正文

德国和西班牙遭受隐形攻击:Strela Stealer 不断升级

admin
admin V管理员 /0 评论 /38 阅读
1104
此篇文章发布距今已超过4天,您需要注意文章的内容或图片是否可用!

导 

Cyble 研究人员发现了新的 Strela Stealer 邮件凭证窃取活动。该恶意软件的最新版本得到了很大改进,更加隐蔽,并且更能有效地绕过传统的安全防御措施。

此次攻击活动主要针对中欧和西南欧的用户,主要是德国和西班牙。该恶意软件事实上可以针对世界各地的用户进行攻击。

攻击始于带有 ZIP 文件附件的网络钓鱼电子邮件。我们获得的一封精心制作的德语电子邮件的示例主题类似于最近购买产品的发票。它要求用户验证或处理交易。

ZIP 文件包含高度混淆的 JavaScript (JS) 文件。攻击者使用字符串替换来生成并执行隐藏代码,这意味着需要对其进行反混淆和解码才能触发和启动 PowerShell 命令,该命令会从黑客控制的 WebDAV 服务器来下载执行恶意 DLL。

WebDAV 允许用户在 Web 服务器上协作处理文件和目录。攻击者利用此功能动态更改恶意软件。

该 DLL 文件充当主有效载荷的加载器。虽然它包含一个导出函数,但研究人员发现很难对其进行分析。

“该 DLL 包含大量条件跳转指令,使分析更加困难,并可能导致反汇编程序崩溃。此外,由于分支和条件过多,在默认设置下,调试器中的一些功能可能无法正常工作。”Cyble 研究与情报实验室在报告中解释道。

恶意DLL文件不会保存在磁盘上,从而可以逃避安全产品的检测。

最后一种有效载荷 Strela Stealer 于 2022 年首次被发现,此后得到了很大改进。现在,它采用控制流混淆来使其代码更难分析,避免基于磁盘的持久性,隐藏其主窗口同时显示虚假错误消息,使用强加密对被盗数据进行加密,并使用可靠的命令和控制通信。

Cyble 分析的 Strela Stealer 样本具有很强的针对性。在执行之前,它会检查德语、西班牙语和巴斯克语(西班牙的一个地区)语言环境。然后,它会从邮件客户端(Outlook、Thunderbird)收集凭据,收集系统信息,并将窃取的信息发送到攻击者控制的服务器。

Cyble 研究人员警告称:“Strela Stealer 活动的最新进展表明恶意软件传递技术取得了显著进步,复杂性和隐蔽性均有所提高。”

“通过使用包含 ZIP 文件附件的鱼叉式网络钓鱼电子邮件,该恶意软件成功绕过了传统的安全防御措施。”

研究人员的主要建议是教育员工如何检测网络钓鱼企图。其他缓解措施包括实施强大的端点安全解决方案、对 WebDAV 服务器实施严格的访问控制、限制在业务运营不需要的端点上执行 PowerShell 和其他脚本等。

技术报告:https://cyble.com/blog/strela-stealer-targets-europe-stealthily-via-webdav/

新闻链接:

https://cybernews.com/security/germany-and-spain-hit-with-stealthy-strela-stealer/

今日安全资讯速递

APT事件

Advanced Persistent Threat

微软警告俄罗斯鱼叉式网络钓鱼攻击针对 100 多个组织

https://www.securityweek.com/microsoft-warns-of-russian-spear-phishing-attacks-targeting-over-100-organizations/

微软警告:黑客利用 Quad7 僵尸网络窃取凭证

https://www.bleepingcomputer.com/news/security/microsoft-chinese-hackers-use-quad7-botnet-to-steal-credentials/

朝鲜APT组织与 Play 勒索软件合作发动重大网络攻击

https://thehackernews.com/2024/10/north-korean-group-collaborates-with.html

Lazarus APT 组织大量利用社会工程技术和生成式人工智能瞄准加密货币投资者

https://securitybrief.co.nz/story/lazarus-apt-group-targets-crypto-investors-with-ai-tactics

黑客利用 CloudScout 工具集窃取云服务会话 Cookie

https://thehackernews.com/2024/10/chinese-hackers-use-cloudscout-toolset.html

新的 LightSpy 间谍软件以增强功能瞄准 iOS

https://www.infosecurity-magazine.com/news/lightspy-spyware-targets-ios/

BeaverTail 恶意软件在针对开发人员的恶意 npm 软件包中再次出现

https://thehackernews.com/2024/10/beavertail-malware-resurfaces-in.html

谷歌称俄罗斯利用 Android、Windows 恶意软件攻击乌克兰新兵

https://www.securityweek.com/google-russia-targeting-ukrainian-military-recruits-with-android-windows-malware/

一般威胁事件

General Threat Incidents

德国和西班牙遭受隐形攻击:Strela Stealer 不断升级

https://cybernews.com/security/germany-and-spain-hit-with-stealthy-strela-stealer/

新型 Xiū gǒu 网络钓鱼工具包袭击英国、美国、日本、澳大利亚的关键行业

https://hackread.com/gou-phishing-kit-hits-uk-us-japan-australia-sectors/

研究人员发现攻击者在 S3 存储桶中暴露了 15,000 个被盗凭证

https://www.securityweek.com/honeypot-surprise-researchers-catch-attackers-exposing-15000-stolen-credentials-in-s3-bucket/

Mystic Valley Elder Services 数据泄露影响 87,000 人

https://www.securityweek.com/mystic-valley-elder-services-data-breach-impacts-87000-people/

CyberPanel 漏洞披露后不久即遭勒索软件攻击

https://www.securityweek.com/cyberpanel-vulnerabilities-exploited-in-ransomware-attacks-shortly-after-disclosure/

Fortinet 发现更多与广泛利用的FortiManager 0day漏洞相关的恶意 IP

https://www.cybersecuritydive.com/news/fortinet-cve-indicators-compromise/731616/

LottieFiles 发出有关“lottie-player” npm 软件包被盗用的警告

https://thehackernews.com/2024/10/lottiefiles-issues-warning-about.html

LiteSpeed Cache 插件漏洞对 WordPress 网站构成重大风险

https://thehackernews.com/2024/10/litespeed-cache-plugin-vulnerability.html

超过一千家网上商店遭到黑客攻击,显示虚假产品信息

https://www.bleepingcomputer.com/news/security/over-a-thousand-online-shops-hacked-to-show-fake-product-listings/

秘鲁联合银行证实发生数据泄露事件

https://securityaffairs.com/170431/data-breach/interbank-refused-to-pay-the-ransom.html

漏洞事件

Vulnerability Incidents

CISA 警告工业设备中存在严重软件漏洞

https://www.infosecurity-magazine.com/news/cisa-critical-vulnerabilities-ics/

严重 qBittorrent RCE 漏洞使攻击者能够注入恶意脚本

https://cybersecuritynews.com/qbittorrent-rce-vulnerability/

Microsoft SharePoint RCE 漏洞被用来破坏企业网络,攻击者在服务器安装火绒杀毒软件

https://www.bleepingcomputer.com/news/security/microsoft-sharepoint-rce-bug-exploited-to-breach-corporate-network/

Yahoo 披露 NetIQ iManager 漏洞,可导致远程代码执行

https://www.securityweek.com/yahoo-discloses-netiq-imanager-flaws-allowing-remote-code-execution/

黑客瞄准 PTZ 摄像机中的关键零日漏洞

https://www.bleepingcomputer.com/news/security/hackers-target-critical-zero-day-vulnerability-in-ptz-cameras/

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-宙飒天下网