AgentTesla基于无文件 .NET 的代码注入举行撒播

首页 > 清静研究 > 清静转达 > 清静简讯

AgentTesla基于无文件 .NET 的代码注入举行撒播

宣布时间 2024-04-30

1. AgentTesla基于无文件 .NET 的代码注入举行撒播

4月29日，，，，，，，最近的恶意软件活动使用 Word 文档中的 VBA 宏来下载并执行 64 位 Rust 二进制文件。。。。。该二进制文件接纳无文件注入手艺将恶意 AgentTesla 有用负载加载到其内存空间中。。。。。该恶意软件使用 CLR 托管（一种本机历程执行 .NET 代码的机制）来实现此目的，，，，，，，并且动态加载 .NET 运行时库，，，，，，，从而允许恶意软件在不将文件写入光盘的情形下举行操作。。。。。该恶意软件通过修补“EtwEventWrite”API 来禁用 Windows 事务跟踪 (ETW)，，，，，，，然后从特定 URL 下载包括 AgenetTesla 有用负载的 shellcode。。。。。然后使用“EnumSystemLocalesA”API 执行 shellcode。。。。。

https://gbhackers.com/clr-hosting-used-by-agenttesla/

2. 针对 USPS 的网络垂纶活动与 USPS 自己一样多

4月26日，，，，，，，Akamai 研究职员发明了大宗极有可能的恶意活动和声称与美国邮政效劳 (USPS) 相关的域名。。。。。Akamai 研究职员将五个月的正当域名 usps[.]com 的 DNS 流量与不法组合抢注域名的 DNS 流量举行了较量。。。。。恶意域与 usps[.]com 的总盘问计数险些相同，，，，，，，纵然仅盘算包括明确 USPS 缩写词的域也是云云。。。。。只管在此剖析中，，，，，，，USPS 赢得了这 5 个月时代总盘问量的 51%，，，，，，，但我们过滤数据的方法批注，，，，，，，恶意流量显着凌驾了现实天下中的正当流量。。。。。我们看到恶意行为者接纳了两种差别的要领：他们要么将流量疏散到许多差别的域名，，，，，，，要么仅使用几个域，，，，，，，每个域都有大宗流量。。。。。这可能是出于混淆目的：运营商和其他托管提供商意识到这些诈骗的普遍保存，，，，，，，并正在小心地实验识别和删除这些页面。。。。�？？Ｋ剂康较庑┤μ椎墓刈⑺剑�，，，，，，他们的效果和鉴黑担保网视察更令人担心。。。。。

https://www.akamai.com/blog/security-research/phishing-usps-malicious-domains-traffic-equal-to-legitimate-traffic

3. 谷歌浏览器的新后量子加密手艺可能会破损 TLS 毗连

4月28日，，，，，，，一些 Google Chrome 用户报告在 Chrome 124 上周宣布后，，，，，，，在默认启用新的抗量子 X25519Kyber768 封装机制的情形下，，，，，，，毗连到网站、效劳器和防火墙时泛起问题。。。。。谷歌已测试量子清静 TLS 密钥封装机制，，，，，，，现已在最新的 Chrome 版本中为所有用户启用。。。。。新版本使用用于 TLS 1.3 和 QUIC 毗连的 Kyber768 抗量子密钥协商算法来�；；；；；� Chrome TLS 流量免受量子密码剖析。。。。。这些过失不是由 Google Chrome 中的过失引起的，，，，，，，而是由 Web 效劳器未能准确实现传输层清静性 (TLS) 以及无法处置惩罚用于后量子加密的较大 ClientHello 新闻引起的。。。。。若是不支持 X25519Kyber768，，，，，，，这会导致他们拒绝使用 Kyber768 抗量子密钥协商算法的毗连，，，，，，，而不是切换到经典加密。。。。。

https://www.bleepingcomputer.com/news/security/google-chromes-new-post-quantum-cryptography-may-break-tls-connections/

4. Kotak Mahindra 银行被榨取应用程序注册新客户

4月28日，，，，，，，印度储备银行已实验对 Kotak Mahindra 银行的禁令，，，，，，，榨取通过在线效劳和应用程序注册新客户。。。。。该步伐是在IT系统治理中发明重大缺陷后接纳的，，，，，，，这些缺陷包括IT资产治理、更新和变换、用户会见、供应商相关危害、数据清静、数据泄露预防战略和灾难恢复战略。。。。。Kotak Mahindra Bank 为凌驾 4100 万客户提供效劳，，，，，，，治理着凌驾 5000 亿美元的资产，，，，，，，该银行在 2022/2023 财年年度报告中体现，，，，，，，该银行一直致力于增强清静步伐。。。。。然而，，，，，，，央行以为这些起劲不敷。。。。。历时两年的检查显示，，，，，，，该行未能充分解决IT危害和信息清静治理问题。。。。。别的，，，，，，，该银行还履历了影响客户的手艺故障，，，，，，，引发了人们对其坚持运营弹性与其增添率坚持一致的能力的担心。。。。。

https://meterpreter.org/rbi-cracks-down-on-kotak-mahindra-online-banking-halt/

5. 黑客声称已渗透白俄罗斯的主要清静部分

4月28日，，，，，，，白俄罗斯黑客组织声称已渗透到该国主要克格勃清静机构的网络，，，，，，，并会见了该组织 8600 多名员工的人事档案，，，，，，，该组织仍以其苏联名称命名。。。。。为了支持其说法，，，，，，，白俄罗斯网络游击队在新闻应用程序 Telegram 的页面上宣布了该网站治理员、数据库和效劳器日志的列表。。。。。网络游击队在已往四年中对白俄罗斯官方媒体举行了数次大规模攻击，，，，，，，并在 2022 年对白俄罗斯铁路举行了 3 次黑客攻击，，，，，，，挟制了交通灯和控制系统的控制权。。。。。

https://www.securityweek.com/hackers-claim-to-have-infiltrated-belarus-main-security-service/

6. 抓取Discord的6.2亿条信息的Spy.pet已关闭

4月29日，，，，，，，该网站自去年 11 月以来一直在窃取 Discord 用户的公共数据，，，，，，，并于上周被发明该平台包括来自 14000 多台 Discord 效劳器的近 6.2 亿用户的新闻后被曝光。。。。。当 Spy.pet 被发明时，，，，，，，Discord 正在起劲对任何违反其效劳条款的人接纳行动，，，，，，，但无法透露更多信息。。。。。Discord已经禁用与Spy.pet 网站有关的帐户。。。。。Spy.pet 声称可以会见的 Discord 效劳器数目上周最先下降，，，，，，，上周四降至零。。。。。到周五，，，，，，，Spy.pet 网站自己已经阻止运营——只管尚不清晰该网站是否由于 Discord 的行为而离线。。。。。

https://www.theregister.com/2024/04/29/infosec_in_brief/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究