首頁 > 安全研究 > 安全通報 > 安全簡訊

“傳染性采訪”活動中OtterCookie新型惡意軟件威脅軟件開發人員

發布時間 2024-12-27

1. “傳染性采訪”活動中OtterCookie新型惡意軟件威脅軟件開發人員


12月26日,朝鮮威脅行為者近期在針對軟件開發人員的“傳染性采訪”活動中,推出了一種名為OtterCookie的新型惡意軟件。據網絡安全公司Palo Alto Networks的研究人員稱,該活動自2022年12月以來一直活躍,通過提供虛假的工作機會傳播惡意軟件,如BeaverTail和InvisibleFerret等。而NTT Security Japan的報告指出,OtterCookie很可能于9月推出,并在11月出現了新的變種。該惡意軟件通過加載器傳遞,獲取JSON數據并執行JavaScript代碼,可以與BeaverTail一起部署或單獨部署。它利用GitHub或Bitbucket下載的Node.js項目或npm包感染目標,也使用了Qt或Electron應用程序構建的文件。一旦激活,OtterCookie就會使用Socket.IO WebSocket工具與命令和控制基礎設施建立安全通信,并執行數據盜竊的shell命令,包括收集加密貨幣錢包密鑰、文檔、圖像等有價值信息。最新版本的OtterCookie還可以泄露剪貼板數據,并檢測到用于偵察的命令,表明攻擊者打算進行更深層次的滲透或橫向移動。


https://www.bleepingcomputer.com/news/security/new-ottercookie-malware-used-to-backdoor-devs-in-fake-job-offers/


2. 日航遭DDoS攻擊致航班延誤,系統已恢復


12月26日,日本旗艦航空公司日本航空(JAL)遭遇了一次網絡安全事件,導致其部分國內和國際航班出現延誤。事件起因是其用于與外部系統進行數據通信的網絡設備遭受了分布式拒絕服務(DDoS)攻擊,導致系統流量激增并出現故障。攻擊還影響了乘客行李管理系統和移動應用程序,但日航表示沒有客戶信息泄露、計算機病毒損害或飛行安全問題。受影響的系統已暫時關閉,并暫停了當日出發的機票銷售和部分在線服務。盡管有40多個航班延誤,但日航表示第二天的航班計劃正常運行。航空業仍是全球黑客的熱門目標,此前也曾發生多起針對航空公司和機場的網絡攻擊事件,這些襲擊大多出于經濟動機,但也有政治動機的案例。


https://therecord.media/japan-airlines-resumes-operations-after-cyberattack


3. 巴西黑客因涉嫌敲詐勒索在美國遭指控


12月26日,一名巴西公民Junior Barros De Oliveira因涉嫌黑客入侵并敲詐勒索一家位于新澤西的公司而被美國司法部起訴。據起訴書顯示,德奧利維拉于2020年3月入侵了該公司的巴西子公司網絡,竊取了約30萬名客戶的機密信息。同年9月,他使用化名向該公司首席執行官發送電子郵件,要求支付300比特幣(當時價值約320萬美元)作為不出售數據的條件。一個月后,他又將相同的信息轉發給了該公司在巴西的首席執行官和一名高管,并表示愿意以75比特幣(當時約合80萬美元)的咨詢費幫助他們解決安全漏洞。德奧利維拉因此被指控四項涉及從受保護的計算機獲取信息的敲詐勒索罪和四項威脅性通信罪。如果罪名成立,他將面臨最高可達20年的監禁和高達100萬美元的罰款,或收益與損失價值的兩倍(以較高者為準)。


https://thehackernews.com/2024/12/brazilian-hacker-charged-for-extorting.html


4. 通用動力公司遭網絡釣魚攻擊,數十員工福利賬戶被入侵


12月26日,航空航天和國防巨頭通用動力公司遭遇了一次成功的網絡釣魚攻擊,導致數十個員工福利賬戶被入侵。攻擊者通過第三方托管的登錄門戶訪問并更改了員工福利賬戶,這些賬戶包含了員工的姓名、出生日期、政府頒發的身份證號碼、社會安全號碼、銀行賬戶信息和殘疾狀況等敏感信息。據通用動力公司透露,共有37人受到影響,攻擊者在某些情況下還更改了被盜賬戶的銀行賬戶信息。通用動力公司在發現這一未經授權的活動后立即暫停了對該服務的訪問,并向受影響的人員提供了兩年的免費信用監控。此外,通用動力公司還提醒受影響的個人重置他們的富達賬戶登錄憑證,并避免在多個賬戶中使用相同的憑證。今年早些時候,富達公司也曾遭遇過兩次數據泄露事件,影響了數萬個人。


https://www.securityweek.com/defense-giant-general-dynamics-says-employees-targeted-in-phishing-attack/


5. WDAC遭利用,攻擊者可禁用EDR傳感器發動攻擊


12月25日,安全專家發現了一種利用Windows Defender應用程序控制(WDAC)的攻擊技術,可以禁用Windows設備上的端點檢測和響應(EDR)傳感器,使攻擊者能夠繞過安全檢測并對系統發動攻擊。WDAC是Windows 10和Windows Server 2016引入的技術,旨在控制Windows設備上的可執行代碼。攻擊者可以制定和部署專門設計的WDAC策略,阻止EDR傳感器在系統啟動時加載,使其無法工作。攻擊方式包括針對單個設備和整個域,擁有域管理員權限的攻擊者可以在整個組織內分發惡意WDAC策略,系統性地禁用所有端點上的EDR傳感器。攻擊涉及策略放置、重啟終端和禁用EDR三個主要階段。安全人員創建了“Krueger”概念驗證工具來檢測這種攻擊。緩解策略包括通過GPO執行WDAC策略、應用最小權限原則和實施安全的管理實踐。面對新出現的攻擊技術,需要采取多層次的網絡安全方法,并時刻保持警惕。


https://cybersecuritynews.com/attack-weaponizes-windows-defender/#google_vignette


6. 微軟警告:使用媒體安裝Windows 11 24H2可致無法接收安全更新


12月26日,微軟發出警告,指出使用媒體支持安裝Windows 11版本24H2時存在一個問題,可能導致操作系統無法接受進一步的安全更新。具體而言,在2024年10月8日至11月12日期間,使用CD和USB閃存驅動器安裝包含此期間安全更新的Windows 11版本24H2時,設備可能會陷入無法接受后續Windows安全更新的狀態。不過,這個漏洞不會影響通過Windows更新或Microsoft更新目錄網站應用的安全更新,也不會在使用最新的2024年12月安全更新時出現。微軟正在致力于永久修復此問題,并建議使用基于媒體的Windows 11 24H2安裝的用戶應用2024年12月10日發布的安全更新,以避免后續更新問題。此外,Windows 11 24H2還面臨著一系列其他問題,包括音頻問題、游戲性能問題、崩潰和死機等,甚至在特定的硬件和軟件配置上被暫時阻止。


https://www.bleepingcomputer.com/news/security/windows-11-installation-media-bug-causes-security-update-failures/

上一篇 下一篇