、控制進程及與C2服務器通信等功能。Talos分析指出,UAT-5394可能是Kimsuky的分支或朝鮮網絡機構內另一采用相似戰術的團隊。此次活動顯著特點是構建了新的基礎設施,包括C2服務器、負載托管點和測試環境,以支持MoonPeak的持續迭代。研究人員觀察到,威脅行為者頻繁更新服務器上的惡意文件,并收集感染日志,顯示出高度的靈活性和隱蔽性。值得注意的是,MoonPeak的進化與新基礎設施的建立緊密相連,每次更新都引入更多混淆技術,以阻礙分析和改變通信機制。這種設計確保了MoonPeak的特定版本僅與匹配的C2服務器協同工作,增加了防御難度。UAT-5394迅速構建新基礎設施的能力表明,該組織正積極擴大活動范圍,增設投放點和C2服務器。不過,目前尚不清楚此次活動的目標。


https://thehackernews.com/2024/08/north-korean-hackers-deploy-new.html

上一篇 下一篇