首頁 > 安全研究 > 安全通報 > 安全簡訊

伊朗黑客組織OilRig對伊拉克政府發起惡意軟件攻擊

發布時間 2024-09-14
1. 伊朗黑客組織OilRig對伊拉克政府發起惡意軟件攻擊


9月12日,伊拉克政府網絡近期成為伊朗支持的網絡組織OilRig(亦稱APT34等)的精心策劃攻擊目標。據網絡安全公司Check Point分析,此次攻擊針對伊拉克總理辦公室及外交部等關鍵部門,利用新惡意軟件Veaty和Spearal,通過偽裝文檔和社會工程學手段滲透網絡。OilRig自2014年起在中東地區活躍,擅長網絡釣魚和定制后門攻擊,此次也不例外,展示了其獨特的命令與控制機制,包括自定義DNS隧道和基于被感染電子郵件的C2通道。攻擊鏈通過欺騙性文件啟動,執行PowerShell或Pyinstaller腳本,刪除痕跡并部署惡意軟件。Spearal利用DNS隧道通信,Veaty則通過特定郵箱下載并執行命令。此外,還發現與SSH隧道后門和IIS服務器后門相關的活動,表明攻擊者手段多樣且技術先進。Check Point強調,此次行動凸顯了伊朗威脅行為者在地區內的持續和集中努力,以及其在開發專門C2機制上的蓄意投入。


https://thehackernews.com/2024/09/iranian-cyber-group-oilrig-targets.html


2. TrickMo銀行木馬新變種曝光:增強威脅,竊取隱私


9月12日,Cleafy 威脅情報團隊最近揭露了TrickMo銀行木馬的一個新型變種,這一變種不僅繼承并強化了其前身針對Android設備銀行憑證的傳統威脅能力,還引入了屏幕錄制、鍵盤記錄及遠程控制等高級功能,極大地擴展了其攻擊范圍和破壞力。TrickMo作為TrickBot家族的一員,自2019年首次被發現以來,持續進化,現已成為金融欺詐和個人隱私安全的重大隱患。新變種不僅能攔截一次性密碼(OTP)繞過雙因素認證(2FA),更通過直接控制受害者設備執行設備欺詐(ODF),無視最嚴密的銀行安全防護。尤為嚴重的是,Cleafy發現該變種還從受感染設備中竊取敏感數據,并將這些數據存儲在無保護的命令與控制(C2)服務器上,導致數據泄露風險激增,任何第三方都能輕易獲取這些數據。被盜數據超過 12 GB,包括個人身份證件、財務信息,甚至受害者的私密照片。TrickMo通過濫用Android的輔助功能服務,實現無聲無息的權限提升與攻擊執行,進一步加劇了其威脅的隱蔽性和危害性。


https://securityonline.info/beware-the-new-trickmo-banking-trojan-enhanced-features-increased-danger/


3. 網絡威脅新動向:合法Python庫成攻擊利器


9月12日,安全研究人員Mertens近期發布了一份報告,揭示了網絡威脅領域的一項嚴峻趨勢:網絡犯罪分子正日益巧妙地利用合法的Python庫執行惡意活動。這些庫,如pyWinhook、psutil、win32gui和pyperclip,原本用于軟件開發和自動化,卻被犯罪分子濫用以實施鍵盤記錄、系統監控、剪貼板劫持等惡意行為。Mertens指出,PyPi.org等龐大庫生態系統的存在,為惡意軟件開發者提供了豐富的資源。盡管這些庫本身無害,但它們的強大功能被不法分子利用,以逃避檢測,實現代碼注入、數據泄露等目的。例如,discord庫被重新包裝為C2平臺,ftplib、dropbox等工具則成為數據泄露的幫兇。更令人擔憂的是,攻擊者還采用Python混淆技術,如marshal和py_compile,進一步模糊惡意代碼,增加逆向工程的難度。這種策略使得惡意軟件更難被安全分析師察覺,從而加劇了網絡安全防御的復雜性。


https://securityonline.info/cybersecurity-alert-python-libraries-exploited-for-malicious-intent/


4. 西雅圖港遭Rhysida勒索軟件攻擊


9月13日,西雅圖港作為監管西雅圖地區海港與機場的重要政府機構,近期確認其系統在過去三周內遭遇了Rhysida勒索軟件團伙的惡意攻擊。該攻擊始于8月,迫使港口緊急隔離部分關鍵系統以遏制影響,直接干擾了西雅圖-塔科馬國際機場的航班預訂與登機流程,導致航班延誤。三周后,港口官方正式指認Rhysida為幕后元兇,并聲明自事發后系統未再受新的未授權活動侵擾,機場及港口設施仍屬安全。此次攻擊中,Rhysida團伙成功滲透港口計算機系統,加密關鍵數據,導致包括行李處理、自助服務、Wi-Fi網絡、信息顯示等多個服務中斷。盡管港口迅速響應,恢復了大部分系統,但仍在全力修復如官方網站、訪客通行證服務等關鍵功能。值得注意的是,港口堅決拒絕支付贖金,彰顯了其維護公共資金安全、不向犯罪妥協的立場。Rhysida作為一種新興的勒索軟件即服務(RaaS),自今年5月活躍以來,已多次對全球多個領域發起攻擊。,CISA與FBI等機構已發出警告,提醒各行業加強網絡安全防護,共同抵御勒索軟件的侵害。


https://www.bleepingcomputer.com/news/security/port-of-seattle-says-rhysida-ransomware-was-behind-august-attack/


5. Ivanti CSA高危漏洞遭利用,聯邦機構限期修補


9月13日,Ivanti確認其云服務設備(CSA)解決方案中存在高危漏洞CVE-2024-8190,該漏洞已遭攻擊者利用。起初,Ivanti報告稱未發現客戶受影響,但隨后確認少數客戶已中招。該漏洞允許遠程認證的管理員通過命令注入在CSA 4.6版本上執行遠程代碼。Ivanti建議采用特定配置降低風險,并檢查管理用戶權限及系統日志以檢測攻擊嘗試。同時,公司敦促客戶從已終止支持的CSA 4.6.x升級到CSA 5.0版本,或至少更新至CSA 4.6的Patch 519。此外,美國網絡安全和基礎設施安全局(CISA)已將CVE-2024-8190加入其已知被利用漏洞目錄,要求聯邦機構在10月4日前修復。CISA強調此類漏洞對聯邦企業構成重大威脅。Ivanti在全球擁有廣泛的合作伙伴網絡,其產品和服務被超過40,000家公司用于系統管理,此次事件再次凸顯了及時修復安全漏洞的重要性。


https://www.bleepingcomputer.com/news/security/ivanti-warns-high-severity-csa-flaw-is-now-exploited-in-attacks/


6. Trojan Ajina.Banker肆虐中亞:偽裝合法應用竊取銀行信息


9月13日,名為Trojan Ajina.Banker的新型Android惡意軟件正肆虐中亞地區,以烏茲別克斯坦神話中的惡毒精靈命名,通過偽裝成合法應用程序如銀行服務和政府門戶,利用Telegram等平臺上的社交工程策略誘導用戶下載并運行惡意文件。自2023年11月以來,已發現約1,400種變種,主要目標為烏茲別克斯坦用戶,但攻擊范圍已擴散至多個國家。Ajina.Banker通過發送誘人優惠和促銷信息的惡意鏈接,以及分享托管惡意軟件的頻道鏈接,利用用戶的好奇心進行傳播。其本地化推廣策略在區域社區中制造緊迫感,促使用戶不經思考即點擊鏈接。該惡意軟件不僅能收集金融應用信息、SIM卡詳情,還能攔截短信以獲取2FA驗證碼,展現出高度適應性和進化能力。值得注意的是,Ajina.Banker采用聯盟計劃模式運營,核心團隊與聯盟網絡合作,通過分享被盜資金激勵分發和感染鏈的擴大。面對這一威脅,專家建議保持警惕,避免點擊未經請求的消息和下載鏈接,堅持使用官方應用商店下載應用,并仔細檢查應用權限。


https://hackread.com/android-malware-ajina-banker-steal-2fa-codes-telegram/

上一篇 下一篇