首頁 > 安全研究 > 安全通報 > 安全簡訊

SambaSpy惡意軟件通過釣魚電子郵件攻擊意大利用戶

發布時間 2024-09-23
1. SambaSpy惡意軟件通過釣魚電子郵件攻擊意大利用戶


9月19日,卡巴斯基實驗室近期揭露了一項高度定制化的惡意軟件活動,名為SambaSpy,其獨特之處在于僅針對意大利用戶。這款遠程訪問木馬(RAT)通過偽裝成意大利房地產公司的合法郵件傳播,郵件內含看似無害的發票查看鏈接,實則導向惡意JAR文件下載。SambaSpy利用語言檢查機制,確保僅感染意大利語系統,展現了攻擊者的高度專業性和精準定位能力。一旦安裝,SambaSpy賦予攻擊者對受感染設備的全面控制權,包括文件管理、網絡攝像頭監控、鍵盤記錄、屏幕截圖、瀏覽器憑證竊取及遠程桌面操作等??ò退够粉櫟絻蓷l感染鏈,均利用電子郵件作為入侵門戶,其中一條更為復雜,通過合法意大利云發票服務FattureInCloud作為掩護,進一步欺騙受害者。值得注意的是,盡管活動主要聚焦于意大利,但發現的巴西葡萄牙語痕跡及跨地區鏈接表明攻擊者可能擁有更廣泛的野心。此次事件不僅凸顯了網絡安全威脅的隱蔽性與復雜性,也提醒了全球用戶需加強防范意識,特別是針對高度定制化的網絡攻擊。


https://securityonline.info/sambaspy-rat-targets-italian-users-in-a-unique-malware-campaign/


2. Ivanti CSA 4.6嚴重漏洞CVE-2024-8963已被積極利用


9月19日,企業軟件巨頭Ivanti近期揭露了其Ivanti Connect Secure Appliance(CSA)4.6版本中存在的一個高危漏洞CVE-2024-8963,該漏洞嚴重性評級高達CVSS 9.4,且已被發現正被惡意利用,對使用已停產(EOL)版本的客戶構成重大安全威脅。此漏洞為路徑遍歷類型,允許未授權遠程攻擊者非法訪問CSA 4.6的受限區域,甚至與另一漏洞CVE-2024-8190結合使用時,能繞過身份驗證執行任意命令。鑒于CSA 4.6已停止接收官方安全更新,Ivanti緊急發布了CSA 4.6補丁519以修復該漏洞,但此補丁標志著對該版本的最后一次維護。CISA已將此漏洞列為已知被利用的漏洞,強烈建議各組織迅速行動,采取補救措施。Ivanti強調,除了升級到CSA 5.0版本外,不會為4.6版本提供進一步補丁,因此,盡管臨時補丁提供了短期緩解,但長遠來看,向新版本遷移是確保系統安全的唯一途徑。


https://securityonline.info/critical-flaw-in-ivanti-csa-4-6-cve-2024-8963-actively-exploited-urgent-upgrade-required/


3. LockBit勒索軟件再襲eFile.com,數百萬美國人稅務數據安全告急


9月19日,勒索軟件組織LockBit近期再次將目標對準了美國在線報稅服務eFile.com,這是一個經美國國稅局(IRS)官方授權的稅務申報平臺。據Cyber Express報道,LockBit要求eFile在14天內支付贖金,但不同于常規勒索軟件操作,此次攻擊并未公開任何被竊取數據的樣例來證實其威脅。截至目前,關于攻擊的具體規模、數據泄露情況及犯罪動機的信息仍保密,eFile.com官網則保持正常運作。數百萬依賴eFile報稅的美國人面臨潛在風險,一旦攻擊被確認,納稅人的個人和財務數據恐遭泄露,為身份盜竊、稅務欺詐等不法行為提供溫床。值得注意的是,eFile并非首次成為LockBit的獵物,早在2022年稅務申報高峰期,LockBit就曾聲稱入侵eFile,顯示出犯罪分子對高流量時段的精準打擊意圖。此外,2023年eFile還曾遭遇“efail”惡意軟件入侵,利用平臺漏洞竊取用戶敏感信息,事件雖及時得到控制,卻再次敲響了金融服務網絡安全防護的警鐘。


https://thecyberexpress.com/u-s-taxpayer-data-lockbit-ransomware-efile/


4. Gleaming Pisces利用PyPI分發PondRAT后門


9月19日,Unit 42 研究團隊揭露了朝鮮附屬的APT組織Gleaming Pisces發起的一項新網絡攻擊,該組織利用含有惡意代碼的Python軟件包,針對Linux和macOS系統發起攻擊。這些惡意軟件包通過PyPI存儲庫分發,包括“real-ids”、“coloredtxt”等,一旦安裝即會部署名為PondRAT的后門程序,它是POOLRAT的輕量級版本,具備遠程控制受害者系統的能力。攻擊者通過PondRAT可上傳下載文件、執行命令甚至暫停系統操作,其跨平臺特性使得攻擊尤為危險。Gleaming Pisces以其與偵察總局的關聯及在加密貨幣領域的復雜攻擊活動著稱,特別是通過AppleJeus活動分發假冒加密貨幣軟件。此次攻擊中,PondRAT與AppleJeus惡意軟件存在代碼相似性,表明是Gleaming Pisces持續滲透供應鏈的一部分。盡管PyPI已移除相關惡意包,但中毒軟件包的威脅依舊不容忽視。為應對此類威脅,組織需加強安全措施,包括在引入第三方軟件包時進行嚴格的代碼審查和驗證,以及實施運行時監控。


https://securityonline.info/north-korean-hackers-gleaming-pisces-poisoned-python-packages-target-linux-macos/


5. 新加坡BingX平臺遭黑客攻擊,損失超4400萬美元


9月21日,新加坡加密貨幣交易平臺BingX周五確認,其平臺在遭受網絡攻擊后,損失了超過4400萬美元的加密貨幣。周四晚間,區塊鏈安全公司監測到資金異常流動,隨后BingX宣布因“錢包維護”暫停服務,并發布聲明稱檢測到熱錢包可能遭受黑客攻擊,已緊急轉移資產并暫停提款服務。初步估算顯示,直接損失約為4470萬美元,但具體數額仍在核實中。BingX首席產品官Vivien Lin通過社交媒體表示,公司將用自有資金全額彌補損失,并強調業務運營未受影響,提款和存款服務預計24小時內恢復。同時,BingX正與SlowMist和Chainalysis等安全公司合作追蹤被盜資金。近期,亞洲地區多家加密平臺頻發安全事件,資金被盜金額巨大,執法機構已加強對此類犯罪的打擊力度。這一系列事件再次凸顯了加密貨幣行業在安全性方面面臨的挑戰。


https://therecord.media/44-million-stolen-from-crypto-platform-singapore


6. AsyncRAT惡意軟件偽裝破解軟件誘騙用戶下載


9月21日,McAfee Labs揭示了一個嚴峻的網絡安全趨勢:網絡犯罪分子通過偽裝流行破解軟件如CCleaner、EaseUS Partition Master等,傳播名為AsyncRAT的惡意軟件。這些假冒應用利用了用戶追求免費高級軟件的心理,實則內含復雜的遠程訪問木馬。AsyncRAT通過精心設計的偽裝策略,包括嵌入合法軟件可執行文件,成功欺騙用戶下載并執行。安裝后,該惡意軟件會利用Windows Defender排除項和混淆技術躲避檢測,并通過環境變量操作和隱蔽的bat文件維持其操作不被發現。其主要目的是建立對受感染機器的遠程連接,讓攻擊者能進行按鍵記錄、數據竊取等惡意活動。AsyncRAT還采用AES解密和Gzip解壓縮來隱藏配置,增強其隱蔽性。自2024年3月以來,這種威脅在全球范圍內迅速蔓延,顯示出網絡犯罪分子利用用戶心理弱點傳播惡意軟件的高超手段。


https://securityonline.info/beware-of-fake-downloads-asyncrat-spreads-via-popular-software-cracks/

上一篇 下一篇