首頁 > 安全研究 > 安全通報 > 安全簡訊

俄羅斯威脅行為者利用Signal“鏈接設備”功能發起網絡釣魚攻擊

發布時間 2025-02-20

1. 俄羅斯威脅行為者利用Signal“鏈接設備”功能發起網絡釣魚攻擊


2月19日,俄羅斯威脅行為者近期頻繁利用Signal消息應用程序的“鏈接設備”功能進行網絡釣魚活動,試圖未經授權訪問目標賬戶。據谷歌威脅情報小組(GTIG)報告,此技術已成為俄羅斯入侵Signal賬戶的最新且廣泛手段。攻擊者通過創建惡意二維碼,誘騙受害者掃描,實現Signal消息與攻擊者設備的同步,無需破壞目標設備即可監控對話。這些攻擊會根據目標類型調整策略,偽裝成合法應用資源或設備配對指令,甚至定制網絡釣魚頁面。臭名昭著的俄羅斯黑客組織Sandworm也采用此方法。GTIG還觀察到,攻擊者會修改合法群組邀請頁面,將其重定向到惡意URL,將目標賬戶連接到攻擊者設備。此外,與俄羅斯有關的威脅行為者還使用專門為攻擊烏克蘭軍事人員創建的Signal網絡釣魚工具包。GTIG指出,俄羅斯和白俄羅斯還使用多種工具從Signal應用程序數據庫文件中搜索和收集消息。研究人員強調,Signal并非唯一受關注的消息應用程序,類似攻擊也針對WhatsApp等。此類設備鏈接攻擊難以防范,一旦成功可能長時間不被察覺。因此,建議Signal用戶更新至最新版本,并采取復雜密碼、屏幕鎖、定期檢查鏈接設備列表、謹慎掃描二維碼及啟用雙因素身份驗證等措施增強安全性。


https://www.bleepingcomputer.com/news/security/russian-phishing-campaigns-exploit-signals-device-linking-feature/


2. Ghost勒索軟件全球肆虐,CISA與FBI發布聯合防御指南


2月19日,CISA和FBI聯合發布公告稱,Ghost勒索軟件攻擊者已對全球70多個國家的多個行業實施攻擊,包括關鍵基礎設施組織、醫療保健、政府、教育、科技、制造業及眾多中小型企業。自2021年初,這些攻擊者開始針對運行過時版本軟件和固件的互聯網服務進行無差別攻擊。Ghost勒索軟件組織頻繁更改其惡意軟件、文件擴展名和勒索通知內容,導致其歸屬難以確定。該組織利用公開代碼攻擊易受攻擊的服務器,特別關注Fortinet、ColdFusion和Exchange中的未修補漏洞。為防御此類攻擊,建議網絡防御者采取異地系統備份、盡快修補漏洞、隔離網絡、實施多因素身份驗證等措施。此外,Ghost勒索軟件攻擊者還利用CVE-2018-13379等漏洞進行初始訪問,該漏洞也被國家支持的黑客組織用于攻擊易受攻擊的Fortinet SSL VPN設備和美國選舉支持系統。CISA、FBI和MS-ISAC發布的聯合咨詢提供了與先前Ghost勒索軟件活動相關的妥協指標、策略、技術和程序以及檢測方法。


https://www.bleepingcomputer.com/news/security/cisa-and-fbi-ghost-ransomware-breached-orgs-in-70-countries/


3. TA2726與TA2727聯手推廣FrigidStealer惡意軟件


2月19日,近期,網絡犯罪組織TA2726與TA2727聯手開展了一項名為FakeUpdate的惡意軟件活動,推廣針對macOS的新型信息竊取惡意軟件FrigidStealer。該活動也涉及Windows和Android平臺的攻擊。TA2726作為流量分發者,利用Keitaro TDS向其他犯罪分子出售流量,而TA2727則負責分發惡意軟件,包括適用于不同操作系統的Lumma Stealer、Marcher和FrigidStealer。在此次活動中,威脅行為者通過注入惡意JavaScript到網站HTML中,顯示虛假的瀏覽器更新消息,誘導用戶下載并執行偽裝成更新的惡意文件。Mac用戶需手動啟動下載并輸入密碼以繞過Gatekeeper保護。FrigidStealer惡意軟件能夠竊取存儲在Safari或Chrome中的cookie、登錄憑據、密碼、加密錢包憑據、Apple Notes中的敏感信息以及用戶主目錄中的文檔。被盜數據被壓縮后泄露至惡意軟件的C2地址。信息竊取活動已成為一項大規模的全球行動,對個人和組織造成毀滅性攻擊。為避免感染,用戶不應執行網站提示的命令或下載,尤其是那些假裝是修復、更新或驗證碼的內容。已感染的用戶應在每個網站上更改密碼。


https://www.bleepingcomputer.com/news/security/new-frigidstealer-infostealer-infects-macs-via-fake-browser-updates/


4. 澳大利亞生育服務巨頭 Genea 遭遇網絡入侵


2月19日,澳大利亞生育服務提供商Genea遭遇網絡入侵事件,未知攻擊者訪問了其系統上的數據。Genea在檢測到可疑活動后緊急展開調查,并確認未經授權的第三方已訪問其數據,但尚未明確被訪問數據的性質和范圍,以及是否涉及個人信息。Genea正努力恢復服務器以控制漏洞并保護系統,同時向患者保證將盡最小程度干擾其治療,并承諾在發現個人信息受影響時與相關個人溝通。此次事件導致Genea的電話服務和MyGenea應用程序中斷。Genea是澳大利亞最大的生育服務提供商之一,在全國多個地區設有生育診所,提供多種服務。據澳大利亞國家廣播公司報道,Genea與該行業的另外兩家公司占據了該國該行業總收入的80%以上。BleepingComputer試圖聯系Genea發言人但未獲立即回應。


https://www.bleepingcomputer.com/news/security/australian-fertility-services-giant-genea-hit-by-security-breach/


5. Pegasus間諜軟件感染范圍擴大,企業高管成新目標


2月19日,移動設備安全公司iVerify最新發現,強大的零點擊間諜軟件Pegasus的使用范圍比我們之前所知的更加廣泛,不僅影響民間社會成員,還開始影響企業高管。僅在12月份,iVerify測試的18,000臺獨立設備中,就有11臺檢測到了Pegasus間諜軟件。新確認的受害者來自私營行業,包括房地產、物流和金融等領域,只有一名是歐洲政府官員。Pegasus由以色列公司NSO Group制造,盡管該公司堅稱其產品只賣給針對罪犯和恐怖分子的政府,但Pegasus已多次出現在民間社會和企業高管的手機中。企業高管可以接觸到公司秘密計劃和財務數據,這使得他們成為Pegasus攻擊的新目標,為間諜軟件危機增添了新的維度。iVerify的掃描會尋找惡意軟件特征,并依靠機器學習查找感染跡象,新研究僅包括感染Pegasus的手機結果。據iVerify聯合創始人表示,世界仍未做好應對此類威脅的準備,且只有一半的感染用戶收到了蘋果的威脅通知。


https://therecord.media/pegasus-spyware-infections-iverify


6. WordPress插件漏洞導致超9萬網站受影響


2月19日,安全研究人員發現,超過90,000個網站使用的Jupiter X Core WordPress插件存在一個嚴重漏洞,允許具有貢獻者權限或更高權限的攻擊者上傳惡意SVG文件并在服務器上執行遠程代碼。該漏洞的CVSS評分為8.8(高),源于對SVG文件上傳的不當清理以及插件對get_svg()函數的使用。攻擊者可以上傳包含PHP代碼的特制SVG文件,并通過結合該函數中的漏洞在服務器上執行惡意文件,從而繞過訪問控制、獲取敏感數據或實現代碼執行。該漏洞于2025年1月6日被報告,插件開發商Artbees于1月29日發布補丁解決了該問題。建議Jupiter X Core用戶立即更新至4.8.8版本,并采取主動措施如啟用自動更新、定期審核并刪除未使用或過時的插件以減少攻擊面。


https://www.infosecurity-magazine.com/news/wordpress-plugin-flaw-exposes/

上一篇 下一篇