Nitrogen伪装成 PuTTY 或 FileZilla 部署BlackCat
发布时间 2024-04-114月9日,最初的入侵是从通过 Google 搜索显示的恶意广告开始的。我们观察到了几个不同的广告客户帐户,这些帐户都报告给了谷歌。这些诱饵是 IT 管理员常用的实用程序,例如 PuTTY 和 FileZilla。Nitrogen 威胁行为者部署的恶意广告基础设施使用伪装页面,该页面可以重定向到诱饵网站或臭名昭著的 Rick Astley 视频。如果活动尚未武器化或恶意服务器检测到无效流量(机器人、爬虫等),则可以激活到诱饵页面的重定向。该恶意广告链的最后一步包括下载并运行恶意软件有效负载。Nitrogen 使用一种称为 DLL 旁加载的技术,通过该技术,合法且经过签名的可执行文件会启动 DLL。在本例中,setup.exe(来自 Python Software Foundation)侧载python311.dll (Nitrogen)。
https://www.malwarebytes.com/blog/threat-intelligence/2024/04/active-nitrogen-campaign-delivered-via-malicious-ads-for-putty-filezilla
2. 微软修复了 Windows 两个已经被利用的零日漏洞
4月9日,微软在 2024 年 4 月的补丁星期二期间修复了两个被积极利用的零日漏洞,尽管该公司最初未能对它们进行标记。第一个漏洞被跟踪为CVE-2024-26234,被描述为代理驱动程序欺骗漏洞,旨在跟踪 使用有效的 Microsoft 硬件发行商证书签名的恶意驱动程序,该恶意文件被“Catalog Thales”标记为“Catalog Authentication Client Service”,可能是试图冒充 Thales Group。第二个零日漏洞被追踪为CVE-2024-29988,被描述为由保护机制故障弱点导致的SmartScreen提示安全功能绕过漏洞。CVE-2024-29988 是 CVE-2024-21412 缺陷的绕过方法,由趋势科技零日计划的 Peter Girnus 以及 Google 威胁分析小组 Dmitrij Lenz 和 Vlad Stolyarov 报告。
https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-two-windows-zero-days-exploited-in-malware-attacks/
3. 超过9.1万台 LG 智能电视容易受到黑客攻击
4月9日,Bitdefender 研究人员在智能电视上运行的 LG webOS 中发现了多个漏洞,这些漏洞可被用来绕过授权并获得设备的 root 访问权限。研究人员发现的漏洞影响 LG 电视上运行的 WebOS 版本 4 至 7。WebOS 在端口 3000/3001 (HTTP/HTTPS/WSS) 上运行一项服务,LG ThinkQ 智能手机应用程序使用该服务来控制电视。要设置该应用程序,用户必须在电视屏幕上输入 PIN 码。帐户处理程序中的错误使攻击者可以完全跳过 PIN 验证并创建特权用户配置文件。尽管该易受攻击的服务仅用于 LAN 访问,但通过查询 Shodan,他们发现了超过 91000 个将该 服务暴露到互联网的设备。此时,暴露的设备数量减少至88000个。大多数面向互联网的设备位于韩国、美国、瑞典和芬兰等。
https://securityaffairs.com/161651/hacking/lg-smart-tvs-vulnerable.html
4. GHC-SCW称勒索软件团伙窃取了其53万人的健康数据
4月9日,威斯康星州中南部非营利性医疗服务提供商 Group Health Cooperative (GHC-SCW) 披露,勒索软件团伙于 1 月份侵入其网络,窃取了包含超过 50 万人的个人和医疗信息的文件。然而,攻击者无法加密受感染的设备,这使得 GHC-SCW 在外部网络事件响应专家的帮助下保护其系统,并在隔离这些设备以遏制漏洞后将其恢复在线。一月份勒索软件攻击期间被盗的健康数据包括受影响个人的姓名、地址、电话号码、电子邮件地址、出生和/或死亡日期、社会安全号码、会员号码以及医疗保险和/或医疗补助号码。尽管没有提供受影响人数的具体数字,但与美国卫生与公众服务部共享的其他信息显示,数据泄露影响了 533809 人。
https://www.bleepingcomputer.com/news/security/ghc-scw-ransomware-gang-stole-health-data-of-533-000-people/
5. BatBadBut Rust 漏洞使 Windows 系统面临攻击
4月10日,Rust 标准库中的一个关键安全漏洞可能会被利用来针对 Windows 用户并发起命令注入攻击。该漏洞的编号为CVE-2024-24576,CVSS 评分为 10.0,表明严重程度最高。也就是说,它仅影响在 Windows 上使用不受信任的参数调用批处理文件的场景。Rust 安全响应工作组在 2024 年 4 月 9 日发布的公告中表示:在 Windows 上使用 Command API 调用批处理文件(带有 bat 和 cmd 扩展名)时,Rust 标准库没有正确转义参数。能够控制传递给生成进程的参数的攻击者可以通过绕过转义来执行任意 shell 命令。该缺陷影响 1.77.2 之前的所有 Rust 版本。
https://thehackernews.com/2024/04/critical-batbadbut-rust-vulnerability.html
6. Medusa 团伙称对德克萨斯州某政府机构的攻击负责
4月9日,塔兰特县评估区(Tarrant County Appraisal District)负责确定沃斯堡地区用于税收目的的房地产,两周前向 Recorded Future News 证实,该县是勒索软件攻击的受害者。周一,Medusa 网络犯罪团伙声称对这起事件负责,并威胁称,如果不支付 10 万美元的赎金,他们将在六天内公开近 218 GB 的数据。县官员没有回应有关是否支付赎金的置评请求,但他们于 4 月 3 日发布警告称,黑客公开了约 300 人的数据。该组织于 2023 年首次出现,其受害者名单迅速扩大。美杜莎因对丰田和加拿大两家最大银行的攻击而成为头条新闻。
https://therecord.media/tarrant-county-texas-ransomware-attack-medusa
京公网安备11010802024551号