每日安全简讯(20240725)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 乌克兰科研机构遭遇APT28组织网络间谍攻击
2024年7月,乌克兰科研机构成为了一起精心策划的网络钓鱼攻击的目标,攻击中使用了HATVIBE和CHERRYSPY两种恶意软件。乌克兰计算机应急响应小组(CERT-UA)将此次攻击归因于UAC-0063,一个与俄罗斯的APT28组织有联系的威胁行为者。攻击者通过获取该机构员工的电子邮件账户,向数十个收件人发送了带有恶意宏的Microsoft Word文档。当这些宏被启用时,它们会触发一个HTA文件的执行,该文件通过创建计划任务在受害者计算机上实现持久性,并为CHERRYSPY后门铺平了道路。
https://cert.gov.ua/article/6280129
2 新型ICS恶意软件FrostyGoop威胁关键基础设施
研究人员发现一种名为FrostyGoop的新型工业控制系统(ICS)恶意软件,FrostyGoop是首个直接利用Modbus TCP协议破坏运营技术(OT)网络的恶意软件。该软件使用Golang编写,能够通过端口502直接与ICS设备交互,对Windows系统构成威胁,特别是暴露在互联网上的ENCOD控制器。此次攻击导致当地超过600栋公寓楼近48小时无法供暖,暴露了关键基础设施面临的网络安全风险。
https://thehackernews.com/2024/07/new-ics-malware-frostygoop-targeting.html
3 RA World勒索软件演变及其全球影响分析
安全研究人员对勒索软件组织RA Group(现更名为RA World)的活动进行了深入分析。自2024年3月以来,RA World的活动显著增加,其暗网泄密网站上约37%的帖子均为近期发布,突显了该组织作为新兴威胁的重要性。RA World采用多重勒索策略,先窃取敏感数据再加密,随后利用这些数据作为筹码威胁受害者支付赎金。该组织对医疗保健行业的组织特别感兴趣,但到2024年中期,制造业成为主要受害行业。美国是受攻击最严重的国家,其次是欧洲和东南亚国家。
https://unit42.paloaltonetworks.com/ra-world-ransomware-group-updates-tool-set/?web_view=true
4 DeFi交易所dYdX v3网站遭遇DNS劫持攻击
DeFi加密货币交易所dYdX遭遇安全警报,其v3交易平台网站被DNS劫持。攻击者通过部署假冒网站,利用PERMIT2交易批准机制,试图盗取用户代币。dYdX迅速响应,通知用户不要访问受攻击的网站,并确保智能合约和用户资产安全。此次安全事件与一系列针对Squarespace注册商的DNS劫持攻击有关,暴露了在域名转移过程中MFA被关闭的安全漏洞。
https://status.dydx.exchange/incidents/lzyhxm4wp22w
5 研究人员发现针对HamsterKombat玩家的恶意软件
研究人员揭露了针对流行的Telegram点击游戏HamsterKombat玩家的新型网络威胁。随着该游戏迅速走红,网络犯罪分子开始利用其热度进行多种恶意活动。研究发现,这些威胁包括伪装成HamsterKombat的Android间谍软件Ratel、虚假应用商店,以及在GitHub上伪装成游戏自动化工具实则传播LummaStealer恶意软件的加密器。这些恶意活动不仅针对Android用户,Windows用户也未能幸免。
https://www.welivesecurity.com/en/eset-research/tap-estry-threats-targeting-hamster-kombat-players/
6 Magento网站遭信用卡盗刷器攻击
网络安全研究人员揭露了一起针对Magento电子商务网站的新型信用卡盗刷攻击。攻击者巧妙地使用交换文件技术来隐藏其恶意软件,使得即使在多次清理尝试后,该恶意软件仍然能够存活。这种窃取器不仅能够捕获网站上所有信用卡表格的数据,还能将详细信息泄露到攻击者控制的域名。研究人员指出攻击者利用域名与流行产品和服务相似的策略来逃避检测。
https://thehackernews.com/2024/07/magento-sites-targeted-with-sneaky.html
页:
[1]