每日安全简讯(20240318)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 ShadowSyndicate针对aiohttp漏洞发起扫描攻击
研究人员监测到,自2024年2月27日公布了aiohttp(异步HTTP客户端/服务器框架)漏洞(CVE-2024-23334)的概念验证(PoC)及教学视频后,网络犯罪集团ShadowSyndicate可能开始利用这一漏洞进行网络攻击。此漏洞为目录遍历问题,可能让未经认证的远程攻击者访问服务器上的敏感文件。根据研究人员的数据显示,全球有超过43000个aiohttp实例暴露在互联网上,其中美国、德国和西班牙的实例数量尤为突出。因此,这些未修补的实例潜在面临严重威胁,强烈建议立即修补至最新版本。研究人员监测到2月29日开始,有大量针对该漏洞的扫描尝试。通过对攻击源IP地址的分析发现,ShadowSyndicate自2022年7月活跃至今,涉嫌与多起勒索软件攻击事件有关。鉴于该集团对aiohttp漏洞的兴趣,组织应尽快更新软件至推荐版本3.9.2并采取必要的防护措施,以避免未来潜在的系统安全风险。
https://cyble.com/blog/cgsi-probes-shadowsyndicate-groups-possible-exploitation-of-aiohttp-vulnerability-cve-2024-23334/
2 Xehook Stealer窃取110种加密货币及2FA扩展
研究人员在2024年1月发现了一种针对Windows操作系统的.NET基础恶意软件Xehook Stealer,该软件起源于Cinoshi项目,并随后进化为Agniane Stealer。Xehook Stealer擅长从基于Chromium和Gecko的浏览器动态收集数据,支持超过110种加密货币和2FA扩展。此外,Xehook Stealer具备创建自定义流量机器人的API,并能恢复失效的谷歌Cookies。此恶意软件与Agniane Stealer有大量代码重叠,并展现出代码库和功能的演进关系。两者的配置数据相似,且都与同一指挥控制服务器(C&C)通信。Xehook Stealer通过恶意软件分发媒介SmokeLoader传播,显示出其被积极推广。通过技术分析表明,Xehook Stealer使用多重探测方法以避免被沙箱环境和恶意软件分析工具检测。它还可以通过网络监测、Fake Error Message和强化日志删除等技术隐藏其痕迹,表明了其隐蔽性和持续的恶意活动。
https://cyble.com/blog/xehook-stealer-evolution-of-cinoshis-project-targeting-over-100-cryptocurrencies-and-2fa-extensions/
3 黑客利用GitHub破解软件传播RisePro信息窃取器
GitHub平台上的多个代码仓库被发现提供破解软件下载链接,用以传播名为RisePro的信息窃取器。这场代码命名为“gitgub”的运营涉及11个不同账号的17个仓库,目前已被GitHub母公司微软关闭。这些仓库中的README.md文件承诺提供免费的破解软件,并利用仿冒正常构建状态的绿色Unicode圆点和当前日期,伪装合法性和最新性。受影响的仓库包括了多种软件的破解版,如AVAST、VoiceMod、CCleaner等,每个仓库中都附有指向下载链接(digitalxnetwork[.]com)的RAR文件。RAR文件需要密码(在仓库的README.md中提供)来解压,解压后的安装文件会释放出下一阶段的负载,即一个可执行文件。该文件膨胀至699MB,旨在破坏像IDA Pro这样的分析工具。实际文件内容仅为3.43MB,作为装载器将RisePro(版本1.6)注入AppLaunch.exe或RegAsm.exe中。RisePro首次在2022年末因通过名为PrivateLoader的PPI恶意软件下载服务而引起关注。以C++编写的RisePro旨在从受感染的主机收集敏感信息,并将其窃取到两个Telegram频道,这些频道常被威胁行为者用于提取受害者数据。更有趣的是,最近Checkmarx的研究显示,可以从攻击者的Telegram机器人渗透并转发消息到另一个Telegram账户。研究人员详细描述了蛇形键盘记录器(Snake Keylogger)的策略和技术,将其描述为"利用多方位方法执行数据泄露"的窃取器恶意软件。它使用FTP来安全传输文件,利用SMTP发送含有敏感信息的电子邮件,并通过与Telegram的集成提供实时通信平台,以便立即传输被盗数据。
https://www.gdatasoftware.com/blog/2024/03/37885-risepro-stealer-campaign-github
4 宾夕法尼亚斯克兰顿学区遭受勒索软件攻击
近日,宾夕法尼亚州斯克兰顿的学区遭受了勒索软件攻击,导致信息技术中断。斯克兰顿学区正在与第三方取证专家合作,调查安全漏洞并恢复受影响的系统。斯克兰顿学区在Facebook上发布的一篇帖子中表示:“攻击暂时中断了我们的部分电脑系统和服务。我们正在与第三方取证专家通力合作,调查此事件的来源,并尽快全面恢复系统的功能。”斯克兰顿学区代理校长帕特里克·莱菲(Patrick Laffey)报告称,学区的电脑系统最近被黑客攻破并感染了勒索软件。学区命令全体校工不得使用任何电子设备,并卸载所有移动设备上与学校相关的应用程序。斯克兰顿教师联合会主席罗斯玛丽·博兰(Rosemary Boland)表示:“由于我们在系统中增强了安全措施,某些功能可能会比平时慢。”目前,斯克兰顿学区的官方网站无法访问,Facebook账户在编写本文时也不可用。学区尚未透露有关勒索软件攻击的详细信息,目前还不清楚针对该组织的是哪个勒索软件家族,以及学校是否遭遇了数据泄露。
https://www.thetimes-tribune.com/news/education/scranton-school-district-computers-hacked-infected-with-ransomware/article_3019e563-fd47-508e-b6af-91a9f9361a5e.html
5 美国从币安平台追回230万美元“养猪盘”诈骗资金
美国司法部(DoJ)正在追回价值230万美元的与“养猪盘”诈骗计划相关的加密货币,该计划在美国至少对37名受害者构成欺诈。“养猪盘”是一种社会工程骗局,骗子通过社交媒体和即时通讯平台与受害者(即“猪”)建立信任,最终诱导受害者向假冒投资网站存入加密货币,在伪造的平台上虚假展示利润丰厚的投资回报。然而受害者的存款并未投资,而是直接流入诈骗者的口袋(即“宰杀”),受害者仅获得一个虚拟余额,以尽可能延长欺骗时间。这类诈骗通常起始于浪漫诈骗,恶意行为者首先与受害者建立信任关系,然后引诱他们参与加密货币投资计划。在调查2023年针对一名马萨诸塞州居民的养猪盘诈骗案中,执法调查人员追踪到两个币安钱包中持有的约230万美元加密货币。进一步的调查显示,这些额外的资金与全国其他36人遭受同一威胁行为者多种欺诈计划有关。
https://www.bleepingcomputer.com/news/cryptocurrency/us-moves-to-recover-23-million-from-pig-butchers-on-binance/
6 黑客声称从Viber通讯应用获取740GB数据
一群自称“Handala Hack”的亲巴勒斯坦黑客组织声称已经访问了Viber通讯应用的服务器,并盗取了包括源代码在内的740GB数据。黑客组织要求支付8比特币(约583000美元)的赎金用于偿还被盗信息。Viber是一款于2010年推出并在2014年被日本跨国公司乐天集团以9亿美元收购的通讯应用。尽管Viber否认遭到数据泄露,但它已经启动了调查,以核实是否发生了安全漏洞。如果确认,这可能是近期最大的一起数据泄露事件。专家认为,这次泄露可能涉及个人消息、通话记录、联系方式和财务信息,可对Viber用户造成严重影响。
https://www.hackread.com/hackers-claim-740gb-of-data-viber-messaging-app/
页:
[1]