首頁 > 安全研究 > 安全通報 > 安全簡訊

全球70余組織遭Voldemort間諜軟件攻擊

發布時間 2024-09-02

1. 全球70余組織遭Voldemort間諜軟件攻擊


9月1日,Proofpoint 研究人員揭露了一起復雜的間諜活動,該活動通過名為“Voldemort”的定制惡意軟件,影響全球70多個組織。此惡意軟件通過超過20,000封釣魚郵件傳播,特別是8月17日激增近6,000封,郵件偽裝多國稅務機關誘騙用戶。攻擊鏈利用Google AMP Cache URL、Cloudflare隧道、WebDAV共享及Python腳本等技術,巧妙引導用戶下載并執行惡意LNK或ZIP文件。Voldemort的一大特點是利用Google表格進行命令與控制(C2),規避傳統安全檢測,顯示了高度的隱蔽性和創新性。其目標主要鎖定在保險公司、航空航天、交通運輸及大學等18個垂直行業,且精準定位受害者至其居住國,顯示出深層次的間諜動機。此外,該惡意軟件還采用罕見的Windows .search-ms文件格式,偽裝遠程文件為本地文件,結合DLL劫持技術,進一步增加感染成功率。然而,攻擊活動中也暴露出一些簡陋之處,如使用簡單的文件命名約定,使得該活動呈現出“弗蘭肯斯坦式混合體”的特點,難以判斷威脅行為者的真實技術水平。


https://securityonline.info/cyber-espionage-campaign-leverages-novel-tactics-and-voldemort-malware-to-target-global-organizations/https://securityonline.info/cyber-espionage-campaign-leverages-novel-tactics-and-voldemort-malware-to-target-global-organizations/


2. APT組織Citrine Sleet利用Chrome 0day部署FudModule rootkit


8月31日,與朝鮮有關聯的APT組織Citrine Sleet(亦稱AppleJeus、Labyrinth Chollima等)利用新修補的Google Chrome零日漏洞CVE-2024-7971,成功部署了FudModule rootkit。該漏洞(CVSS評分8.8)影響特定版本的Chromium,允許攻擊者在沙盒化的渲染器進程中執行遠程代碼。Citrine Sleet通過精心設計的釣魚策略,誘使受害者訪問其控制的惡意域名,進而觸發CVE-2024-7971漏洞,下載并執行包含Windows沙盒逃逸漏洞(CVE-2024-38106)和FudModule rootkit的shellcode。FudModule rootkit采用直接內核對象操作(DKOM)技術,從用戶模式運行并篡改內核,干擾安全機制,盡管在目標設備上未檢測到后續惡意活動。值得注意的是,CVE-2024-38106雖已修復,但可能與Citrine Sleet的利用活動無直接關聯,暗示可能存在“漏洞碰撞”現象。Microsoft強調,組織應確保系統及時更新,部署具備全面網絡攻擊鏈可見性的安全解決方案,并加強操作環境配置,以有效檢測和阻止此類高級威脅。


https://securityaffairs.com/167848/breaking-news/north-korea-linked-apt-exploited-chrome-zero-day-cve-2024-7971.html


3. GitHub 遭濫用:數千條虛假修復評論分發Lumma Stealer惡意軟件


8月31日,GitHub 平臺近期遭遇了濫用,不法分子通過在項目評論中發布虛假修復程序的方式,廣泛分發 Lumma Stealer 信息竊取惡意軟件。這一活動最初由teloxide rust庫的貢獻者在Reddit上揭露,隨后BleepingComputer深入調查發現,數千條類似評論已遍布GitHub多個項目,誘導用戶下載并執行包含惡意軟件的文件。這些評論偽裝成問題解決方案,誘騙用戶從mediafire.com或bit.ly鏈接下載名為“fix.zip”的加密存檔,并提示使用統一密碼“changeme”解鎖。三天內,此類推廣惡意軟件的評論數量激增至超過29,000條。下載的存檔中包含DLL文件和可執行文件x86_64-w64-ranlib.exe,經分析確認為Lumma Stealer,一種能夠深入用戶瀏覽器竊取敏感信息的高級信息竊取工具。此外,它還針對加密貨幣錢包和特定命名的文本文件進行搜索,收集可能包含私鑰和密碼的數據。盡管GitHub迅速響應并刪除了這些惡意評論,但已有用戶受害。受影響用戶需立即為所有賬戶更換唯一密碼,并將加密貨幣轉移至新錢包。


https://www.bleepingcomputer.com/news/security/github-comments-abused-to-push-password-stealing-malware-masked-as-fixes/


4. 復雜網絡釣魚攻擊揭露:AsyncRAT與Infostealer聯手威脅用戶安全


8月31日,eSentire 威脅響應部門(TRU)的研究人員揭露了一項復雜的網絡釣魚攻擊,該攻擊利用精心設計的感染鏈分發 AsyncRAT 遠程訪問木馬(RAT)及其信息竊取插件 Infostealer。攻擊始于一封看似無害的釣魚郵件,內含偽裝成正常文件的惡意存檔。執行后,這一存檔觸發了一系列復雜操作,包括下載并執行混淆的 VBScript 和 PowerShell 腳本,最終部署 AsyncRAT 及其插件。攻擊過程中,惡意軟件通過下載看似無害的圖像文件(實為 ZIP 存檔)并解壓出更多惡意腳本和可執行文件,在受害者系統中扎根。它利用計劃任務維持持久性,每兩分鐘執行一次惡意代碼,并通過進程空心化技術將 AsyncRAT 注入合法進程中以逃避檢測。AsyncRAT 不僅為攻擊者提供對受感染系統的遠程控制權,還搭載了 Infostealer 插件,該插件專門瞄準網絡瀏覽器中的加密錢包擴展和2FA驗證工具,旨在竊取包括密碼、憑據和加密貨幣錢包在內的寶貴數據。eSentire TRU 呼吁用戶保持高度警惕。


https://securityonline.info/evasive-phishing-campaign-delivers-asyncrat-and-infostealer/


5. People Data Labs1.7億條敏感信息無密碼暴露


8月30日,Cybernews研究團隊近期發現了一項重大數據泄露事件,涉及超過1.7億條敏感個人信息在互聯網上公開暴露,數據內容詳盡,包括全名、聯系方式、地址、教育背景及工作經歷等。此次泄露的數據集標有“PDL”標識,指向舊金山的數據經紀公司People Data Labs(PDL),該公司自稱擁有15億個人檔案數據庫,服務于企業營銷、銷售及招聘等領域。盡管數據泄露源頭尚未明確,但Elasticsearch服務器未設密碼的嚴重安全漏洞成為焦點,這種配置極易被黑客利用,迅速竊取數據,對個人隱私構成重大威脅,增加身份盜竊、欺詐及網絡釣魚風險。值得注意的是,PDL此前已發生過類似的數據泄露事故,同樣因未保護的Elasticsearch服務器導致,涉及數據規模更為龐大。此次泄露的“Version 26.2”數據集可能與此前事件有關聯,再次暴露了PDL在數據安全方面的重大缺陷。


https://cybernews.com/security/people-data-labs-data-leak/


6. Roblox開發人員頻遭攻擊,偽造npm包傳播惡意軟件


9月2日,Roblox 開發人員成為一系列惡意攻擊的目標,這些攻擊通過偽造 npm 包,尤其是模仿流行的 noblox.js 庫,企圖竊取敏感數據和破壞系統。自今年初以來,多個名為 noblox.js 變種的軟件包被確認為惡意,包括 noblox.js-proxy-server 和 noblox-ts,它們通過品牌劫持、組合搶注和星號劫持等技術偽裝成合法庫,誘導開發者下載。這些惡意包如 noblox.js-async、noblox.js-thread 等,盡管下載量有限,卻成功欺騙了用戶。此外,攻擊者還采用 starjacking 手法,將虛假軟件包的源存儲庫標記為實際 noblox.js 庫,增強信任度。這些惡意軟件包內嵌的代碼不僅竊取 Discord 令牌,還通過修改 Windows 注冊表和更新防病毒排除列表來逃避檢測和維持持久性。每當用戶嘗試打開 Windows 設置應用時,惡意軟件便會被激活。最終目標是部署 Quasar RAT,使攻擊者能遠程控制受感染系統,并將收集到的信息通過 Discord webhook 發送至 C2 服務器。盡管已有措施清除這些惡意軟件,但新軟件包仍不斷出現,提醒開發人員需保持高度警惕。


https://thehackernews.com/2024/09/malicious-npm-packages-mimicking.html

上一篇 下一篇