1. AI语音生成器应用程序被用来投放Gipy恶意软件
5月26日,Gipy 是最近发现的一种利用信息窃取恶意软件的攻击活动,它以德国、俄罗斯、西班牙和台湾的用户为目标,并承诺提供 AI 语音转换应用程序作为网络钓鱼诱饵。卡巴斯基的研究人员表示,Gipy 恶意软件于 2023 年初首次出现,一旦交付,攻击者便可以窃取数据、挖掘加密货币并在受害者的系统上安装其他恶意软件。研究人员解释称,在这种情况下,威胁行为者以合法的人工智能语音修改应用程序的承诺来引诱受害者。卡巴基团队补充说,一旦用户安装该应用程序,应用程序就会开始按承诺运行,同时,Gipy 恶意软件也会在后台运行。https://www.darkreading.com/threat-intelligence/ai-voice-generator-used-to-drop-gipy-malware
2. 用于传播信息窃取恶意软件的虚假 AV 网站
5月26日,威胁行为者使用伪装成 Avast、Bitdefender 和 Malwarebytes 合法防病毒产品的虚假 AV 网站来分发恶意软件。2024 年 4 月中旬,Trellix 高级研究中心团队的研究人员发现了多个用于分发信息窃取程序的虚假 AV 网站。这些恶意网站托管了复杂的恶意文件,例如 APK、EXE 和 Inno 安装安装程序,包括间谍和窃取程序功能。这些虚假网站伪装成 Avast、Bitdefender 和 Malwarebytes 的合法防病毒产品。托管恶意软件的网站是 avast-securedownload.com (Avast.apk)、bitdefender-app.com (setup-win-x86-x64.exe.zip)、malwarebytes.pro (MBSetup.rar)。专家还发现了一个伪装成合法程序 (AMCoreDat.exe) 的恶意 Trellix 二进制文件。研究人员并未将这些攻击归咎于特定的威胁行为者。该报告还列出了使用虚假 AV 网站进行的攻击的危害指标 (IoC)。https://securityaffairs.com/163673/cyber-crime/fake-av-websites-distribute-malware.html
3. 黑客利用木马病毒克隆版“扫雷者”攻击金融机构
5月26日,黑客正在利用微软经典游戏扫雷的 Python 克隆代码来隐藏恶意脚本,以攻击欧洲和美国的金融机构。乌克兰的 CSIRT-NBU 和 CERT-UA 将这些攻击归咎于一个被追踪为“UAC-0188”的威胁行为者,他使用合法代码来隐藏下载和安装 SuperOps RMM 的 Python 脚本。Superops RMM 是一款合法的远程管理软件,可让远程参与者直接访问受感染的系统。CERT-UA 报告称 ,在首次发现此次攻击之后进行的研究显示,欧洲和美国的金融和保险机构中至少存在五起由相同文件引发的潜在漏洞。https://www.bleepingcomputer.com/news/security/hackers-phish-finance-orgs-using-trojanized-minesweeper-clone/
4. CERT-UA 警告威胁行为者 UAC-0006 发起的恶意软件活动
5月26日,乌克兰计算机应急反应小组 (CERT-UA) 警告称,与以经济为目的的威胁行为者UAC-0006相关的网络攻击激增。UAC-0006 自 2013 年以来一直活跃。威胁行为者专注于入侵会计师的个人电脑(用于支持金融活动,例如访问远程银行系统)、窃取凭证以及进行未经授权的资金转移。政府专家报告称,自 5 月 20 日以来,该组织进行了至少两次大规模活动,威胁行为者旨在通过电子邮件传播SmokeLoader恶意软件。SmokeLoader 充当其他恶意软件的加载器,一旦执行,它就会将恶意代码注入当前运行的 Explorer 进程(explorer.exe),并将另一个有效负载下载到系统中。https://securityaffairs.com/163711/cyber-warfare-2/cert-ua-warns-uac-0006-massive-campaigns.html
5. 黑客在最近的 MITRE 网络攻击中创建恶意虚拟机
5月27日,黑客最近利用了 MITRE 的网络实验、研究和虚拟化环境 (NERVE) 中的漏洞。他们使用恶意虚拟机(VM)来逃避检测并在网络攻击中保持持久性。此次攻击被归咎于一个与中国有关的组织 UNC5221,凸显了网络威胁日益复杂化,甚至顶级网络安全组织在防御这些威胁时也面临挑战。该漏洞始于 2023 年 12 月下旬,当时攻击者利用了 Ivanti Connect Secure 设备中的两个零日漏洞,漏洞编号为CVE-2023-46805和CVE-2024-21887。这些漏洞使得黑客能够通过会话劫持绕过多因素身份验证,从而获得对 MITRE 的 NERVE 环境的未经授权的访问。2024 年 4 月发现了最初的利用迹象,促使 MITRE 和第三方数字取证团队进行了彻底的调查。一旦进入 NERVE 环境,攻击者就会使用泄露的管理员凭据进行横向移动,瞄准 VMware 基础架构。https://gbhackers.com/rogue-vms-mitres-cyber-attack/
6. 思科FIREPOWER管理中心高危漏洞CVE-2024-20360
5月27日,思科 Firepower 管理中心 (FMC) 软件的 Web 管理界面中存在一个漏洞,可能导致经过身份验证的远程攻击者对受影响的系统进行 SQL 注入攻击。存在此漏洞的原因是 Web 管理界面没有充分验证用户输入。攻击者可以通过对应用程序进行身份验证并向受影响的系统发送精心设计的 SQL 查询来利用此漏洞。成功利用此漏洞可能允许攻击者从数据库获取任何数据,在底层操作系统上执行任意命令,并将权限提升到 root。要利用此漏洞,攻击者至少需要只读用户凭据。思科表示,目前尚无解决此漏洞的变通方法。该 IT 巨头已确认,此漏洞不会影响自适应安全设备 (ASA) 软件或 Firepower 威胁防御 (FTD) 软件。https://securityaffairs.com/163718/security/a-high-severity-vulnerability-affects-cisco-firepower-management-center.html
还没有评论,来说两句吧...