每日安全简讯(20241101)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 俄罗斯关联APT组织“午夜暴风”发起大规模网络钓鱼攻击
根据微软的报告,俄罗斯关联的APT组织“午夜暴风”(也称APT29、SVR组织等)最近发起了一场针对100多家组织的网络钓鱼攻击。这次攻击主要通过向超过100个组织的1000多名用户发送精心设计的钓鱼邮件进行情报收集。攻击对象遍及英国、欧洲、澳大利亚和日本等国,涉及政府、国防、学术、非政府组织等多个领域。钓鱼邮件中包含的远程桌面协议(RDP)配置文件使用了LetsEncrypt证书,目的是在用户成功连接到RDP服务器时扩展本地系统资源,从而暴露敏感数据。微软指出,这种通过签名RDP配置文件获取目标设备访问权限的方式是该威胁行为者的新手法。
https://www.microsoft.com/en-us/security/blog/2024/10/29/midnight-blizzard-conducts-large-scale-spear-phishing-campaign-using-rdp-files/
2 朝鲜黑客组织与Play勒索病毒联手展开重大网络攻击
根据研究人员的最新报告,朝鲜黑客组织Jumpy Pisces(也称为Andariel等)近期与Play勒索病毒团伙合作,实施了一系列网络攻击,显示出其财务动机。这一活动发生在2024年5月至9月,标志着该国家支持的组织首次与地下勒索网络合作。Jumpy Pisces与朝鲜的侦察总局有关,曾使用其他两种勒索病毒。虽然Symantec指出该组织在2024年8月曾针对美国三家不同组织进行攻击,但未实际部署勒索病毒,但此事件显然展示了其与Play勒索病毒的联系。Play勒索病毒自2023年10月以来影响了约300个组织。研究人员的调查显示,Andariel通过一个被侵入的用户账户获得初始访问权限,并利用Sliver命令与控制(C2)框架和名为Dtrack的后门进行横向移动和持久化操作。这一系列活动最终导致Play勒索病毒的部署,然而,Jumpy Pisces是否真正成为Play的加盟者仍未明确。
https://unit42.paloaltonetworks.com/north-korean-threat-group-play-ransomware/
3 恶意广告活动劫持Facebook账户传播SYS01stealer恶意软件
网络安全研究人员发现了一场正在进行的恶意广告活动,该活动利用Meta的广告平台劫持Facebook账户,以传播名为SYS01stealer的恶意软件。根据研究人员的报告,黑客通过近百个恶意域名扩展其影响力,这些域名不仅用于分发恶意软件,还支持实时指挥与控制(C2)操作。SYS01stealer最早在2023年由Morphisec记录,攻击目标为Facebook商业账户,通过谷歌广告和假Facebook个人资料推广游戏、成人内容和破解软件。该恶意软件的主要目标是窃取登录凭据、浏览历史和cookies,同时获取Facebook广告和商业账户数据,以进一步传播恶意软件。被劫持的Facebook账户为整个操作提供了基础,使黑客能够无需创建新账户即可放大攻击规模。SYS01stealer通过在Facebook、YouTube和LinkedIn等平台上的恶意广告进行分发,广告主要针对45岁以上男性。受害者点击这些广告后会被重定向到伪装成合法品牌和应用的欺骗性网站,启动感染过程。该恶意软件具有适应性,能够避开检测并持续更新,以逃避安全措施,使得这一恶意软件活动尤其危险。
https://www.bitdefender.com/en-us/blog/labs/unmasking-the-sys01-infostealer-threat-bitdefender-labs-tracks-global-malvertising-campaign-targeting-meta-business-pages/
4 新版Android恶意软件FakeCall劫持银行电话欺诈用户
研究人员发现了一种新的Android恶意软件FakeCall版本,该恶意软件拦截用户拨出的银行电话,并将其重定向至攻击者的电话号码,旨在窃取敏感信息和银行资金。FakeCall是一种银行木马,通过冒充银行进行语音钓鱼,以获取受害者的敏感信息。新版本增强了规避和数据窃取能力,主要针对韩国用户。早期版本通过显示伪造的银行界面及真实的银行电话号码来欺骗用户,而最新版本则在安装时设为默认拨号应用,控制所有拨出电话。研究人员的报告指出,受害者需要批准恶意应用作为默认拨号处理程序。FakeCall模拟Android拨号器,显示受信任的联系信息,以欺骗用户,同时秘密劫持拨打金融机构的电话并将其重定向至诈骗者。恶意软件利用Monitoring Dialer Activity服务监控拨号器事件,能够检测用户是否尝试使用其他应用拨打电话。它甚至可以在未获得用户同意的情况下自动授予权限,从而绕过用户的操作。该恶意软件还允许远程攻击者全面控制受害者设备的用户界面,模拟用户操作。整体来看,该恶意软件在隐藏恶意行为方面表现出色,使得用户难以察觉其存在。
https://www.zimperium.com/blog/mishing-in-motion-uncovering-the-evolving-functionality-of-fakecall-malware/
5 Opera浏览器修复严重安全漏洞可能泄露用户信息
Opera浏览器近日修复了一个重大安全漏洞,该漏洞可能使恶意扩展获得对私有API的未经授权的完全访问权限。研究人员将此次攻击称为CrossBarking,黑客能够通过该漏洞执行诸如截屏、修改浏览器设置和账户劫持等操作。研究人员展示了如何通过将看似无害的浏览器扩展发布到Chrome网上应用商店,并在Opera上安装后利用该漏洞,从而实施跨浏览器商店攻击。尽管该漏洞已于2024年9月24日得到修复,但这并非Opera首次遭遇安全漏洞。该漏洞的根源在于Opera多个公共子域对嵌入浏览器的私有API的特权访问,这些域用于支持Opera特有功能,如Opera Wallet和Pinboard。研究发现,浏览器扩展中的内容脚本可以注入恶意JavaScript,获取对私有API的访问。攻击者利用此访问权限可以截取所有打开标签页的屏幕、提取会话cookies以劫持账户,甚至修改浏览器的DNS-over-HTTPS (DoH)设置,重定向用户到攻击者控制的DNS服务器。
https://labs.guard.io/crossbarking-exploiting-a-0-day-opera-vulnerability-with-a-cross-browser-extension-store-attack-db3e6d6e6aa8
6 Interbank确认数据泄露涉及客户信息遭恶意出售
秘鲁主要金融机构Interbank确认其系统遭遇数据泄露,黑客在未授权情况下泄露了客户数据。Interbank表示,某些客户数据被第三方暴露,并已立即采取额外安全措施以保护客户的信息和操作。尽管客户报告称银行的移动应用和在线平台在当天出现故障,但Interbank保证大多数业务已恢复正常,客户存款是安全的。黑客以“kzoldyck”的身份在多个黑客论坛上出售从Interbank系统中窃取的数据,声称包括超过300万客户的全名、账户ID、出生日期、地址、电话号码、电子邮件地址、IP地址、信用卡及CVV号码、交易信息等敏感信息,数据总量超过3.7 TB。该黑客还声称,因与Interbank的管理层的谈判未能达成共识,最终未能实现勒索。Interbank尚未透露被盗客户的确切数量,且对事件的进一步细节未做出回应。
https://www.bleepingcomputer.com/news/security/interbank-confirms-data-breach-following-failed-extortion-data-leak/
页:
[1]