首頁 > 安全研究 > 安全通報 > 安全簡訊

PipeMagic木馬利用偽造ChatGPT應用程序攻擊沙特阿拉伯

發布時間 2024-10-17

1. PipeMagic木馬利用偽造ChatGPT應用程序攻擊沙特阿拉伯


10月15日,卡巴斯基全球研究與分析團隊(GReAT)近期披露了一項新的網絡攻擊活動,該活動利用一種名為PipeMagic的復雜后門木馬進行傳播,其地理目標已從亞洲擴展到沙特阿拉伯。此次攻擊中,網絡犯罪分子采用了一款用Rust開發的偽造ChatGPT應用程序作為初始感染媒介,該程序利用常見的Rust庫來規避初步檢測,但在執行時僅顯示空白屏幕,并隱藏一個包含惡意負載的加密數據數組。在后續階段,惡意軟件會采用名稱哈希算法定位關鍵的Windows API函數,以分配內存、加載PipeMagic后門、配置設置并啟動惡意軟件。PipeMagic木馬具有獨特的功能,能夠生成一個16字節的隨機數組,用于建立命名管道以實現隱蔽通信和命令執行,其命令和控制(C2)服務器被托管在Microsoft Azure上。


https://securityonline.info/pipemagic-trojan-exploits-fake-chatgpt-app-to-target-saudi-arabian-organizations/


2. ErrorFather活動利用未被發現Cerberus銀行木馬進行復雜攻擊


10月15日,網絡安全提供商Cyble報告了一項新的復雜惡意活動,該活動正在使用未被發現的Cerberus Android銀行木馬負載。Cyble發現了15個冒充Chrome和Play Store應用的惡意樣本,這些樣本采用多階段投放器部署銀行木馬負載,并利用了Cerberus銀行木馬。Cerberus是一種可以竊取銀行應用程序登錄憑據、信用卡詳細信息和其他個人信息的惡意程序,自2019年出現以來已成為最著名的銀行木馬之一。盡管其源代碼在2020年泄露,導致出現了新的變種如Alien和ERMAC,但Cerberus及其分支仍在不斷被重新利用。此次ErrorFather活動中,威脅行為者對惡意軟件進行了輕微修改,但主要基于原始的Cerberus代碼,采用了復雜的感染鏈,使檢測和刪除工作變得復雜。最終的有效載荷采用鍵盤記錄、覆蓋攻擊、VNC和域生成算法(DGA)來執行惡意活動。Cyble建議用戶僅從官方應用商店下載軟件,使用知名防病毒和互聯網安全軟件包,使用強密碼和多因素身份驗證,啟用生物識別安全功能,并確保Android設備上啟用了Google Play Protect。


https://www.infosecurity-magazine.com/news/cerberus-android-banking-trojan/


3. CISA警告SolarWinds WHD軟件嚴重安全漏洞正被積極利用


10月16日,美國網絡安全和基礎設施安全局(CISA)宣布,已將影響SolarWinds Web Help Desk (WHD) 軟件的嚴重安全漏洞CVE-2024-28987(CVSS評分9.1)添加到其已知被利用漏洞(KEV)目錄中,并指出已有證據表明該漏洞正在被主動利用。此漏洞與硬編碼憑證相關,可能使遠程未經身份驗證的用戶獲得訪問權限并進行數據修改。SolarWinds在2024年8月下旬首次公開了該漏洞詳情,隨后網絡安全公司Horizon3.ai進一步提供了技術細節。安全研究員扎克·漢利指出,該漏洞能讓攻擊者遠程讀取和修改幫助臺票證中的敏感信息,如重置密碼請求和服務帳戶憑據。盡管目前尚不清楚該漏洞的具體利用情況和利用者身份,但這一發現緊隨CISA兩個月前將同一軟件中的另一高危漏洞(CVE-2024-28986,CVSS評分9.8)納入KEV目錄之后。鑒于此,聯邦民事行政部門(FCEB)機構需在2024年11月5日前應用最新修復程序(版本12.8.3 Hotfix 2或更高),以確保網絡安全。


https://thehackernews.com/2024/10/cisa-warns-of-active-exploitation-in.html


4. 黑客利用EDRSilencer紅隊工具繞過安全防護進行攻擊


10月15日,研究人員近日發現了一種名為EDRSilencer的紅隊操作工具,該工具能夠識別安全工具并將其向管理控制臺發出的警報靜音,從而幫助攻擊者逃避檢測。EDRSilencer是一個開源工具,受MdSec NightHawk FireBlock啟發而開發,可檢測運行中的端點檢測和響應(EDR)進程,并使用Windows過濾平臺(WFP)監控、阻止或修改網絡流量。通過自定義規則,攻擊者可以破壞EDR工具與其管理服務器之間的數據交換,阻止警報和遙測報告的發送。在最新版本中,EDRSilencer可檢測并阻止16種現代EDR工具。趨勢科技等網絡安全公司對EDRSilencer進行了測試,發現一些受影響的EDR工具可能仍能發送報告,但EDRSilencer允許攻擊者擴展目標進程列表以涵蓋各種安全工具。這使得惡意軟件或其他惡意活動可能仍未被發現,增加了攻擊成功的可能性。趨勢科技建議將EDRSilencer作為惡意軟件進行檢測,并實施多層次的安全控制來防范此類攻擊。


https://www.bleepingcomputer.com/news/security/edrsilencer-red-team-tool-used-in-attacks-to-bypass-security/


5. OwlTing因AWS S3存儲桶配置錯誤,暴露765,000用戶敏感數據


10月15日,區塊鏈技術公司OwlTing因配置錯誤的亞馬遜S3存儲桶,意外暴露了765,000名用戶的敏感數據,主要影響臺灣的酒店客人。泄露的數據包括全名、電話號碼、電子郵件地址以及酒店預訂詳情等個人信息。OwlTing成立于2010年,是一家服務于全球旅游、食品安全、酒店、媒體和其他電子商務領域并提供知名區塊鏈解決方案的臺灣公司。OwlTing確認了數據泄露,但聲稱不涉及敏感數據,然而Cybernews研究人員警告說,這些信息可能導致身份盜竊和欺詐。泄露的數據對網絡犯罪分子來說非常有價值,可能被用于魚叉式網絡釣魚、語音釣魚、短信釣魚等攻擊。Cybernews建議采取一系列措施來緩解亞馬遜S3存儲桶暴露的風險,包括限制公開訪問、監控訪問日志、啟用服務器端加密等。


https://cybernews.com/security/taiwan-visitors-exposed-in-massive-data-leak-owlting/


6. 朝鮮黑客組織ScarCruft利用IE零日漏洞發起攻擊


10月16日,朝鮮黑客組織ScarCruft(又稱APT37或RedEyes)于5月發起大規模攻擊,利用Internet Explorer的零日漏洞CVE-2024-39178,通過特制的Toast彈出廣告感染目標設備,植入RokRAT惡意軟件以竊取數據。該漏洞為類型混淆漏洞,ASEC和NCSC發現后迅速通知微軟,微軟于8月發布安全更新修復。研究人員指出,此次攻擊的漏洞與ScarCruft過去使用的CVE-2022-41128漏洞相似,僅增加三行代碼以繞過舊修復。ScarCruft入侵韓國廣告公司服務器,在流行免費軟件中推送含惡意iframe的Toast廣告,當由Internet Explorer渲染時,觸發遠程代碼執行。RokRAT變種每30分鐘將特定文件傳輸至Yandex云實例,同時執行鍵盤記錄、監視剪貼板更改和屏幕截圖捕獲。攻擊通過四步過程注入“explorer.exe”進程以逃避檢測,若檢測到Avast或Symantec防病毒軟件,則將惡意軟件注入隨機可執行文件中。通過在Windows啟動時添加最終有效負載并注冊到系統調度程序中,實現持久性感染。


https://www.bleepingcomputer.com/news/security/malicious-ads-exploited-internet-explorer-zero-day-to-drop-malware/

上一篇 下一篇