Sucuri发现大规模的SEO活动已入侵近15000个网站

发布时间 2022-11-11
1、Sucuri发现大规模的SEO活动已入侵近15000个网站

据11月9日报道,Sucuri发现一起大规模的搜索引擎优化(SEO)活动,入侵了近15000个网站,将访问者重定向到伪造的问答讨论论坛。每个被攻击的网站都包含大约20000个文件,作为搜索引擎垃圾邮件活动的一部分,其中大多数网站是WordPress。攻击者会修改WordPress的PHP文件,如'wp-singup.php'和'wp-cron.php',来注入重定向。有时攻击者会在目标网站上分发他们自己的PHP文件,并使用了随机或伪合法的文件名,如'wp-logln.php'。

https://www.bleepingcomputer.com/news/security/15-000-sites-hacked-for-massive-google-seo-poisoning-campaign/

2、Mandian检测到APT29针对欧洲外交组织的攻击活动

Mandian在11月8日称,APT29成功地钓鱼攻击了一个欧洲的外交实体,并最终利用了Windows凭证漫游(Credential Roaming)功能。研究人员在2022年初APT29感染目标时,观察到针对Active Directory系统执行的大量具有非典型属性的LDAP查询。进一步检查发现,此属性是Active Directory凭据漫游功能的一部分。研究人员还强调了一个任意文件写入导致的远程代码执行漏洞(CVE-2022-30170),可被攻击者武器化来执行攻击。

https://www.mandiant.com/resources/blog/apt29-windows-credential-roaming

3、IceXLoader声称已感染全球数千台个人和组织的PC

11月8日报道称,新版本的IceXLoader可能已感染了全球数千台设备。IceXLoader于今年6月首次被Fortinet发现,是一种商业恶意软件。当时发现的版本(v3.0)好像仍在开发中,研究人员近期发现了一个功能齐全且包含多阶段分发链的版本(v3.3.3)。感染始于通过钓鱼邮件发送的ZIP文件,它会分发下一阶段的可执行文件STOREM~2.exe,最终IceXLoader会使用进程空心注入到STREM~2.exe中。研究人员已向受影响的公司通报了此次事件,但该恶意软件的被攻击目标的数据库仍在不断更新。

https://minerva-labs.com/blog/new-updated-icexloader-claims-thousands-of-victims-around-the-world/

4、欧洲刑警组织逮捕涉嫌参与LockBit勒索攻击的嫌疑人

欧洲刑警组织11月10日宣布逮捕了一名与LockBit勒索攻击有关的嫌疑人。这名33岁的嫌疑人名叫Mikhail Vasiliev,拥有俄罗斯和加拿大双国籍,于10月26日在加拿大安大略省被捕。执法人员从其家中查获了8台电脑和32个外置硬盘、两把枪和价值40万欧元的加密货币。虽然欧洲刑警组织将其描述为LockBit的运营人员,但他很可能是作为该活动的附属机构而非管理者。他现在正在等待因涉嫌参与LockBit勒索攻击而被引渡到美国。

https://www.bleepingcomputer.com/news/security/russian-lockbit-ransomware-operator-arrested-in-canada/

5、Trend Micro发布关于Earth Longzhi团伙的分析报告

Trend Micro在11月9日发布了关于Earth Longzhi团伙的分析报告。该团伙从2020年就开始活跃,利用定制版本的Cobalt Strike加载程序在目标中植入后门。它还与Earth Baku有相似的TTP,两者都被认为是APT41子组织。该组织第一次活动发生在2020年5月至2021年2月,利用Symatic攻击中国台湾的政府、医疗保健和学术等行业。第二次活动从2021年8月持续到2022年6月,利用CroxLoader、BigpipeLoader和OutLoader等工具,针对泰国、马来西亚和印度尼西亚等国家的组织。

https://www.trendmicro.com/en_us/research/22/k/hack-the-real-box-apt41-new-subgroup-earth-longzhi.html

6、Check Point发布PyPI上恶意包混淆方式的分析报告

11月9日,Check Point透露其检测到一个新的恶意程序包,旨在隐藏图像中的代码并通过Github上的开源项目感染PyPI用户。该恶意包名为apicolor,看似是个普通的包,但它会先手动安装两个包requests和judyb。judyb代码是一个隐写模块,负责隐藏和显示图片中的隐藏信息。用户在搜索并安装这些开源项目时,并不知道其中隐藏着恶意代码。目前,PyPI在收到Check Point的报告后删除了apicolor包。

https://research.checkpoint.com/2022/check-point-cloudguard-spectral-exposes-new-obfuscation-techniques-for-malicious-packages-on-pypi/