导 读
乌克兰计算机应急反应小组 (CERT-UA) 警告称,黑客组织 UAC-0125 利用 Cloudflare Workers 攻击乌克兰军方,传播伪装成乌克兰国防部移动应用程序Army+的恶意软件。
2024年12月17日,MIL.CERT-UA专家通知乌克兰CERT-UA,检测到多个模仿“Army+”应用程序官方页面的网站,并通过Cloudlfare Workers服务发布。
访问这些网站时,访问者会被提示下载可执行文件“ArmyPlusInstaller-v.0.10.23722.exe”(名称可能会更改)。Windows 可执行文件是使用 NSIS(Nullsoft Scriptable Install System)创建的,除了 .NET 诱饵文件“ArmyPlus.exe”外,还包含 Python 解释器文件、包含 Tor 程序文件的存档以及 PowerShell 脚本“init.ps1”。
打开“ArmyPlusInstaller-v.0.10.23722.exe”会触发一个诱饵文件和一个 PowerShell 脚本,通过 Tor 为攻击者设置隐蔽的 SSH 访问。
CERT-UA 将 UAC-0125 活动与 UAC-0002 集群 ( Sandworm /APT44) 联系起来。早些时候的 2024 攻击使用木马化的 Microsoft Office 文件发起更深层次的网络入侵。
“在成功渗透并关注影响对象的情况下,攻击者会进一步针对组织的信息和通信系统发起网络攻击。”乌克兰计算机应急响应小组总结道,并分享了此次活动的网络威胁检测指标(IoC)。
CERT-UA官方公告:
https://cert.gov.ua/article/6281701
新闻链接:
https://securityaffairs.com/172139/apt/cert-ua-warns-russia-uac-0125-abuses-cloudflare-workers.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
与俄罗斯有关的 UAC-0125 滥用 Cloudflare Workers 攻击乌克兰军队
https://securityaffairs.com/172139/apt/cert-ua-warns-russia-uac-0125-abuses-cloudflare-workers.html
CAS(网络无政府主义小队)针对俄罗斯和白俄罗斯组织的攻击分析
https://securelist.com/cyber-anarchy-squad-attacks-with-uncommon-trojans/114990/
黑客利用 Microsoft MSC 文件在巴基斯坦攻击中部署混淆后门
https://thehackernews.com/2024/12/hackers-use-microsoft-msc-files-to.html
Wiz 发现一个针对 Linux 环境的新型恶意软件活动,该活动由 Diicot 威胁组织发起
https://www.wiz.io/blog/diicot-threat-group-malware-campaign
Mask APT 组织沉寂 10 年后卷土重来
https://securityaffairs.com/172093/apt/the-mask-apt-is-back.html
俄罗斯黑客利用 RDP 代理在 MiTM 攻击中窃取数据
https://www.bleepingcomputer.com/news/security/russian-hackers-use-rdp-proxies-to-steal-data-in-mitm-attacks/
一般威胁事件
General Threat Incidents
Juniper 警告 Mirai 僵尸网络将针对 Session Smart 路由器
https://www.securityweek.com/juniper-warns-of-mirai-botnet-targeting-session-smart-routers/
Mandiant 将 Cleo 文件传输漏洞追溯到 10 月份
https://www.cybersecuritydive.com/news/mandiant-cleo-exploits-october/736042/
BeyondTrust 称黑客入侵了远程支持 SaaS 实例
https://www.bleepingcomputer.com/news/security/beyondtrust-says-hackers-breached-remote-support-saas-instances/
正在进行的网络钓鱼攻击滥用 Google 日历来绕过垃圾邮件过滤器
https://www.bleepingcomputer.com/news/security/ongoing-phishing-attack-abuses-google-calendar-to-bypass-spam-filters/
数千人下载冒充合法工具的恶意 npm 库
https://thehackernews.com/2024/12/thousands-download-malicious-npm.html
亚马逊应用商店发现伪装成健康应用的 Android 恶意软件
https://www.bleepingcomputer.com/news/security/android-spyware-found-on-amazon-appstore-disguised-as-health-app/
LockBit 勒索软件组织密谋发布 4.0 版本卷土重来
https://thecyberexpress.com/lockbit-ransomware-comeback-lockbit-4-0/
BadBox 恶意软件僵尸网络尽管受到干扰,仍感染了 192,000 台 Android 设备
https://www.bleepingcomputer.com/news/security/badbox-malware-botnet-infects-192-000-android-devices-despite-disruption/
漏洞事件
Vulnerability Incidents
Fortinet 警告无线局域网管理器 FortiWLM 存在严重缺陷
https://securityaffairs.com/172144/hacking/fortinet-warns-of-a-patched-fortiwlm-vulnerability.html
Chrome 131 更新修复了高严重性内存安全漏洞
https://www.securityweek.com/chrome-131-update-patches-high-severity-memory-safety-bugs/
BeyondTrust 特权远程访问和远程支持中的一个严重漏洞可能导致任意命令执行
https://www.securityweek.com/beyondtrust-patches-critical-vulnerability-discovered-during-security-incident-probe/
超过 25,000 个 SonicWall VPN 防火墙存在严重缺陷
https://www.bleepingcomputer.com/news/security/over-25-000-sonicwall-vpn-firewalls-exposed-to-critical-flaws/
恶意攻击利用 Apache Struts 2 中最近修补的严重漏洞,导致远程代码执行 (RCE)
https://www.securityweek.com/exploitation-of-recent-critical-apache-struts-2-flaw-begins/
锐捷Reyee云管理平台发现严重漏洞
https://www.securityweek.com/critical-vulnerabilities-found-in-ruijie-reyee-cloud-management-platform/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...