1. Magnet Goblin 黑客组织利用漏洞部署 Nerbian RAT
3月11日,一个名为Magnet Goblin的出于经济动机的威胁行为者正在迅速将1day安全漏洞纳入其武器库,以便伺机破坏边缘设备和面向公众的服务,并在受感染的主机上部署恶意软件。对手发起的攻击利用未修补的 Ivanti Connect Secure VPN、Magento、Qlik Sense 以及可能的 Apache ActiveMQ 服务器作为初始感染媒介来获得未经授权的访问。据称该组织至少自 2022 年 1 月起就一直活跃。成功利用此漏洞后,会部署一个名为 Nerbian RAT 的跨平台远程访问木马 (RAT),该木马由 Proofpoint 于 2022 年 5 月首次披露,其简化变种为 MiniNerbian。Darktrace之前曾强调过 Linux 版本 Nerbian RAT 的使用。这两种病毒都允许执行从命令与控制 (C2) 服务器接收的任意命令,并泄露返回给它的结果。Magnet Goblin 使用的其他一些工具包括WARPWIRE JavaScript 凭证窃取程序、基于 Go 的隧道软件 Ligolo,以及合法的远程桌面产品(例如 AnyDesk 和 ScreenConnect)。 https://thehackernews.com/2024/03/magnet-goblin-hacker-group-leveraging-1.html
2. 针对美国和欧洲企业的新 DoNex 勒索软件
3月11日,美国和欧洲各地的企业都处于高度戒备状态,因为一种被称为“DoNex”的新型勒索软件一直在积极危害企业并声称受害者。对于这种突发威胁,网络安全专家加班加点地了解攻击的全部范围并制定对策。DoNex 勒索软件组织通过在其暗网门户(可通过 Onion 网络访问)上将多家公司列为受害者而闻名。该团伙的手段尤为阴险,采用双重勒索手段。这不仅涉及文件加密,然后附加一个唯一的。VictimID 扩展,而且还会泄露敏感数据,将其作为人质,以向受害者施加额外压力,要求其支付赎金。受影响的公司在其系统上发现了名为 Readme.VictimID.txt 的勒索字条,该字条指示他们通过 Tox Messenger 与 DoNex 组织建立联系,Tox Messenger 是一种点对点即时消息服务,以其安全和匿名功能而闻名。https://gbhackers.com/donex-ransomware-observed/
3. 伪装成 Notion 安装程序的 MSIX 恶意软件
3月11日,伪装成 Notion 安装程序的 MSIX 恶意软件正在分发。分发网站看起来与实际的 Notion 主页相似。安装后,StartingScriptWrapper.ps1 和refresh.ps1 文件将在应用程序的路径内创建。StartingScriptWrapper.ps1 文件是一个合法文件,包含 MS 签名,具有执行作为参数给出的 Powershell 脚本的功能。该文件允许在安装过程和执行特定 Powershell 脚本期间读取包内的 config.json 配置文件。此命令从 C2 服务器下载附加 Powershell 命令并执行它们。C2服务器目前没有正确响应,但分析团队在初步分析期间确认了LummaC2恶意软件的分布。在运行文件之前,用户应该检查文件是否来自官方网站的域,即使文件是使用合法证书签名的,也要检查签名作者。建议在执行 MSIX 文件时格外小心,因为多种恶意变体不仅会伪装 Notion,还会伪装 Slack、WinRar 和 Bandicam 等应用程序。https://asec.ahnlab.com/en/62815/
4. 日本将 PyPI 供应链网络攻击归咎于朝鲜
3月11日,日本网络安全官员警告称,朝鲜臭名昭著的 Lazarus Group 黑客团队最近针对 Python 应用程序的 PyPI 软件存储库发动了供应链攻击。威胁参与者上传了名为“pycryptoenv”和“pycryptoconf”等受污染的包,其名称与合法的 Python 加密工具包“pycrypto”类似。被诱骗将恶意软件包下载到 Windows 计算机上的开发人员会感染一种名为 Comebacker 的危险特洛伊木马。Gartner 高级总监兼分析师 Dale Gardner 将 Comebacker 描述为一种通用木马,用于投放勒索软件、窃取凭证和渗透开发流程。Comebacker 已被部署在与朝鲜有关的其他网络攻击中,包括对 npm 软件开发存储库的攻击。https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack
5. 黑客利用 WordPress 插件缺陷用恶意软件感染 3300 个网站
3月10日,黑客利用 Popup Builder 插件过时版本中的漏洞入侵 WordPress 网站,用恶意代码感染 3,300 多个网站。攻击中利用的缺陷被追踪为 CVE-2023-6000,这是一个影响 Popup Builder 版本 4.2.3 及更早版本的跨站点脚本 (XSS) 漏洞,最初于 2023 年 11 月披露。今年年初发现的 Balada Injector 活动利用该特定漏洞感染了 6,700 多个网站,这表明许多网站管理员没有足够快地修补补丁。Sucuri 现在 报告 发现一个新的活动在过去三周内显着增加,针对的是 WordPress 插件上的相同漏洞。根据 PublicWWW 的结果,在3,329 个 WordPress 网站中发现了与这一最新活动相关的代码注入 ,Sucuri 自己的扫描仪检测到了 1,170 个感染。https://www.bleepingcomputer.com/news/security/hackers-exploit-wordpress-plugin-flaw-to-infect-3-300-sites-with-malware/
6. 泽西岛金融服务委员会的数据泄露
3月7日,泽西岛金融服务委员会的数据泄露导致非公开姓名和地址的访问。该组织于 1 月 23 日确认其注册系统中检测到一个“漏洞”。该公司表示,此次泄密事件并未将任何个人与注册实体或所担任的角色联系起来,并且已单独写信给那些姓名和地址被泄露的人。初步法医审查发现泄漏是由于第三方提供的注册系统配置错误造成的。该组织表示:“我们对发生这种情况深感遗憾,目前正在进一步调查以确定这是如何发生的。”JFSC 表示正在与泽西岛信息专员办公室合作。负责金融服务的副部长伊恩·戈斯特表示,此次泄露影响了系统中“有限数量的条目”。他补充道:“我对发生这一错误感到抱歉,我了解联合金融服务委员会正在进行最彻底的调查,以确保汲取教训,并改进和加强登记册的设计。https://www.bbc.com/news/articles/cnk5zyypw24o?&web_view=true
还没有评论,来说两句吧...