DINODASRAT LINUX 变种针对全球用户
发布时间 2024-04-023月31日,卡巴斯基实验室的研究人员发现了 Linux 版本的多平台后门 DinodasRAT,该后门被用于针对中国、土耳其和乌兹别克斯坦。DinodasRAT(又名 XDealer)是用 C++ 编写的,支持广泛的功能来监视用户并从目标系统窃取敏感数据。ESET 研究人员报告称,Windows 版本的 DinodasRAT 被用于针对圭亚那政府实体的攻击。ESET 于 2023 年 10 月首次发现新的 Linux 版本的 DinodasRAT,但专家认为它自 2022 年以来就一直活跃。2024 年 3 月,趋势科技研究人员在调查与中国相关的 APT Earth Lusca活动时发现了由被追踪为 Earth Krahang 的威胁行为者发起的复杂活动 。该活动至少从 2022 年初开始似乎就很活跃,主要针对政府组织。自 2023 年起,Earth Krahang 转移到另一个后门( TeamT5命名为 XDealer , ESET 命名为DinodasRAT )。相比RESHELL,XDealer提供了更全面的后门功能。此外,我们发现威胁行为者同时使用 Windows 和 Linux 版本的 XDealer 来针对不同的系统。
https://securityaffairs.com/161255/malware/linux-variant-dinodasrat-backdoor.html
2. 全球密码喷洒活动针对 VPN 系统可导致系统锁定
3月31日,思科已发布关于针对全球企业使用的远程访问 VPN (RAVPN) 系统的广泛密码喷洒活动的严重警告。这种攻击激增的目的是用通用密码淹没 VPN 登录,可能会锁定合法用户并扰乱远程工作。密码喷洒活动会影响各种 VPN 提供商,而不仅仅是思科。依赖远程访问的企业需要保持高度警惕。这些攻击的后果不仅仅是未经授权的访问;它们有可能锁定帐户并引发类似拒绝服务 (DoS) 的情况,从而破坏数字操作的无缝流程并损害安全通信的完整性。该活动凸显了远程访问解决方案所面临的持续威胁。组织必须优先考虑强大的身份验证、警惕的监控和强大的事件响应计划,以领先于不断变化的攻击方法。
https://securityonline.info/global-password-spraying-campaign-targets-vpn-systems-causing-lockouts/
3. 木马化 npm 软件包瞄准加密货币钱包
3月31日,Phylum 研究团队暴露了一个伪装成合法工具包的恶意npm 包。该软件包名为“vue2util”,偷偷地执行了一项复杂的计划,旨在从毫无戒心的加密货币钱包中窃取 USDT 代币。“vue2util”看起来像是标准实用函数的集合。然而,它隐藏了一个险恶的有效负载,当导入到项目中时,该有效负载会从远程服务器加载恶意脚本。加载的脚本以币安智能链的用户为目标,搜索持有 USDT 加密货币的钱包。恶意软件利用 ERC20 合约(管理 USDT)的审批流程。它允许自己无限制地访问受害者持有的 USDT,无需进一步授权。为了增加成功的机会,恶意软件巧妙地将其执行链接到用户网页上标记为“buy_btn”的按钮。只需单击一下,受害者就会在不知不觉中触发令牌盗窃。
https://securityonline.info/trojanized-npm-package-targets-cryptocurrency-wallets-steals-usdt/
4. 研究团队发现使用 Google Ads 跟踪功能分发恶意软件
4月1日,AhnLab 安全情报中心 (ASEC) 最近检测到使用 Google Ads 跟踪功能分发的恶意软件变种。已确认的案例表明,该恶意软件是通过伪装成 Notion 和 Slack 等流行群件的安装程序来传播的。一旦恶意软件安装并执行,它就会从攻击者的服务器下载恶意文件和有效负载。此类恶意软件以安装程序形式分发,通常为 Inno Setup 安装程序或 Nullsoft 脚本安装系统 (NSIS) 安装程序。其中,Notion_software_x64_.exe文件直到最近用户在Google上用关键字“notion”搜索时才出现。攻击者使用 Google Ads 跟踪来诱骗用户认为他们正在访问合法网站。Google Ads 跟踪允许广告客户插入外部分析网站地址,以收集和使用访问者的访问相关数据来计算广告流量。Google Ads 跟踪最初用于分析网站流量。但是,该特定广告不包含外部静态站点,而是包含恶意代码分发站点。
目前攻击者的广告已被删除。
https://asec.ahnlab.com/en/63477/
5. 黑客使用 Microsoft OneNote 来策划网络攻击
4月1日,该活动在网络安全专家的关注下,展示了网络威胁的新趋势,即利用常用的办公应用程序未经授权访问企业网络。pr0xylife 首先在其 GitHub 存储库上记录了该恶意活动。它揭露了针对制造、技术、能源、零售、保险和其他几个行业的公司的广泛电子邮件网络钓鱼操作。这些电子邮件包含声称是“安全消息”的 OneNote 附件,这是一种欺骗收件人打开文件的幌子。该活动强调了网络威胁不断演变的情况,攻击者利用对常用应用程序的信任来绕过传统的安全措施。使用 Microsoft OneNote 文件传播恶意软件代表着向更具创造性的攻击媒介的转变,因此需要重新评估网络安全策略以防范此类威胁。
https://gbhackers.com/microsoft-onenote-orchestrate/
6. TeamCity 修补了 26 个漏洞并保密详细信息
4月1日,在 JetBrains 的持续集成和交付 (CI/CD) TeamCity 最近的软件更新中,解决了 26 个安全问题。然而,该公司选择不透露有关已发现漏洞的任何细节,引发了专业界的激烈讨论。TeamCity 2024.03 版本更新旨在保护用户免受潜在威胁,但完全没有有关 26 个漏洞的详细信息,着实让安全专家感到惊讶。该公司缺乏透明度,特别是在 Rapid7 的专家批评 JetBrains 不够开放的事件之后,一直受到特别批评。JetBrains 声称,保留详细信息只是为了保护使用旧版 TeamCity 的客户,尽管这在业界并未得到广泛接受。尽管如此,该公司的意图还是可以理解的。对于想要攻击软件供应链的犯罪分子来说,TeamCity 仍然是一个有吸引力的目标。历史表明,此类攻击可能会产生严重后果,正如 SolarWinds 的案例所示。
https://meterpreter.org/teamcity-patches-26-vulnerabilities-keeps-details-secret/
京公网安备11010802024551号