找回密码
 注册创意安天

每日安全简讯(20210928)

[复制链接]
发表于 2021-9-27 19:41 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 Jupyter恶意软件新版本通过MSI安装程序分发

网络安全研究人员绘制了Jupyter的演变图,Jupyter是一个.NET信息窃取程序,以针对医疗保健和教育行业而闻名。最新的传输链使用了一个名为Nitro Pro的PDF应用程序。这些攻击首先部署一个超过100MB的MSI安装程序载荷,允许它们绕过防恶意软件引擎,并使用名为Advanced installer的第三方应用程序打包向导进行混淆。运行MSI有效载荷会导致执行嵌入在Nitro Pro 13合法二进制文件中的PowerShell加载程序,加载程序在最后阶段解码并运行内存中的Jupyter.NET模块。

hacking.jpg
https://thehackernews.com/2021/0 ... rsion-is-being.html


2 Safepal Wallet恶意附加组件窃取用户加密货币

一个名为“Safepal Wallet”的恶意Firefox附加组件清空了用户的钱包,并在Mozilla附加组件网站上存活了7个月。研究人员在调查恶意Firefox附加组件时发现了该组件使用的网络钓鱼域。WHOIS记录显示,该钓鱼网站是在今年1月通过Namecheap注册的。该网页仍处于活动状态,并指示受害者按正确顺序输入“12字Backup Phrase,以便与您的SafePal钱包配对。”一旦输入了助记词并提交了表单,页面就会刷新而没有任何明显的响应。助记词被悄悄地发送给攻击者。

safepal-addon-page.jpg
https://www.bleepingcomputer.com ... ole-cryptocurrency/
Malicious 'Safepal Wallet' Firefox add-on stole cryptocurrency.pdf (2.19 MB, 下载次数: 11)


3 研究人员发现针对俄罗斯实体的多次攻击活动

Malwarebytes的安全研究人员发现了针对许多俄罗斯组织的多次攻击,其中包括为俄罗斯弹道导弹和太空火箭项目开发液体和固体燃料的JSC GREC Makeyev公司。网络间谍活动背后的威胁参与者精心策划了鱼叉式网络钓鱼攻击,发送给目标组织的消息使用了武器化的Office文档。这些文件旨在利用CVE-2021-40444 Internet Explorer漏洞并伪装成由公司的人力资源部门发送的。攻击中使用的另一份诱饵文件声称来自莫斯科内政部。该文件的名称翻译为“非法活动通知”,其内容要求收件人填写表格,并在7天内将其返回内政部或回复此电子邮件。

JSC-GREC-Makeyev-spear-phishing.png
https://securityaffairs.co/wordp ... a-orgs-attacks.html


4 威胁行为者使用新的代码签名技巧逃避检测

谷歌威胁分析小组的研究人员报告说,出于经济动机的行为者正在使用新的代码签名技巧来逃避检测。通过对可执行文件进行代码签名,可以验证其完整性并提供有关签名者身份的信息。专家们注意到OpenSUpdater背后的操控者采用了该技术,OpenSUpdater是一个已知的有害软件家族。这些威胁行为者旨在感染尽可能多的用户,他们的大多数目标似乎是对下载游戏破解和灰色区域软件感兴趣的美国用户。

code-signing-trick.png
https://securityaffairs.co/wordp ... void-detection.html


5 攻击者利用虚假Uber安全警报窃取用户信息

Malwarebytes Labs收到了一个伪装成Uber安全警报的骗局,该警报写道“您最近在伦敦通过iPhone登录了您的Uber帐户。如果这不是您,请在此处重置您的密码”攻击者通过来电显示欺诈以使用真正的Uber号码发送虚假安全警报。点击消息内链接,将会跳转到在俄罗斯托管的诈骗网站。该网页要求用户提供电话号码,输入电话号码后提示用户账号已被锁定,需要验证用户身份,并要求用户重新登录。重新登录之后会要求用户提供信用卡详细信息和银行账户详细信息。信息输入完毕诈骗网站将会重定向到真正的Uber主页。

page-1.jpg
https://blog.malwarebytes.com/ma ... a-real-uber-number/


6 Desorden团伙从ABX Express窃取200GB数据

一个自称为“Desorden Group”(“Desorden”)的威胁行为组织声称,于9月23日入侵了马来西亚ABX Express Enterprise的服务器。该团伙从ABX Express Enterprise的服务器上窃取了超过200GB的文件和数据库,以及数千万客户的个人数据,擦除了他们的驱动器并在他们的服务器上留下了关于数据泄露的说明。Desorden表示,此次泄露涉及数百万马来西亚客户的个人数据,航空账单数据库包含1500多万条记录,每条记录都包含发送方和接收方的信息。据报道,其他数据库还包括财务信息、客户和公司记录。

DesordenRF_r.jpg
https://www.databreaches.net/des ... a-from-abx-express/

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-24 06:38

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表