越南威胁组织使用恶意软件瞄准数字营销专家

首页 > 清静研究 > 清静转达 > 清静简讯

越南威胁组织使用恶意软件瞄准数字营销专家

宣布时间 2024-10-22

1. 越南威胁组织使用恶意软件瞄准数字营销专家

10月20日，，，，，，，Cyble 研究与情报实验室 (CRIL) 最近揭破了一次针对数字营销专业人士，，，，，，，特殊是 Facebook 和 Instagram 广告专家的重大攻击活动。。。。。。自 2022 年 7 月起，，，，，，，一个越南威胁组织一直在撒播 Ducktail 和 Quasar RAT 等恶意软件，，，，，，，接纳网络垂纶、沙盒逃避和特权升级手艺。。。。。。攻击始于包括伪装成 PDF 的恶意 LNK 文件的网络垂纶邮件，，，，，，，这些文件会执行 PowerShell 下令，，，，，，，下载混淆和编码过的剧本，，，，，，，通常托管在 Dropbox 等平台上。。。。。。通过多重反沙盒和反调试检查，，，，，，，恶意软件确保仅在真真相形中运行。。。。。。一旦确认目的，，，，，，，剧本将解密有用载荷，，，，，，，安排 Quasar RAT，，，，，，，使攻击者能完全控制受害者系统，，，，，，，窃取数据和凭证。。。。。。该组织使用 AES 加密、反调试手艺和基于 .NET 的高级混淆，，，，，，，逃避古板清静解决计划。。。。。。别的，，，，，，，该组织一直刷新战略，，，，，，，整合恶意软件即效劳 (MaaS) 产品，，，，，，，提升营业规模。。。。。。

https://securityonline.info/ducktail-quasar-rat-vietnamese-threat-actors-target-meta-ads-professionals/

2. Lumma Stealer：通过伪造CAPTCHA与CDN撒播的一连信息窃取威胁

10月20日，，，，，，，Lumma Stealer 是一种通过恶意软件即效劳（MaaS）提供的信息窃取恶意软件，，，，，，，专门窃取敏感数据如密码、浏览器信息和加密钱币钱包详情。。。。。。攻击者已从古板的网络垂纶转向使用正当软件撒播 Lumma Stealer，，，，，，，并通过伪造的 CAPTCHA 验证诱骗用户执行恶意载荷，，，，，，，使其成为一种一连威胁。。。。。。Qualys威胁研究部分（TRU）一连监控 Lumma Stealer 活动，，，，，，，并发明攻击者使用多阶段无文件手艺转达最终载荷，，，，，，，增添了威胁的诱骗性和长期性。。。。。。攻击链从用户被重定向到虚伪 CAPTCHA 网站最先，，，，，，，通过点击验证按钮触发 PowerShell 下令执行，，，，，，，下载并启动恶意软件下载程序。。。。。。最终，，，，，，，恶意软件 Lumma Stealer（VectirFree.exe）通过历程挖空手艺注入正当程序，，，，，，，逃避检测，，，，，，，并在系统中搜索加密钱币和密码相关的敏感文件和数据。。。。。。Lumma Stealer 还会与下令和控制（C2）效劳器通讯，，，，，，，以窃取被盗数据，，，，，，，并实验使用特定顶级域名毗连到 C2 效劳器域。。。。。。威胁行为者使用内容分发网络（CDN）举行载荷传送，，，，，，，增添了威胁的重大性。。。。。。

https://blog.qualys.com/vulnerabilities-threat-research/2024/10/20/unmasking-lumma-stealer-analyzing-deceptive-tactics-with-fake-captcha

3. Roundcube误差遭黑客使用，，，，，，，网络垂纶攻击窃取用户凭证

10月21日，，，，，，，黑客使用现已修补的Roundcube误差CVE-2024-37383（CVSS评分6.1）提倡了网络垂纶攻击，，，，，，，旨在从开源网络邮件软件中窃取用户凭证。。。。。。Positive Technologies的研究职员发明，，，，，，，这些攻击是通过一封包括隐藏附件和特定JavaScript代码的电子邮件举行的，，，，，，，该邮件试图使用Roundcube Webmail中的误差。。。。。。该误差影响1.5.7之前的版本和1.6.7之前的1.6.x版本，，，，，，，攻击者可通过SVG动画属性举行XSS攻击，，，，，，，该误差已在2024年5月宣布的更新中修复。。。。。。攻击者通过诱骗用户翻开特制邮件，，，，，，，在Web浏览器上下文中执行恣意JavaScript代码。。。。。。在攻击中，，，，，，，JavaScript负载会生涯一个空文档并从邮件效劳器检索新闻，，，，，，，同时在Roundcube界面中建设一个虚伪的登录表单，，，，，，，捕获用户凭证并发送到恶意效劳器。。。。。。只管Roundcube Webmail可能不是使用最普遍的电子邮件客户端，，，，，，，但由于政府机构普遍使用它，，，，，，，因此仍是黑客的主要目的。。。。。。现在研究职员已宣布该误差的PoC使用代码，，，，，，，但无法将此次攻击与已知加入者联系起来。。。。。。

https://securityaffairs.com/170055/hacking/roundcube-flaw-exploited-in-phishing-attack.html

4. Transak数据泄露事务影响超9.2万人

10月22日，，，，，，，加密支付处置惩罚商Transak近期遭遇数据泄露事务，，，，，，，一名员工的条记本电脑被黑客入侵，，，，，，，导致凌驾92,000名用户的信息被泄露。。。。。。只管该公司声称没有财务敏感或要害信息泄露，，，，，，，但用户的姓名、生日、护照、驾照信息及自照相等小我私家信息均受影响。。。。。。此次事务仅影响了Transak约1%的用户群，，，，，，，作为全球领先的加密钱币基础设施提供商之一，，，，，，，Transak为近600万用户提供效劳，，，，，，，笼罩160个国家和美国46个州。。。。。。Transak强调，，，，，，，作为一个非托管平台，，，，，，，用户资金清静未受影响，，，，，，，用户始终对自己的资产拥有完全控制权。。。。。。然而，，，，，，，Stormous勒索软件团伙已认可此次偷窃行为，，，，，，，并声称窃取了300GB的数据，，，，，，，包括政府揭晓的身份证、财务报表等，，，，，，，妄想出售或泄露数据以索取赎金。。。。。。Transak已约请网络清静公司视察此事，，，，，，，并妄想通过电子邮件联系受影响用户。。。。。。同时，，，，，，，公司已通知英国信息专员办公室及欧盟和美国其他羁系机构，，，，，，，并鞭策客户若有疑问请联系公司。。。。。。

https://therecord.media/crypto-payment-services-data-breach

5. 塞浦路斯遭亲巴勒斯坦黑客组织协同网络攻击

10月22日，，，，，，，塞浦路斯近期遭受了多个亲巴勒斯坦黑客组织提倡的协同网络攻击，，，，，，，目的直指其要害基础设施和政府网站。。。。。。只管大大都攻击未能乐成，，，，，，，但仍对银行、机场和政府网站等目的设施造成了暂时中止。。。。。。黑客组织在Telegram和暗网论坛上宣布声明，，，，，，，声称将入侵塞浦路斯机构以“处分”该国对以色列的支持。。。。。。只管塞浦路斯在巴以冲突中坚持中立，，，，，，，但向来支持以色列军队，，，，，，，这成为黑客攻击的可能念头。。。。。。受影响的效劳包括政府门户网站、电力电信部分、主要银行、石油公司和机场运营商等，，，，，，，大都报告称遭受了漫衍式拒绝效劳（DDoS）攻击，，，，，，，黑客还声称已窃取敏感数据。。。。。。然而，，，，，，，机场运营并未受影响，，，，，，，仅在线停车预订效劳受阻。。。。。。塞浦路斯数字部体现，，，，，，，政府中央在线门户网站仅短暂无法会见，，，，，，，其他部委或政府效劳网站未受影响。。。。。。最高网络官员乔治·迈克尔德斯呼吁公司做好准备，，，，，，，迅速抵御未来攻击并恢复效劳，，，，，，，同时体现没有须要恐慌。。。。。。

https://therecord.media/cyprus-critical-infrastructure-cyberattack-israel-palestine

6. WordPress网站频遭黑客攻击，，，，，，，恶意插件推送窃守信息软件

10月21日，，，，，，，WordPress网站近期频仍遭受黑客攻击，，，，，，，攻击者通过装置恶意插件来推送窃守信息的恶意软件。。。。。。自2023年起，，，，，，，ClearFake恶意活动已在受熏染网站上显示虚伪的网络浏览器更新横幅，，，，，，，而2024年引入的ClickFix活动则伪装成包括修复程序的软件过失新闻，，，，，，，实则下载并装置窃守信息的恶意软件。。。。。。这些活动变得越来越普遍，，，，，，，威胁行为者会入侵网站并显示包括Google Chrome、Google Meet聚会、Facebook甚至验证码页面的虚伪过失横幅。。。。。。据GoDaddy报告，，，，，，，ClearFake/ClickFix威胁行为者已入侵凌驾6000个WordPress网站并装置恶意插件来显示相关虚伪警报。。。。。。这些恶意插件使用与正当插件相似的名称，，，，，，，如Wordfence Security和LiteSpeed Cache，，，，，，，或通用的虚构名称，，，，，，，一旦装置，，，，，，，就会将恶意JavaScript剧本注入网站的HTML中，，，，，，，进而加载ClearFake或ClickFix脚原来显示虚伪横幅。。。。。。威胁行为者似乎正在使用被盗的治理员凭证登录WordPress网站并以自动方法装置插件。。。。。。WordPress运营职员应连忙检查已装置插件的列表，，，，，，，并删除任何未知插件，，，，，，，同时将所有治理员用户的密码重置为唯一密码，，，，，，，以确保网站清静。。。。。。

https://www.bleepingcomputer.com/news/security/over-6-000-wordpress-hacked-to-install-plugins-pushing-infostealers/

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究