PipeMagic木马使用伪造ChatGPT应用程序攻击沙特阿拉伯

宣布时间 2024-10-17

1. PipeMagic木马使用伪造ChatGPT应用程序攻击沙特阿拉伯


10月15日,,,卡巴斯基全球研究与剖析团队(GReAT)近期披露了一项新的网络攻击活动,,,该活动使用一种名为PipeMagic的重大后门木马举行撒播,,,其地理目的已从亚洲扩展到沙特阿拉伯。。。。此次攻击中,,,网络犯法分子接纳了一款用Rust开发的伪造ChatGPT应用程序作为初始熏染前言,,,该程序使用常见的Rust库来规避起源检测,,,但在执行时仅显示空缺屏幕,,,并隐藏一个包括恶意负载的加密数据数组。。。。在后续阶段,,,恶意软件会接纳名称哈希算法定位要害的Windows API函数,,,以分派内存、加载PipeMagic后门、设置设置并启动恶意软件。。。。PipeMagic木马具有奇异的功效,,,能够天生一个16字节的随机数组,,,用于建设命名管道以实现隐藏通讯和下令执行,,,其下令和控制(C2)效劳器被托管在Microsoft Azure上。。。。


https://securityonline.info/pipemagic-trojan-exploits-fake-chatgpt-app-to-target-saudi-arabian-organizations/


2. ErrorFather活动使用未被发明Cerberus银行木马举行重大攻击


10月15日,,,网络清静提供商Cyble报告了一项新的重大恶意活动,,,该活动正在使用未被发明的Cerberus Android银行木马负载。。。。Cyble发明了15个冒充Chrome和Play Store应用的恶意样本,,,这些样本接纳多阶段投放器安排银行木马负载,,,并使用了Cerberus银行木马。。。。Cerberus是一种可以窃取银行应用程序登录凭证、信用卡详细信息和其他小我私家信息的恶意程序,,,自2019年泛起以来已成为最著名的银行木马之一。。。。只管其源代码在2020年泄露,,,导致泛起了新的变种如Alien和ERMAC,,,但Cerberus及其分支仍在一直被重新使用。。。。此次ErrorFather活动中,,,威胁行为者对恶意软件举行了稍微修改,,,但主要基于原始的Cerberus代码,,,接纳了重大的熏染链,,,使检测和删除事情变得重大。。。。最终的有用载荷接纳键盘纪录、笼罩攻击、VNC和域天生算法(DGA)来执行恶意活动。。。。Cyble建议用户仅从官方应用市肆下载软件,,,使用着名防病毒和互联网清静软件包,,,使用强密码和多因素身份验证,,,启用生物识别清静功效,,,并确保Android装备上启用了Google Play Protect。。。。


https://www.infosecurity-magazine.com/news/cerberus-android-banking-trojan/


3. CISA忠言SolarWinds WHD软件严重清静误差正被起劲使用


10月16日,,,美国网络清静和基础设施清静局(CISA)宣布,,,已将影响SolarWinds Web Help Desk (WHD) 软件的严重清静误差CVE-2024-28987(CVSS评分9.1)添加到其已知被使用误差(KEV)目录中,,,并指出已有证据批注该误差正在被自动使用。。。。此误差与硬编码凭证相关,,,可能使远程未经身份验证的用户获得会见权限并举行数据修改。。。。SolarWinds在2024年8月下旬首次果真了该误差详情,,,随后网络清静公司Horizon3.ai进一步提供了手艺细节。。。。清静研究员扎克·汉利指出,,,该误差能让攻击者远程读取和修改资助台票证中的敏感信息,,,如重置密码请求和效劳帐户凭证。。。。只管现在尚不清晰该误差的详细使用情形和使用者身份,,,但这一发明紧随CISA两个月前将统一软件中的另一高危误差(CVE-2024-28986,,,CVSS评分9.8)纳入KEV目录之后。。。。鉴于此,,,联邦民事行政部分(FCEB)机构需在2024年11月5日前应用最新修复程序(版本12.8.3 Hotfix 2或更高),,,以确保网络清静。。。。


https://thehackernews.com/2024/10/cisa-warns-of-active-exploitation-in.html


4. 黑客使用EDRSilencer红队工具绕过清静防护举行攻击


10月15日,,,研究职员克日发明了一种名为EDRSilencer的红队操作工具,,,该工具能够识别清静工具并将其向治理控制台发出的警报静音,,,从而资助攻击者逃避检测。。。。EDRSilencer是一个开源工具,,,受MdSec NightHawk FireBlock启发而开发,,,可检测运行中的端点检测和响应(EDR)历程,,,并使用Windows过滤平台(WFP)监控、阻止或修改网络流量。。。。通过自界说规则,,,攻击者可以破损EDR工具与其治理效劳器之间的数据交流,,,阻止警报和遥测报告的发送。。。。在最新版本中,,,EDRSilencer可检测并阻止16种现代EDR工具。。。。趋势科技等网络清静公司对EDRSilencer举行了测试,,,发明一些受影响的EDR工具可能仍能发送报告,,,但EDRSilencer允许攻击者扩展目的历程列表以涵盖种种清静工具。。。。这使得恶意软件或其他恶意活动可能仍未被发明,,,增添了攻击乐成的可能性。。。。趋势科技建议将EDRSilencer作为恶意软件举行检测,,,并实验多条理的清静控制来提防此类攻击。。。。


https://www.bleepingcomputer.com/news/security/edrsilencer-red-team-tool-used-in-attacks-to-bypass-security/


5. OwlTing因AWS S3存储桶设置过失,,,袒露765,000用户敏感数据


10月15日,,,区块链手艺公司OwlTing因设置过失的亚马逊S3存储桶,,,意外袒露了765,000名用户的敏感数据,,,主要影响台湾的旅馆客人。。。。泄露的数据包括全名、电话号码、电子邮件地点以及旅馆预订详情等小我私家信息。。。。OwlTing建设于2010年,,,是一家效劳于全球旅游、食物清静、旅馆、媒体和其他电子商务领域并提供着名区块链解决计划的台湾公司。。。。OwlTing确认了数据泄露,,,但声称不涉及敏感数据,,,然而Cybernews研究职员忠言说,,,这些信息可能导致身份偷窃和诓骗。。。。泄露的数据对网络犯法分子来说很是有价值,,,可能被用于鱼叉式网络垂纶、语音垂纶、短信垂纶等攻击。。。。Cybernews建议接纳一系列步伐来缓解亚马逊S3存储桶袒露的危害,,,包括限制果真会见、监控会见日志、启用效劳器端加密等。。。。


https://cybernews.com/security/taiwan-visitors-exposed-in-massive-data-leak-owlting/


6. 朝鲜黑客组织ScarCruft使用IE零日误差提倡攻击


10月16日,,,朝鲜黑客组织ScarCruft(又称APT37或RedEyes)于5月提倡大规模攻击,,,使用Internet Explorer的零日误差CVE-2024-39178,,,通过特制的Toast弹出广告熏染目的装备,,,植入RokRAT恶意软件以窃取数据。。。。该误差为类型混淆误差,,,ASEC和NCSC发明后迅速通知微软,,,微软于8月宣布清静更新修复。。。。研究职员指出,,,此次攻击的误差与ScarCruft已往使用的CVE-2022-41128误差相似,,,仅增添三行代码以绕过旧修复。。。。ScarCruft入侵韩国广告公司效劳器,,,在盛行免费软件中推送含恶意iframe的Toast广告,,,当由Internet Explorer渲染时,,,触发远程代码执行。。。。RokRAT变种每30分钟将特定文件传输至Yandex云实例,,,同时执行键盘纪录、监视剪贴板更改和屏幕截图捕获。。。。攻击通过四步历程注入“explorer.exe”历程以逃避检测,,,若检测到Avast或Symantec防病毒软件,,,则将恶意软件注入随机可执行文件中。。。。通过在Windows启动时添加最终有用负载并注册到系统调理程序中,,,实现长期性熏染。。。。


https://www.bleepingcomputer.com/news/security/malicious-ads-exploited-internet-explorer-zero-day-to-drop-malware/