首頁 > 安全研究 > 安全通報 > 安全簡訊

越南黑客組織部署PXA Stealer,針對歐亞政府教育機構

發布時間 2024-11-19

1. 越南黑客組織部署PXA Stealer,針對歐亞政府教育機構


11月15日,一名涉嫌與越南有關的威脅行為者利用名為PXA Stealer的新型Python惡意軟件,針對歐洲和亞洲政府及教育機構發起信息竊取活動。該惡意軟件能解密瀏覽器主密碼,竊取在線賬戶憑證、財務信息、瀏覽器cookie等敏感信息。攻擊鏈始于網絡釣魚電子郵件,包含ZIP文件附件,觸發加載器和批處理腳本,運行PowerShell命令下載有效負載并部署竊取程序。PXA Stealer特別關注竊取Facebook cookie,用于與Facebook Ads Manager和Graph API交互收集詳細信息。此外,其他竊取惡意軟件如StrelaStealer、RECORDSTEALER、Rhadamanthys、Amnesia Stealer和Glove Stealer等也在不斷發展和涌現,證明了竊取惡意軟件的流行。盡管執法部門努力打擊,但此類活動仍持續存在。


https://thehackernews.com/2024/11/vietnamese-hacker-group-deploys-new-pxa.html


2. GitHub項目頻遭惡意后門攻擊


11月16日,GitHub項目正成為惡意提交和拉取請求的目標,旨在向這些項目注入后門。最近,Exo Labs的GitHub存儲庫就遭到了此類攻擊,攻擊者通過提交看似無害的代碼更改,試圖在代碼中植入后門,以遠程執行惡意代碼。然而,該代碼更改并未被批準合并到官方存儲庫。攻擊者使用的GitHub賬戶“evildojo666”現已被刪除,而該賬戶指向的安全研究員Mike Bell則否認與此事有關,并聲稱自己遭到了冒充。此外,還有其他項目也成為了類似的攻擊目標,包括流行的開源音頻和視頻下載器“yt-dlp”。這些攻擊事件提醒開源項目維護者要仔細審查傳入的拉取請求,即使它們來自看似“善意”的貢獻者,也應使用自動化工具和大量人工代碼審查來確保安全。


https://www.bleepingcomputer.com/news/security/github-projects-targeted-with-malicious-commits-to-frame-researcher/


3. Maxar Space Systems遭黑客入侵,員工個人數據遭竊取


11月18日,美國衛星制造商Maxar Space Systems遭受黑客入侵,導致員工個人數據被竊取。黑客在2024年10月11日被發現前已侵入公司網絡約一周時間。Maxar Space Systems是美國航空航天業的重要參與者,已建造80多顆在軌衛星,并為NASA的Psyche任務和Artemis月球探索計劃提供了關鍵技術。泄露的員工信息包括姓名、家庭地址、社會保障號碼等敏感信息,但銀行賬戶信息未受影響。受影響員工可享受IDShield身份保護和信用監控服務,而前任員工可在規定時間內注冊IDX的身份盜竊保護服務。此外,有消息稱黑客還聲稱竊取了Maxar Technologies開發的地理空間情報平臺GeoHIVE的用戶群,但Maxar Technologies尚未對此發表評論。


https://www.bleepingcomputer.com/news/security/us-space-tech-giant-maxar-discloses-employee-data-breach/


4. 博通警告:VMware vCenter Server兩大漏洞正被攻擊者利用


11月18日,博通近日發出警告,指出攻擊者正在利用VMware vCenter Server的兩個安全漏洞,其中之一為嚴重的遠程代碼執行漏洞(CVE-2024-38812),由TZL安全研究人員在中國2024 Matrix Cup黑客大賽期間報告。該漏洞源于vCenter的DCE/RPC協議實現中的堆溢出問題,影響VMware vSphere和VMware Cloud Foundation等產品。另一個漏洞(CVE-2024-38813)為權限提升漏洞,同樣由該研究人員發現,攻擊者可利用特制網絡數據包提升至root權限。博通確認這兩個漏洞已被利用,并于9月發布了安全更新,但隨后發現CVE-2024-38812的補丁并未完全解決問題,并強烈建議管理員應用新補丁。受影響客戶應立即應用最新更新以防范攻擊。此外,博通還發布了補充公告,提供更多安全更新信息和可能影響已升級用戶的已知問題。


https://www.bleepingcomputer.com/news/security/critical-rce-bug-in-vmware-vcenter-server-now-exploited-in-attacks/


5. DocuSign網絡釣魚詐騙激增,冒充美政府機構竊取數據


11月18日,DocuSign網絡釣魚詐騙數量近期激增98%,攻擊者利用信任竊取數據,冒充美國政府機構如衛生與公眾服務部(HHS)和馬里蘭州交通部(MDOT)等發送釣魚URL。這些釣魚URL被設計成模仿官方通信,使用真正的DocuSign帳戶和API偽裝成真實請求。一旦目標打開惡意文檔,就會被要求提供敏感信息或授權欺詐交易。由于請求看似官方,收件人更可能未經徹底驗證就遵守請求,危及公司安全。美國公民、政府機構和市政辦公室是這些攻擊的主要目標。專家建議企業實施多層安全策略,因為受害者遵循的是他們接受過培訓并被期望遵循的流程,問題在于無法驗證請求來源,需要重新考慮如何提供簽名請求,并可能采用強大的身份驗證方法。


https://hackread.com/us-govt-agencies-impersonate-docusign-phishing-scams/


6. 美飲用水系統存網絡安全漏洞,或致服務中斷


11月18日,美國環境保護署(EPA)監察長辦公室(OIG)發布的新報告顯示,為美國約1.1億人提供服務的300多個飲用水系統存在漏洞,可能導致服務中斷。評估涵蓋1062個飲用水系統,發現其中四分之一可能成為攻擊受害者,導致功能喪失、拒絕服務等情況及客戶信息泄露。97個供水系統存在嚴重和高度嚴重問題,覆蓋約2700萬人;211個系統受中度和低度缺陷影響,覆蓋約8300萬人。OIG指出,若惡意行為者利用漏洞,可能破壞服務或造成物理損壞。評估涉及超過75000個IP和14400個域的分析。此外,EPA缺乏向該機構通報網絡安全事件的報告系統,并依賴其他機構進行此類報告,同時缺乏與其他聯邦和州當局的協調記錄。此前,已有水務公司遭受網絡攻擊,但供水服務未受影響。今年5月,EPA曾警告超70%供水系統不符合《安全飲用水法》,存在嚴重安全問題。


https://www.securityweek.com/300-drinking-water-systems-in-us-exposed-to-disruptive-damaging-hacker-attacks/

上一篇 下一篇