每日安全简讯(20250123)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 攻击者利用假冒软件安装包传播ValleyRAT恶意软件
安全研究人员发现,近期针对中国大陆、香港和台湾地区的网络攻击活动使用了一种名为ValleyRAT的远程访问木马(RAT)。攻击者利用多阶段加载器PNGPlug通过钓鱼页面诱导受害者下载伪装成合法软件的恶意Microsoft Installer (MSI)包。执行后,该安装包部署伪装的合法应用程序以掩盖恶意行为,并解密出恶意载荷组件,包括伪装成PNG图片的文件和恶意DLL。最终,加载器通过内存注入和注册表更改建立持久性并运行ValleyRAT,提供远程访问功能,同时具有截屏和清除事件日志等能力。该攻击活动被认为与Silver Fox组织相关。
https://intezer.com/blog/malware-analysis/weaponized-software-targets-chinese/
2 勒索软件攻击者通过Microsoft Teams对组织进行“语音钓鱼”
安全研究显示,攻击者通过Microsoft Teams冒充技术支持,结合邮件轰炸手段,成功诱导员工授予远程访问权限,从而在组织中部署勒索软件。据Sophos统计,过去三个月内此类攻击事件超过15起,其中一半发生在最近两周。攻击者先通过大量垃圾邮件制造混乱,然后假借技术支持人员名义通过Teams视频通话诱骗员工开启远程控制。两组威胁组织(STAC5143和STAC5777)分别利用命令行投放恶意软件和合法程序侧加载技术,最终部署Black Basta勒索软件。
https://news.sophos.com/en-us/2025/01/21/sophos-mdr-tracks-two-ransomware-campaigns-using-email-bombing-microsoft-teams-vishing/
3 Mirai僵尸网络发起创纪录5.6Tbps DDoS攻击
Cloudflare成功拦截了一次创纪录的分布式拒绝服务(DDoS)攻击,该攻击峰值达5.6 Tbps,来自由13000个受感染设备组成的Mirai僵尸网络。事件发生在2024年10月29日,目标是东亚一家互联网服务提供商(ISP)。尽管攻击持续80秒,但由于Cloudflare的自动化检测与防护系统,目标服务未受影响。数据显示,超大规模DDoS攻击自2024年第三季度起显著增加,第四季度增长1885%,并伴随短时高强度趋势。约72%的HTTP攻击和91%的网络层攻击持续时间不足10分钟,强调了实时自动化防护的重要性。第四季度中,勒索型DDoS攻击同比增长25%,目标主要集中于电信、互联网服务及广告行业,受攻击地区以中国、菲律宾为主。
https://blog.cloudflare.com/ddos-threat-report-for-2024-q4/
4 CERT-UA警告诈骗者使用虚假的AnyDesk请求冒充其身份
乌克兰计算机应急响应小组(CERT-UA)发出警告,未知威胁行为者正冒充其身份,利用虚假的AnyDesk远程访问请求实施网络诈骗,声称进行“安全审计”。CERT-UA强调,官方使用AnyDesk会通过正式渠道并事先达成协议,而攻击者需先获取目标的AnyDesk标识符才能实施骗局。2024年,乌克兰共记录1042起网络安全事件,主要威胁来源包括UAC-0010(Aqua Blizzard)、UAC-0050及UAC-0006,分别涉及网络间谍、财务盗窃及信息心理战。与此同时,亲俄黑客组织GhostWriter被发现利用24个未公开的.shop域名进行针对乌克兰的网络攻击,而乌克兰支持的Sticky Werewolf则通过鱼叉式网络钓鱼对俄罗斯目标投放远程访问木马Ozone,显示出俄乌网络战的持续升级。
https://cert.gov.ua/article/6282069
5 7-Zip修复绕过Windows MoTW漏洞可允许执行恶意代码
7-Zip文件压缩工具的一个高危漏洞(CVE-2025-0411)被发现可绕过Windows的“网络标记”(Mark of the Web, MoTW)安全功能,允许攻击者通过提取嵌套恶意文件执行代码。自7-Zip 22.00版起,该工具支持MoTW功能,用于标记从下载的归档文件中提取的文件。然而,漏洞使提取的文件未继承MoTW标记,用户在访问恶意页面或打开伪造文件时可能遭受攻击。开发者已于2024年11月30日发布7-Zip 24.09修复此问题。但因7-Zip无自动更新功能,许多用户或仍使用受漏洞影响的版本。类似漏洞(如CVE-2024-38213)已被DarkGate恶意软件利用部署攻击,凸显更新的重要性。
https://www.zerodayinitiative.com/advisories/ZDI-25-045/
6 Redline和Vidar等恶意软件在2024年窃取了10亿个密码
Specops Software发布的2025密码泄露报告显示,2024年有超10亿密码被Redline、Vidar和Raccoon等恶意软件窃取。尽管部分密码符合复杂性要求(含大写、数字、符号),但弱密码如“123456”仍然常见,揭示用户教育的不足。恶意软件通过“服务即恶意软件”模式扩散,利用浏览器和VPN客户端等获取凭证。专家建议强化密码策略、部署多因素认证(MFA)并定期扫描泄露密码以降低风险。
https://hackread.com/redline-vidar-raccoon-malware-stole-1-billion-passwords-2024/
页:
[1]