全球70余组织遭Voldemort特工软件攻击

首页 > 清静研究 > 清静转达 > 清静简讯

全球70余组织遭Voldemort特工软件攻击

宣布时间 2024-09-02

1. 全球70余组织遭Voldemort特工软件攻击

9月1日，，，，，，Proofpoint 研究职员揭破了一起重大的特工活动，，，，，，该活动通过名为“Voldemort”的定制恶意软件，，，，，，影响全球70多个组织。。。。此恶意软件通过凌驾20,000封垂纶邮件撒播，，，，，，特殊是8月17日激增近6,000封，，，，，，邮件伪装多国税务机关诱骗用户。。。。攻击链使用Google AMP Cache URL、Cloudflare隧道、WebDAV共享及Python剧本等手艺，，，，，，巧妙指导用户下载并执行恶意LNK或ZIP文件。。。。Voldemort的一大特点是使用Google表格举行下令与控制（C2），，，，，，规避古板清静检测，，，，，，显示了高度的隐藏性和立异性。。。。其目的主要锁定在包管公司、航空航天、交通运输及大学等18个笔直行业，，，，，，且精准定位受害者至其栖身国，，，，，，显示出深条理的特工念头。。。。别的，，，，，，该恶意软件还接纳有数的Windows .search-ms文件名堂，，，，，，伪装远程文件为外地文件，，，，，，连系DLL挟制手艺，，，，，，进一步增添熏染乐成率。。。。然而，，，，，，攻击活动中也袒露出一些简陋之处，，，，，，如使用简朴的文件命名约定，，，，，，使得该活动泛起出“弗兰肯斯坦视鸯合体”的特点，，，，，，难以判断威胁行为者的真实手艺水平。。。。

https://securityonline.info/cyber-espionage-campaign-leverages-novel-tactics-and-voldemort-malware-to-target-global-organizations/https://securityonline.info/cyber-espionage-campaign-leverages-novel-tactics-and-voldemort-malware-to-target-global-organizations/

2. APT组织Citrine Sleet使用Chrome 0day安排FudModule rootkit

8月31日，，，，，，与朝鲜有关联的APT组织Citrine Sleet（亦称AppleJeus、Labyrinth Chollima等）使用新修补的Google Chrome零日误差CVE-2024-7971，，，，，，乐成安排了FudModule rootkit。。。。该误差（CVSS评分8.8）影响特定版本的Chromium，，，，，，允许攻击者在沙盒化的渲染器历程中执行远程代码。。。。Citrine Sleet通过全心设计的垂纶战略，，，，，，诱使受害者会见其控制的恶意域名，，，，，，进而触发CVE-2024-7971误差，，，，，，下载并执行包括Windows沙盒逃逸误差（CVE-2024-38106）和FudModule rootkit的shellcode。。。。FudModule rootkit接纳直接内核工具操作（DKOM）手艺，，，，，，从用户模式运行并改动内核，，，，，，滋扰清静机制，，，，，，只管在目的装备上未检测到后续恶意活动。。。。值得注重的是，，，，，，CVE-2024-38106虽已修复，，，，，，但可能与Citrine Sleet的使用活动无直接关联，，，，，，体现可能保存“误差碰撞”征象。。。。Microsoft强调，，，，，，组织应确保系统实时更新，，，，，，安排具备周全网络攻击链可见性的清静解决计划，，，，，，并增强操作情形设置，，，，，，以有用检测和阻止此类高级威胁。。。。

https://securityaffairs.com/167848/breaking-news/north-korea-linked-apt-exploited-chrome-zero-day-cve-2024-7971.html

3. GitHub 遭滥用：数千条虚伪修复谈论分发Lumma Stealer恶意软件

8月31日，，，，，，GitHub 平台近期遭遇了滥用，，，，，，不法分子通过在项目谈论中宣布虚伪修复程序的方法，，，，，，普遍分发 Lumma Stealer 信息窃取恶意软件。。。。这一活动最初由teloxide rust库的孝顺者在Reddit上揭破，，，，，，随后BleepingComputer深入视察发明，，，，，，数千条类似谈论已遍布GitHub多个项目，，，，，，诱导用户下载并执行包括恶意软件的文件。。。。这些谈论伪装成问题解决计划，，，，，，诱骗用户从mediafire.com或bit.ly链接下载名为“fix.zip”的加密存档，，，，，，并提醒使用统一密码“changeme”解锁。。。。三天内，，，，，，此类推广恶意软件的谈论数目激增至凌驾29,000条。。。。下载的存档中包括DLL文件和可执行文件x86_64-w64-ranlib.exe，，，，，，经剖析确以为Lumma Stealer，，，，，，一种能够深入用户浏览器窃取敏感信息的高级信息窃取工具。。。。别的，，，，，，它还针对加密钱币钱包和特定命名的文本文件举行搜索，，，，，，网络可能包括私钥和密码的数据。。。。只管GitHub迅速响应并删除了这些恶意谈论，，，，，，但已有用户受害。。。。受影响用户需连忙为所有账户替换唯一密码，，，，，，并将加密钱币转移至新钱包。。。。

https://www.bleepingcomputer.com/news/security/github-comments-abused-to-push-password-stealing-malware-masked-as-fixes/

4. 重大网络垂纶攻击揭破：AsyncRAT与Infostealer联手威胁用户清静

8月31日，，，，，，eSentire 威胁响应部分（TRU）的研究职员揭破了一项重大的网络垂纶攻击，，，，，，该攻击使用全心设计的熏染链分发 AsyncRAT 远程会见木马（RAT）及其信息窃取插件 Infostealer。。。。攻击始于一封看似无害的垂纶邮件，，，，，，内含伪装成正常文件的恶意存档。。。。执行后，，，，，，这一存档触发了一系列重大操作，，，，，，包括下载并执行混淆的 VBScript 和 PowerShell 剧本，，，，，，最终安排 AsyncRAT 及其插件。。。。攻击历程中，，，，，，恶意软件通过下载看似无害的图像文件（实为 ZIP 存档）并解压出更多恶意剧本和可执行文件，，，，，，在受害者系统中扎根。。。。它使用妄想使命维持长期性，，，，，，每两分钟执行一次恶意代码，，，，，，并通过历程空心化手艺将 AsyncRAT 注入正当历程中以逃避检测。。。。AsyncRAT 不但为攻击者提供对受熏染系统的远程控制权，，，，，，还搭载了 Infostealer 插件，，，，，，该插件专门瞄准网络浏览器中的加密钱包扩展和2FA验证工具，，，，，，旨在窃取包括密码、凭证和加密钱币钱包在内的名贵数据。。。。eSentire TRU 呼吁用户坚持高度小心。。。。

https://securityonline.info/evasive-phishing-campaign-delivers-asyncrat-and-infostealer/

5. People Data Labs1.7亿条敏感信息无密码袒露

8月30日，，，，，，Cybernews研究团队近期发明了一项重大数据泄露事务，，，，，，涉及凌驾1.7亿条敏感小我私家信息在互联网上果真袒露，，，，，，数据内容详尽，，，，，，包括全名、联系方法、地点、教育配景及事情履历等。。。。此次泄露的数据集标有“PDL”标识，，，，，，指向旧金山的数据经纪公司People Data Labs（PDL），，，，，，该公司自称拥有15亿小我私家档案数据库，，，，，，效劳于企业营销、销售及招聘等领域。。。。只管数据泄露源头尚未明确，，，，，，但Elasticsearch效劳器未设密码的严重清静误差成为焦点，，，，，，这种设置极易被黑客使用，，，，，，迅速窃取数据，，，，，，对小我私家隐私组成重大威胁，，，，，，增添身份偷窃、诓骗及网络垂纶危害。。。。值得注重的是，，，，，，PDL此前已爆发过类似的数据泄露事故，，，，，，同样因未保�；；；；；さ腅lasticsearch效劳器导致，，，，，，涉及数据规模更为重大。。。。此次泄露的“Version 26.2”数据集可能与此前事务有关联，，，，，，再次袒露了PDL在数据清静方面的重大缺陷。。。。

https://cybernews.com/security/people-data-labs-data-leak/

6. Roblox开发职员频遭攻击，，，，，，伪造npm包撒播恶意软件

9月2日，，，，，，Roblox 开发职员成为一系列恶意攻击的目的，，，，，，这些攻击通过伪造 npm 包，，，，，，尤其是模拟盛行的 noblox.js 库，，，，，，妄想窃取敏感数据和破损系统。。。。自今年头以来，，，，，，多个名为 noblox.js 变种的软件包被确以为恶意，，，，，，包括 noblox.js-proxy-server 和 noblox-ts，，，，，，它们通过品牌挟制、组合抢注和星号挟制等手艺伪装成正当库，，，，，，诱导开发者下载。。。。这些恶意包如 noblox.js-async、noblox.js-thread 等，，，，，，只管下载量有限，，，，，，却乐成诱骗了用户。。。。别的，，，，，，攻击者还接纳 starjacking 手法，，，，，，将虚伪软件包的源存储库标记为现实 noblox.js 库，，，，，，增强信任度。。。。这些恶意软件包内嵌的代码不但窃取 Discord 令牌，，，，，，还通过修改 Windows 注册表和更新防病毒扫除列表来逃避检测和维持长期性。。。。每当用户实验翻开 Windows 设置应用时，，，，，，恶意软件便会被激活。。。。最终目的是安排 Quasar RAT，，，，，，使攻击者能远程控制受熏染系统，，，，，，并将网络到的信息通过 Discord webhook 发送至 C2 效劳器。。。。只管已有步伐扫除这些恶意软件，，，，，，但新软件包仍一直泛起，，，，，，提醒开发职员需坚持高度小心。。。。

https://thehackernews.com/2024/09/malicious-npm-packages-mimicking.html

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究