首頁 > 安全研究 > 安全通報 > 安全簡訊

CRON#TRAP網絡釣魚活動:利用Linux虛擬機感染Windows

發布時間 2024-11-06

1. CRON#TRAP網絡釣魚活動:利用Linux虛擬機感染Windows


11月4日,一項名為“CRON#TRAP”的新型網絡釣魚活動利用Linux虛擬機感染Windows系統,通過內置后門秘密訪問企業網絡。該活動通過偽裝成“OneAmerica 調查”的網絡釣魚電子郵件,發送一個包含285MB ZIP檔案的大型文件,內含一個Windows快捷方式和QEMU虛擬機應用程序。啟動快捷方式后,會執行PowerShell命令,將下載的存檔提取到指定文件夾,并在設備上設置和啟動自定義QEMU Linux虛擬機。該虛擬機名為“PivotBox”,預裝了后門,可確保持久的C2通信,使攻擊者在后臺進行操作。由于QEMU是合法工具,Windows不會對其發出警報,安全工具也無法檢查虛擬機內部的惡意程序。后門的核心是名為Chisel的網絡隧道程序,通過HTTP和SSH傳輸數據,使攻擊者即使在網絡受防火墻保護時也能與后門通信。為了防止QEMU濫用,建議監視從用戶可訪問文件夾執行的“qemu.exe”等進程,將QEMU和其他虛擬化套件放入阻止列表中,并從系統BIOS中禁用或阻止關鍵設備上的虛擬化。


https://www.bleepingcomputer.com/news/security/windows-infected-with-backdoored-linux-vms-in-new-phishing-attacks/


2. 黑客濫用DocuSign API創建虛假發票冒充知名品牌進行欺詐


11月4日,DocuSign 是一個電子簽名平臺,支持以數字方式簽署、發送和管理文檔。Envelopes API旨在幫助客戶自動發送需要簽名的文檔、跟蹤其狀態并在簽名后檢索它們。威脅行為者正在利用DocuSign的Envelopes API創建并分發看似真實的虛假發票,冒充知名品牌如Norton和PayPal。他們使用合法的付費DocuSign賬戶,通過該API發送模仿知名軟件公司外觀和感覺的欺詐性發票,并誘導目標客戶對文件進行電子簽名以授權付款。這些發票的費用控制在現實范圍內,以增加其合法性。據Wallarm安全研究人員稱,這種濫用行為已經持續了一段時間,并已向DocuSign報告??蛻粢苍贒ocuSign的社區論壇上多次舉報此類行為,但似乎難以得到有效解決。這些攻擊是自動化的,大規模發生,使得平臺很難忽視。DocuSign尚未對詢問其反濫用措施及是否計劃加強這些措施的問題作出評論。黑客過去也曾濫用API進行其他惡意活動,如驗證用戶電話號碼、抓取客戶信息以及將電子郵件地址鏈接到帳戶等。


https://www.bleepingcomputer.com/news/security/docusigns-envelopes-api-abused-to-send-realistic-fake-invoices/


3. 新型Android銀行惡意軟件ToxicPanda感染超1500臺設備


11月5日,Cleafy 研究人員發現了一種名為 ToxicPanda 的新型 Android 銀行惡意軟件,已感染超過 1,500 臺設備,主要目標為意大利、葡萄牙、西班牙和拉丁美洲的16家銀行。該惡意軟件與東南亞的 TgToxic 木馬家族有相似之處,但代碼差異顯著。ToxicPanda 利用設備欺詐技術繞過銀行安全措施,進行欺詐性資金轉移。盡管處于早期開發階段,代碼不完整,但它已顯示出強大的欺詐能力。ToxicPanda 采用手動方式,允許攻擊者輕松繞過銀行的行為檢測防御。它還可以訪問手機相冊,收集敏感信息,并通過硬編碼域名連接其命令和控制服務器。意大利是其主要目標,感染率高達 56.8%,葡萄牙、香港、西班牙和秘魯等地也有感染。報告指出,當代防病毒解決方案難以檢測到此類相對簡單的威脅,缺乏主動、實時的檢測系統是一個主要問題。


https://securityaffairs.com/170605/malware/toxicpanda-android-malware-targets-italy.html


4. 國際刑警組織“協同二號行動”重拳打擊網絡犯罪


11月5日,國際刑警組織在2024年4月至8月期間,代號為“協同二號行動”的國際執法行動中,成功逮捕了41名與勒索軟件、網絡釣魚和信息竊取等網絡犯罪相關的嫌疑人,并摧毀了 22,000 個 IP 地址上運行的1,037臺服務器和基礎設施。此次行動涉及95個國家,得到了多家私營網絡安全公司的情報支持。行動中,約76%的惡意內容被刪除,59臺服務器被查封,43臺電子設備被沒收以獲取更多證據。此外,當局還在調查另外65名涉嫌參與非法活動的人。行動亮點包括香港和澳門警方關閉了大量惡意服務器,蒙古進行了多次房屋搜查并查獲了一臺服務器,馬達加斯加確定了與惡意服務器有聯系的個人并查獲了電子設備,愛沙尼亞則查獲了超過80GB的服務器數據。國際刑警組織網絡犯罪局局長表示,網絡犯罪的全球性要求全球應對,此次行動不僅摧毀了惡意基礎設施,還防止了數十萬潛在受害者淪為網絡犯罪的犧牲品。


https://www.bleepingcomputer.com/news/security/interpol-disrupts-cybercrime-activity-on-22-000-ip-addresses-arrests-41/


5. 烏克蘭指責谷歌泄露軍事基地位置,引發安全擔憂


11月6日,烏克蘭指責谷歌在其在線地圖服務的最新更新中泄露了軍事基地的位置,這些圖像被俄羅斯人“積極傳播”。烏克蘭國家安全與國防委員會反虛假信息部門負責人表示,谷歌尚未修復地圖,只回應了烏克蘭的官方信件并承諾更新。谷歌烏克蘭公司回應稱,有問題的衛星圖像是一年前拍攝的,來自公開來源,并表示重視此類請求并與烏克蘭官員保持溝通。烏克蘭擔心軍事信息的公開可能危及防空系統等軍事裝備的位置,不僅可能危及烏克蘭,還可能危及任何使用導彈攔截器的國家。烏克蘭和俄羅斯都高度依賴衛星圖像來收集情報,但俄羅斯因制裁或道德問題而難以直接從商業公司購買。谷歌已暫停了在俄羅斯的許多服務,但地圖等部分服務仍可使用,但功能有限。


https://therecord.media/ukraine-google-locations-revealing-military


6. Snowflake數據竊取攻擊嫌疑人在加拿大被捕


11月5日,加拿大當局逮捕了一名涉嫌竊取云存儲公司Snowflake客戶數據的男子Alexander "Connor" Moucka(又名"Waifu"和"Judische")。據彭博社和404 Media報道,該男子以165個組織為目標,竊取了數億數據,這些組織全部是Snowflake的客戶。Snowflake、Mandiant和CrowdStrike的聯合調查發現,這名攻擊者使用信息竊取惡意軟件竊取了未能配置多因素身份驗證(MFA)保護的Snowflake帳戶的客戶憑證。這些攻擊始于2024年4月,與之相關的數據泄露影響了使用AT&T、Ticketmaster、Santander等多家服務的數億個人。其中,Ticketmaster的5.6億客戶和AT&T的約1.09億客戶的通話記錄被盜。Snowflake此后宣布將對新賬戶強制實施MFA,并要求密碼長度至少為14個字符。


https://www.bleepingcomputer.com/news/security/suspect-behind-snowflake-data-theft-attacks-arrested-in-canada/

上一篇 下一篇