每日安全简讯(20220730)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 威胁组织针对欧洲和中美洲实体部署恶意软件
微软将一个名为Knotweed的威胁组织与一家奥地利间谍软件供应商联系起来,该供应商也是一家名为DSIRF的网络雇佣军组织,该组织使用名为Subzero的恶意软件工具集针对欧洲和中美洲实体。在受感染的设备上,攻击者部署了Corelump和Jumplump,前者是从内存运行以逃避检测的主要载荷,Jumplump是一个严重混淆的恶意软件加载程序,可将Corelump下载并加载到内存中。主要的Subzero有效载荷具有许多功能,包括键盘记录、捕获屏幕截图、窃取数据以及运行从其命令和控制服务器下载的远程shell和任意插件。微软还观察到,Knotweed活动中使用了最近修补的零日漏洞(CVE-2022-22047),该漏洞允许攻击者提升权限、逃离沙箱并获得系统级代码执行。
https://www.bleepingcomputer.com/news/microsoft/microsoft-windows-adobe-zero-days-used-to-deploy-subzero-malware/
2 微软默认阻止宏后攻击者使用新技术传播恶意软件
随着微软采取措施在Office应用程序中默认阻止Excel 4.0(XLM或XL4)和Visual Basic for Applications(VBA)宏,恶意行为者也在改进他们的策略、技术和程序(TTP)以做出响应。Proofpoint研究人员在一份声明中表示,“威胁参与者不再直接在电子邮件中分发基于宏观的附件,”“威胁参与者现在正在采用新的策略来传播恶意软件,预计ISO、LNK和RAR等文件的使用将继续增加。”通过这些新方法分发的一些著名恶意软件家族包括Emotet、IcedID、Qakbot和Bumblebee。
https://thehackernews.com/2022/07/hackers-opting-new-attack-methods-after.html
3 恶意npm包窃取Discord用户的凭据和银行卡信息
卡巴斯基研究人员发现,威胁参与者使用多个恶意npm包来针对Discord用户,这些恶意软件旨在窃取他们的银行卡数据。7月26日。研究人员在npm存储库中发现了四个可疑包,所有这些包都包含高度混淆的恶意Python和JavaScript代码。Python恶意软件是名为Volt Stealer的开源令牌记录器的修改版本。它旨在从受感染的机器上窃取Discord令牌以及受害者的IP地址,并通过HTTP上传。被称为“Lofy Stealer”的JavaScript恶意软件是为了感染Discord客户端文件而创建的,以监控受害者的行为。该恶意软件会将收集到的信息上传到地址为硬编码的远程端点。
https://securelist.com/lofylife-malicious-npm-packages/107014/
4 研究人员发现新的网络钓鱼工具包Robin Banks
IronNet研究人员最近观察到一个网络犯罪集团推出一个新的PhaaS平台,向专门从事社会工程诈骗的攻击者出售网络钓鱼工具包。这个被称为Robin Banks的网络钓鱼工具包主要针对美国的金融公司以及英国、加拿大和澳大利亚的众多公司。在访问通过诈骗短信或电子邮件发送的初始访问URL后,受害者将看到网络钓鱼页面内容。登陆网络钓鱼站点后,受害者的浏览器会被指纹识别以确定他们是在电脑端还是移动设备上,并加载适当的网页版本。一旦受害者在仿冒网站的表单字段中输入所有必需的详细信息,就会向Robin Banks API发送一个POST请求,其中包含两个唯一令牌,一个用于活动操控者,另一个用于受害者。操控者和平台管理员都可以从平台的webGUI中查看发送到Robin Banks API的所有数据。
https://www.ironnet.com/blog/robin-banks-a-new-phishing-as-a-service-platform
5 Akamai阻止了针对其欧洲客户的大规模DDoS攻击
2022年7月21日,Akamai阻止了针对欧洲一家组织的最大规模分布式拒绝服务(DDoS)攻击,该公司在过去30天内遭受了75次多种类型的DDoS攻击。恶意流量在14小时内达到峰值853.7 Gbps和659.6 Mpps,这是在Akami Prolexic平台上有史以来最大的全球横向攻击。根据Akamai的说法,DDoS攻击源自受感染设备的“高度复杂的全球僵尸网络”。
https://securityaffairs.co/wordpress/133780/hacking/largest-ddos-attack-europe.html
6 Microsoft 365发生中断导致北美管理中心瘫痪
Microsoft正在调查影响北美系统管理员的持续事件,他们报告称,在尝试访问Microsoft 365管理中心时看到空白页和404错误。微软声称“我们正在审查网络数据以确定影响的来源,并确定是否有可能的修复方法来补救影响。”7月29日,微软表示,“我们的调查已经确定,负责Microsoft 365管理中心访问请求的基础设施的某些部分执行低于预期阈值,从而导致间歇性访问问题。”并补充说:“我们正在努力优化受影响基础设施的性能,以弥补影响。”
https://www.bleepingcomputer.com/news/microsoft/microsoft-365-outage-knocks-down-admin-center-in-north-america/
页:
[1]