首頁 > 安全研究 > 安全通報 > 安全簡訊

越南威脅組織利用惡意軟件瞄準數字營銷專家

發布時間 2024-10-22
1. 越南威脅組織利用惡意軟件瞄準數字營銷專家


10月20日,Cyble 研究與情報實驗室 (CRIL) 最近揭露了一次針對數字營銷專業人士,特別是 Facebook 和 Instagram 廣告專家的復雜攻擊活動。自 2022 年 7 月起,一個越南威脅組織一直在傳播 Ducktail 和 Quasar RAT 等惡意軟件,采用網絡釣魚、沙盒逃避和特權升級技術。攻擊始于包含偽裝成 PDF 的惡意 LNK 文件的網絡釣魚郵件,這些文件會執行 PowerShell 命令,下載混淆和編碼過的腳本,通常托管在 Dropbox 等平臺上。通過多重反沙盒和反調試檢查,惡意軟件確保僅在真實環境中運行。一旦確認目標,腳本將解密有效載荷,部署 Quasar RAT,使攻擊者能完全控制受害者系統,竊取數據和憑據。該組織使用 AES 加密、反調試技術和基于 .NET 的高級混淆,逃避傳統安全解決方案。此外,該組織不斷改進策略,整合惡意軟件即服務 (MaaS) 產品,提升業務范圍。


https://securityonline.info/ducktail-quasar-rat-vietnamese-threat-actors-target-meta-ads-professionals/


2. Lumma Stealer:通過偽造CAPTCHA與CDN傳播的持續信息竊取威脅


10月20日,Lumma Stealer 是一種通過惡意軟件即服務(MaaS)提供的信息竊取惡意軟件,專門竊取敏感數據如密碼、瀏覽器信息和加密貨幣錢包詳情。攻擊者已從傳統的網絡釣魚轉向利用合法軟件傳播 Lumma Stealer,并通過偽造的 CAPTCHA 驗證欺騙用戶執行惡意載荷,使其成為一種持續威脅。Qualys威脅研究部門(TRU)持續監控 Lumma Stealer 活動,并發現攻擊者使用多階段無文件技術傳遞最終載荷,增加了威脅的欺騙性和持久性。攻擊鏈從用戶被重定向到虛假 CAPTCHA 網站開始,通過點擊驗證按鈕觸發 PowerShell 命令執行,下載并啟動惡意軟件下載程序。最終,惡意軟件 Lumma Stealer(VectirFree.exe)通過進程挖空技術注入合法程序,逃避檢測,并在系統中搜索加密貨幣和密碼相關的敏感文件和數據。Lumma Stealer 還會與命令和控制(C2)服務器通信,以竊取被盜數據,并嘗試使用特定頂級域名連接到 C2 服務器域。威脅行為者使用內容分發網絡(CDN)進行載荷傳送,增加了威脅的復雜性。


https://blog.qualys.com/vulnerabilities-threat-research/2024/10/20/unmasking-lumma-stealer-analyzing-deceptive-tactics-with-fake-captcha


3. Roundcube漏洞遭黑客利用,網絡釣魚攻擊竊取用戶憑證


10月21日,黑客利用現已修補的Roundcube漏洞CVE-2024-37383(CVSS評分6.1)發起了網絡釣魚攻擊,旨在從開源網絡郵件軟件中竊取用戶憑證。Positive Technologies的研究人員發現,這些攻擊是通過一封包含隱藏附件和特定JavaScript代碼的電子郵件進行的,該郵件試圖利用Roundcube Webmail中的漏洞。該漏洞影響1.5.7之前的版本和1.6.7之前的1.6.x版本,攻擊者可通過SVG動畫屬性進行XSS攻擊,該漏洞已在2024年5月發布的更新中修復。攻擊者通過誘騙用戶打開特制郵件,在Web瀏覽器上下文中執行任意JavaScript代碼。在攻擊中,JavaScript負載會保存一個空文檔并從郵件服務器檢索消息,同時在Roundcube界面中創建一個虛假的登錄表單,捕獲用戶憑據并發送到惡意服務器。盡管Roundcube Webmail可能不是使用最廣泛的電子郵件客戶端,但由于政府機構普遍使用它,因此仍是黑客的重要目標。目前研究人員已發布該漏洞的PoC利用代碼,但無法將此次攻擊與已知參與者聯系起來。


https://securityaffairs.com/170055/hacking/roundcube-flaw-exploited-in-phishing-attack.html


4. Transak數據泄露事件影響超9.2萬人


10月22日,加密支付處理商Transak近期遭遇數據泄露事件,一名員工的筆記本電腦被黑客入侵,導致超過92,000名用戶的信息被泄露。盡管該公司聲稱沒有財務敏感或關鍵信息泄露,但用戶的姓名、生日、護照、駕照信息及自拍照等個人信息均受影響。此次事件僅影響了Transak約1%的用戶群,作為全球領先的加密貨幣基礎設施提供商之一,Transak為近600萬用戶提供服務,覆蓋160個國家和美國46個州。Transak強調,作為一個非托管平臺,用戶資金安全未受影響,用戶始終對自己的資產擁有完全控制權。然而,Stormous勒索軟件團伙已承認此次盜竊行為,并聲稱竊取了300GB的數據,包括政府頒發的身份證、財務報表等,計劃出售或泄露數據以索取贖金。Transak已聘請網絡安全公司調查此事,并計劃通過電子郵件聯系受影響用戶。同時,公司已通知英國信息專員辦公室及歐盟和美國其他監管機構,并敦促客戶如有疑問請聯系公司。


https://therecord.media/crypto-payment-services-data-breach


5. 塞浦路斯遭親巴勒斯坦黑客組織協同網絡攻擊


10月22日,塞浦路斯近期遭受了多個親巴勒斯坦黑客組織發起的協同網絡攻擊,目標直指其關鍵基礎設施和政府網站。盡管大多數攻擊未能成功,但仍對銀行、機場和政府網站等目標設施造成了暫時中斷。黑客組織在Telegram和暗網論壇上發布聲明,聲稱將入侵塞浦路斯機構以“懲罰”該國對以色列的支持。盡管塞浦路斯在巴以沖突中保持中立,但歷來支持以色列軍隊,這成為黑客攻擊的可能動機。受影響的服務包括政府門戶網站、電力電信部門、主要銀行、石油公司和機場運營商等,多數報告稱遭受了分布式拒絕服務(DDoS)攻擊,黑客還聲稱已竊取敏感數據。然而,機場運營并未受影響,僅在線停車預訂服務受阻。塞浦路斯數字部表示,政府中央在線門戶網站僅短暫無法訪問,其他部委或政府服務網站未受影響。最高網絡官員喬治·邁克爾德斯呼吁公司做好準備,迅速抵御未來攻擊并恢復服務,同時表示沒有必要恐慌。


https://therecord.media/cyprus-critical-infrastructure-cyberattack-israel-palestine


6. WordPress網站頻遭黑客攻擊,惡意插件推送竊取信息軟件


10月21日,WordPress網站近期頻繁遭受黑客攻擊,攻擊者通過安裝惡意插件來推送竊取信息的惡意軟件。自2023年起,ClearFake惡意活動已在受感染網站上顯示虛假的網絡瀏覽器更新橫幅,而2024年引入的ClickFix活動則偽裝成包含修復程序的軟件錯誤消息,實則下載并安裝竊取信息的惡意軟件。這些活動變得越來越普遍,威脅行為者會入侵網站并顯示包含Google Chrome、Google Meet會議、Facebook甚至驗證碼頁面的虛假錯誤橫幅。據GoDaddy報告,ClearFake/ClickFix威脅行為者已入侵超過6000個WordPress網站并安裝惡意插件來顯示相關虛假警報。這些惡意插件使用與合法插件相似的名稱,如Wordfence Security和LiteSpeed Cache,或通用的虛構名稱,一旦安裝,就會將惡意JavaScript腳本注入網站的HTML中,進而加載ClearFake或ClickFix腳本來顯示虛假橫幅。威脅行為者似乎正在利用被盜的管理員憑據登錄WordPress網站并以自動方式安裝插件。WordPress運營人員應立即檢查已安裝插件的列表,并刪除任何未知插件,同時將所有管理員用戶的密碼重置為唯一密碼,以確保網站安全。


https://www.bleepingcomputer.com/news/security/over-6-000-wordpress-hacked-to-install-plugins-pushing-infostealers/

上一篇 下一篇