1. 网络犯罪分子利用ZIP串联文件策略规避安全检测
11月7日,据Cyber Security News报道,网络犯罪分子正采用一种复杂的ZIP串联文件策略,专门攻击Windows用户。这种方法将多个ZIP文件合并为一个存档,利用不同ZIP阅读器处理方式的差异,使恶意内容更难被安全软件检测。ZIP串联文件实际上包含多个中心目录,每个目录指向不同的文件集,而某些阅读器可能只显示部分内容,从而隐藏恶意文件。例如,7zip通常只显示第一个存档的内容,而WinRAR能读取所有内容,包括隐藏的恶意文件。Windows文件资源管理器在处理这种文件时也存在不一致性,导致检测威胁不可靠。已有攻击者通过发送伪装成发货通知的网络钓鱼电子邮件,利用此技术向受害者发送隐藏的特洛伊木马恶意软件。这种规避技术的成功在于它能利用工具间的差异,许多安全解决方案也依赖这些工具来扫描档案。因此,黑客越来越多地使用这种方法针对特定用户,同时逃避其他安全工具的检测。网络安全专家提醒用户应提高警惕,采用多种安全工具和方法来防范此类攻击。https://cybersecuritynews.com/hackers-employ-zip-file-concatenation/#google_vignette
2. 英国冬季取暖补贴诈骗频发,警方发出警告
11月9日,随着冬季的到来,英国老年居民成为诈骗分子的目标,他们通过虚假的“冬季取暖补贴”和“生活费补助”短信实施诈骗。由于政府近期决定削减约1000万养老金领取者的冬季燃料补贴,这种诈骗活动更具投机性。诈骗短信诱使居民访问非法域名,收集个人信息和付款信息。其中一条短信声称是“最后通知”,提醒收件人在11月12日前回复以接收补贴。该短信中的链接将用户引导至看似GOV.UK的网页,实际上是一个网络钓鱼页面,旨在诱骗用户交出个人信息和付款详情。网络安全研究员已识别出约600个与此活动相关的唯一域名,证明了该活动的规模和威胁行为者的投入。英国警方已发出警告,提醒养老金领取者警惕此类诈骗短信,避免点击链接或提供个人信息和付款细节。人们可以向国家网络安全中心、移动服务提供商或相关机构报告疑似诈骗行为。https://www.bleepingcomputer.com/news/security/scammers-target-uk-senior-citizens-with-winter-fuel-payment-texts/
3. 恶意Python包“fabrice”窃取AWS凭据,已下载超3.7万次
11月9日,自2021年起,一个名为“fabrice”的恶意Python包在Python包索引(PyPI)中出现,通过窃取Amazon Web Services凭据来攻击开发人员。该软件包利用了与合法且广受欢迎的SSH远程服务器管理包“fabric”名称相似的特点,已被下载超过37,000次。fabrice之所以长期未被发现,部分原因是其部署了先进的扫描工具,并且追溯扫描的解决方案较少。该软件包根据操作系统执行特定操作,在Linux上创建隐藏目录存储编码的shell脚本,在Windows上下载编码的有效负载并执行Python脚本以获取恶意可执行文件。无论使用什么操作系统,fabrice的主要目标都是使用boto3(Amazon Web Services的官方Python SDK)窃取AWS凭证。攻击者将窃取的密钥泄露给由巴黎的M247运营的VPN服务器,增加了追踪难度。为减轻此类风险,用户应检查从PyPI下载的软件包,并使用专门检测和阻止此类威胁的工具。管理员应考虑使用AWS身份和访问管理(IAM)来管理对资源的权限,以保护AWS存储库免受未经授权的访问。https://www.bleepingcomputer.com/news/security/malicious-pypi-package-with-37-000-downloads-steals-aws-keys/
4. Remcos RAT新变种使用高级技术感染Windows系统
11月9日,Fortinet的FortiGuard实验室发现了一种新的Remcos RAT(远程访问木马)变种正在通过网络钓鱼活动传播,针对Microsoft Windows用户。该恶意软件利用CVE-2017-0199漏洞下载并执行HTA文件,该文件经过多层混淆处理,包括JavaScript、VBScript、Base64编码等,最终下载并执行恶意可执行文件,部署Remcos RAT。该恶意软件具有多种持久性机制,如向量异常处理等高级反分析技术,使用哈希值识别API,检测调试器的存在,并通过进程挖空技术逃避检测。为了保持对设备的控制,恶意代码在系统注册表中添加了新的自动运行项。为了保护自己,用户应避免点击电子邮件中的链接或附件,使用安全软件和防病毒软件,并保持软件更新最新补丁。https://hackread.com/hackers-use-excel-files-remcos-rat-variant-windows/
5. Newpark Resources遭勒索软件攻击,信息系统和业务应用中断
11月8日,德克萨斯州油田供应商Newpark Resources在2024年10月29日遭受了一次勒索软件攻击,导致其部分信息系统和业务应用程序的访问被中断。该公司迅速启动了网络安全应急计划,并在外部专家的协助下对事件进行了内部调查,以评估和遏制威胁。尽管此次攻击对公司的信息系统和业务应用程序造成了影响,但Newpark Resources的制造和现场运营基本未受影响,仍继续执行既定的停机程序。目前,公司尚未确定此次勒索软件事件的全部成本和影响,但预计不会对财务状况或运营产生重大影响。Newpark Resources没有透露有关此次攻击的详细信息,包括感染其系统的恶意软件家族,同时也没有勒索软件组织声称对此次安全漏洞负责。未来,如果情况发生变化,该公司将更新相关信息披露。https://securityaffairs.com/170696/cyber-crime/newpark-resources-ransomware-attack.html
6. Veeam VBR漏洞再遭利用,Frag勒索软件肆虐
11月8日,Veeam Backup & Replication (VBR) 软件的一个关键安全漏洞(CVE-2024-40711)最近被利用来部署Frag勒索软件,此前该漏洞已被Akira和Fog勒索软件攻击者利用。该漏洞由不受信任数据反序列化弱点引起,可导致远程代码执行。Veeam在9月4日发布了安全更新,而watchTowr Labs和Code White在披露该漏洞时推迟分享更多细节,以避免被勒索软件团伙滥用。然而,Sophos X-Ops发现,这些延迟并未能阻止Akira和Fog勒索软件攻击,同一威胁活动集群也使用了该漏洞部署Frag勒索软件。Frag勒索软件团伙在攻击中大量使用受感染系统上已有的合法软件(LOLBins),使得防御者难以检测到他们的活动。Veeam表示,全球有超过550,000名客户使用其产品,包括全球2,000强榜单中约74%的公司,因此该漏洞的影响范围广泛。https://www.bleepingcomputer.com/news/security/critical-veeam-rce-bug-now-used-in-frag-ransomware-attacks/
还没有评论,来说两句吧...