每日安全简讯(20221104)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 安天发布关于典型挖矿家族的系列分析
随着近几年区块链技术和加密货币等虚拟货币的兴起,挖矿木马的开源导致获取挖矿木马的成本下降,大量黑产组织持续运营挖矿木马,也有不少其他黑产组织将目标转向虚拟货币市场,导致挖矿木马的持续活跃。2021年下半年,国家发文整治虚拟货币“挖矿”活动的通知,明确要求整治虚拟货币挖矿活动,打击挖矿活动已然势在必行。在这一年里挖矿整治活动效果显著,政企和高校等企事业单位挖矿木马数量持续降低。虽然今年加密货币行情不及往年,但挖矿木马仍有利可图。2022年还是有很多小型挖矿木马家族兴起,例如Hezb、1337和Kthmimu等挖矿木马家族。安天CERT将近几年历史跟踪储备的典型流行挖矿木马家族组织梳理形成专题报告,在未来几个月依次发布,并持续追踪新的流行挖矿家族。
https://mp.weixin.qq.com/s/If7avA3OFhdT6FdibkXTMQ
2 Emotet在沉寂5个月后再次开始传播
Emotet是一种恶意软件,通过包含恶意Excel文件或恶意Word文档的网络钓鱼活动进行传播。当用户打开这些文档并启用宏时,Emotet将被下载并加载到内存中,搜索并窃取受害主机上的电子邮箱用于进行更大范围的垃圾邮件活动。Emotet被认为是传播最广泛的恶意软件,但它在2022年6月13日突然停止了垃圾邮件活动。时隔近5个月,研究人员于11月2日凌晨4时左右发现Emotet再次活跃起来,向世界各地发送电子邮件,但是这次Emotet在感染受害主机后还没有传播其他的恶意载荷。
https://www.bleepingcomputer.com/news/security/emotet-botnet-starts-blasting-malware-again-after-5-month-break/
3 研究人员在数十个PyPI软件包中发现W4SP窃密木马
研究人员在PyPI中发现二十多个Python软件包会在受害主机上释放恶意软件, 这些软件包的命名类似于已知的Python库,若开发人员在下载Python库时出现一些拼写错误就有可能下载到恶意的软件包。这些软件包经过了混淆处理,并将释放W4SP窃密木马,窃取Discord令牌、cookie和保存的其他密码。目前这些软件包总计被下载超过5700次。此外,研究人员还发现有两个软件包会释放一种被标注为“GyruzPIP”的恶意软件,此恶意软件基于一个名为“evil-pip”的开源项目发布,项目声称仅用于教育目的,且代码中的每个函数都被清楚地说明了其预期目的。
https://www.bleepingcomputer.com/news/security/dozens-of-pypi-packages-caught-dropping-w4sp-info-stealing-malware/
4 美国数百家新闻媒体网站遭受供应链攻击
攻击组织利用一家媒体公司受损的基础设施,在美国数百家新闻媒体网站上部署了SocGholish JavaScript恶意软件框架,也被称为FakeUpdates。出现问题的媒体公司是一家为新闻媒体提供视频内容和广告的公司,为美国不同市场的许多公司提供服务。研究人员认定此次攻击背后的组织为TA569,该组织发起供应链攻击将恶意代码注入到由新闻媒体网站加载的JavaScript文件中,以此传播SocGholish恶意软件。SocGholish恶意软件可能导致后续的感染,如部署勒索软件等。
https://www.bleepingcomputer.com/news/security/hundreds-of-us-news-sites-push-malware-in-supply-chain-attack/
5 黑客组织在针对非洲银行四年的网络攻击中获利3000万美元
研究人员发现一个黑客组织在过去四年间针对非洲、亚洲和拉丁美洲的公司进行了网络攻击,从中获利可能高达3000万美元。该组织在高质量的鱼叉式网络钓鱼中使用一些现有的黑客工具,针对银行、金融服务和电信公司进行了30多次攻击。研究人员将此组织称为“OPERA1ER”,该组织进入到各种账户中并获得它们的控制权,然后将资金转移到受控的账户中,并主要通过ATM取款机兑现金钱。
https://www.cyberscoop.com/cybercriminals-hit-african-banks/
6 研究人员发现新型Laplas Clipper通过SmokeLoader进行传播
研究人员发现SmokeLoader恶意软件携带一些其他流行恶意软件,如SystemBC和Raccoon 2.0,以及一种名为Laplas Clipper的新型恶意软件,主要针对持有加密货币的用户。研究人员称在过去两周内确定了180多个与Laplas Clipper相关的不同样本,这表明该恶意软件在最近几周内得到广泛传播。Clipper是一种针对加密货币用户的恶意程序,通过将受害者的钱包地址与攻击者拥有的钱包地址进行交换来劫持加密货币交易。Laplas Clipper是一种新型Clipper恶意软件,它会生成类似于受害者钱包的地址,受害者很难发现地址的差异,以此提高成功几率。
https://blog.cyble.com/2022/11/02/new-laplas-clipper-distributed-by-smokeloader/
页:
[1]