首頁 > 安全研究 > 安全通報 > 安全簡訊

網絡犯罪分子利用ZIP串聯文件策略規避安全檢測

發布時間 2024-11-11

1. 網絡犯罪分子利用ZIP串聯文件策略規避安全檢測


11月7日,據Cyber Security News報道,網絡犯罪分子正采用一種復雜的ZIP串聯文件策略,專門攻擊Windows用戶。這種方法將多個ZIP文件合并為一個存檔,利用不同ZIP閱讀器處理方式的差異,使惡意內容更難被安全軟件檢測。ZIP串聯文件實際上包含多個中心目錄,每個目錄指向不同的文件集,而某些閱讀器可能只顯示部分內容,從而隱藏惡意文件。例如,7zip通常只顯示第一個存檔的內容,而WinRAR能讀取所有內容,包括隱藏的惡意文件。Windows文件資源管理器在處理這種文件時也存在不一致性,導致檢測威脅不可靠。已有攻擊者通過發送偽裝成發貨通知的網絡釣魚電子郵件,利用此技術向受害者發送隱藏的特洛伊木馬惡意軟件。這種規避技術的成功在于它能利用工具間的差異,許多安全解決方案也依賴這些工具來掃描檔案。因此,黑客越來越多地使用這種方法針對特定用戶,同時逃避其他安全工具的檢測。網絡安全專家提醒用戶應提高警惕,采用多種安全工具和方法來防范此類攻擊。


https://cybersecuritynews.com/hackers-employ-zip-file-concatenation/#google_vignette


2. 英國冬季取暖補貼詐騙頻發,警方發出警告


11月9日,隨著冬季的到來,英國老年居民成為詐騙分子的目標,他們通過虛假的“冬季取暖補貼”和“生活費補助”短信實施詐騙。由于政府近期決定削減約1000萬養老金領取者的冬季燃料補貼,這種詐騙活動更具投機性。詐騙短信誘使居民訪問非法域名,收集個人信息和付款信息。其中一條短信聲稱是“最后通知”,提醒收件人在11月12日前回復以接收補貼。該短信中的鏈接將用戶引導至看似GOV.UK的網頁,實際上是一個網絡釣魚頁面,旨在誘騙用戶交出個人信息和付款詳情。網絡安全研究員已識別出約600個與此活動相關的唯一域名,證明了該活動的規模和威脅行為者的投入。英國警方已發出警告,提醒養老金領取者警惕此類詐騙短信,避免點擊鏈接或提供個人信息和付款細節。人們可以向國家網絡安全中心、移動服務提供商或相關機構報告疑似詐騙行為。


https://www.bleepingcomputer.com/news/security/scammers-target-uk-senior-citizens-with-winter-fuel-payment-texts/


3. 惡意Python包“fabrice”竊取AWS憑據,已下載超3.7萬次


11月9日,自2021年起,一個名為“fabrice”的惡意Python包在Python包索引(PyPI)中出現,通過竊取Amazon Web Services憑據來攻擊開發人員。該軟件包利用了與合法且廣受歡迎的SSH遠程服務器管理包“fabric”名稱相似的特點,已被下載超過37,000次。fabrice之所以長期未被發現,部分原因是其部署了先進的掃描工具,并且追溯掃描的解決方案較少。該軟件包根據操作系統執行特定操作,在Linux上創建隱藏目錄存儲編碼的shell腳本,在Windows上下載編碼的有效負載并執行Python腳本以獲取惡意可執行文件。無論使用什么操作系統,fabrice的主要目標都是使用boto3(Amazon Web Services的官方Python SDK)竊取AWS憑證。攻擊者將竊取的密鑰泄露給由巴黎的M247運營的VPN服務器,增加了追蹤難度。為減輕此類風險,用戶應檢查從PyPI下載的軟件包,并使用專門檢測和阻止此類威脅的工具。管理員應考慮使用AWS身份和訪問管理(IAM)來管理對資源的權限,以保護AWS存儲庫免受未經授權的訪問。


https://www.bleepingcomputer.com/news/security/malicious-pypi-package-with-37-000-downloads-steals-aws-keys/


4. Remcos RAT新變種使用高級技術感染Windows系統


11月9日,Fortinet的FortiGuard實驗室發現了一種新的Remcos RAT(遠程訪問木馬)變種正在通過網絡釣魚活動傳播,針對Microsoft Windows用戶。該惡意軟件利用CVE-2017-0199漏洞下載并執行HTA文件,該文件經過多層混淆處理,包括JavaScript、VBScript、Base64編碼等,最終下載并執行惡意可執行文件,部署Remcos RAT。該惡意軟件具有多種持久性機制,如向量異常處理等高級反分析技術,使用哈希值識別API,檢測調試器的存在,并通過進程挖空技術逃避檢測。為了保持對設備的控制,惡意代碼在系統注冊表中添加了新的自動運行項。為了保護自己,用戶應避免點擊電子郵件中的鏈接或附件,使用安全軟件和防病毒軟件,并保持軟件更新最新補丁。


https://hackread.com/hackers-use-excel-files-remcos-rat-variant-windows/


5. Newpark Resources遭勒索軟件攻擊,信息系統和業務應用中斷


11月8日,德克薩斯州油田供應商Newpark Resources在2024年10月29日遭受了一次勒索軟件攻擊,導致其部分信息系統和業務應用程序的訪問被中斷。該公司迅速啟動了網絡安全應急計劃,并在外部專家的協助下對事件進行了內部調查,以評估和遏制威脅。盡管此次攻擊對公司的信息系統和業務應用程序造成了影響,但Newpark Resources的制造和現場運營基本未受影響,仍繼續執行既定的停機程序。目前,公司尚未確定此次勒索軟件事件的全部成本和影響,但預計不會對財務狀況或運營產生重大影響。Newpark Resources沒有透露有關此次攻擊的詳細信息,包括感染其系統的惡意軟件家族,同時也沒有勒索軟件組織聲稱對此次安全漏洞負責。未來,如果情況發生變化,該公司將更新相關信息披露。


https://securityaffairs.com/170696/cyber-crime/newpark-resources-ransomware-attack.html


6. Veeam VBR漏洞再遭利用,Frag勒索軟件肆虐


11月8日,Veeam Backup & Replication (VBR) 軟件的一個關鍵安全漏洞(CVE-2024-40711)最近被利用來部署Frag勒索軟件,此前該漏洞已被Akira和Fog勒索軟件攻擊者利用。該漏洞由不受信任數據反序列化弱點引起,可導致遠程代碼執行。Veeam在9月4日發布了安全更新,而watchTowr Labs和Code White在披露該漏洞時推遲分享更多細節,以避免被勒索軟件團伙濫用。然而,Sophos X-Ops發現,這些延遲并未能阻止Akira和Fog勒索軟件攻擊,同一威脅活動集群也使用了該漏洞部署Frag勒索軟件。Frag勒索軟件團伙在攻擊中大量使用受感染系統上已有的合法軟件(LOLBins),使得防御者難以檢測到他們的活動。Veeam表示,全球有超過550,000名客戶使用其產品,包括全球2,000強榜單中約74%的公司,因此該漏洞的影響范圍廣泛。


https://www.bleepingcomputer.com/news/security/critical-veeam-rce-bug-now-used-in-frag-ransomware-attacks/

上一篇 下一篇