近日,明朝万达安元实验室发布了2024年第三期《安全通告》。该份报告收录了2024 年3月最新的网络安全前沿新闻和最新漏洞追踪,其中重点内容包括:
网络安全前沿新闻
1.俄罗斯黑客可能使用升级版AcidPour恶意软件攻击乌克兰电信公司
安全研究人员表示:“AcidPour 的扩展功能将使其能够更好地禁用嵌入式设备,包括网络、物联网、大型存储 (RAID),以及可能运行 Linux x86 发行版的 ICS 设备。
AcidPour 是AcidRain的变体,用于在 2022 年初俄乌战争爆发时使 Viasat KA-SAT 调制解调器正常运行,并削弱乌克兰的军事通信。
2.乌克兰黑客劫持超过 1 亿个电子邮件和 Instagram 账户
该网络犯罪团伙通过在暗网论坛上出售其非法获得的凭据来货币化。购买这些信息的其他攻击者利用受感染的账户实施各种欺诈计划,包括诈骗者联系受害者的朋友将钱紧急转入他们的银行账户。该机构表示:“你可以通过设置双因素身份验证并使用强密码来保护你的账户免受这种黑客攻击。”官员们在基辅、敖德萨、文尼察、伊万诺-弗兰科夫斯克、顿涅茨克和基洛沃拉德进行了七次搜查,没收了 70 台电脑、14 部手机、银行卡和价值超过 3,000 美元的现金。
3.黑客利用文档发布网站进行网络钓鱼攻击
黑客利用 FlipSnack、Issuu、Marq、Publuu、RelayTo 和 Simplebooklet 等平台上托管的数字文档发布 (DDP) 网站进行网络钓鱼、凭据收集和会话令牌盗窃,这再次突显了攻击者如何重新利用合法服务。
在 DDP 网站上托管网络钓鱼诱饵会增加网络钓鱼攻击成功的可能性,因为这些网站通常拥有良好的声誉,不太可能出现在 Web 过滤器阻止列表中,并且可能会给认为熟悉或熟悉这些网站的用户灌输错误的安全感。
4.TeamCity 漏洞导致勒索软件、加密货币挖矿和 RAT 攻击激增
多个攻击者正在利用 JetBrains TeamCity 软件中最近披露的安全漏洞来部署勒索软件、加密货币挖矿程序、Cobalt Strike 信标以及基于 Golang 的名为 Spark RAT 的远程访问木马。这些攻击需要利用CVE-2024-27198(CVSS 评分:9.8),使攻击者能够绕过身份验证措施并获得对受影响服务器的管理控制。
安全研究员表示:攻击者随后能够安装可以访问其命令与控制 (C&C) 服务器的恶意软件,并执行其他命令,例如部署 Cobalt Strike 信标和远程访问木马 (RAT)。然后可以安装勒索软件作为最终有效负载来加密文件并要求受害者支付赎金。
5.韩国公民因网络间谍罪在俄罗斯被拘留
俄罗斯首次以网络间谍罪名拘留一名韩国公民,并将其从符拉迪沃斯托克转移至莫斯科接受进一步调查。俄罗斯通讯社塔斯社最先报道了这一进展。
一位不愿透露姓名的消息人士称,“在调查一起间谍案期间,一名韩国公民白元淳被认出并被拘留在符拉迪沃斯托克,并根据法院命令被拘留。元淳被指控向未透露姓名的外国情报机构提供机密“绝密”信息。
6.黑客使用HTML 走私通过虚假 Google 网站传播恶意软件
网络安全研究人员发现了一种新的恶意软件活动,该活动利用伪造的 Google 站点页面和 HTML 走私来分发名为AZORult的商业恶意软件,以促进信息盗窃。
安全研究员表示:它使用一种非正统的 HTML 走私技术,其中恶意负载嵌入到外部网站上托管的单独 JSON 文件中。网络钓鱼活动尚未归因于特定的攻击者或组织。该网络安全公司称这种行为本质上很普遍,其目的是收集敏感数据并在地下论坛上出售。
7.E-Root 市场管理员因出售 35 万份被盗凭证而被判处 42 个月监禁
美国司法部 (DoJ) 宣布,一名 31 岁的摩尔多瓦公民因经营名为 E-Root Marketplace 的非法市场而在美国被判处 42 个月监禁,该市场出售数十万份被盗凭证。美国司法部上周表示:“E-Root 市场在广泛分布的网络上运行,并采取措施隐藏其管理员、买家和卖家的身份。”
Sandu Boris Diaconu 被指控串谋实施访问设备和计算机欺诈以及拥有 15 个或更多未经授权的访问设备。他于 2023 年 12 月 1 日认罪。
8.APT28 黑客组织针对欧洲、美洲和亚洲开展广泛的网络钓鱼计划
俄罗斯有关的威胁行为者APT28与多个正在进行的网络钓鱼活动有关,这些活动使用模仿欧洲、南高加索、中亚以及北美和南美政府和非政府组织 (NGO) 的诱饵文件。
网络钓鱼攻击冒充来自阿根廷、乌克兰、格鲁吉亚、白俄罗斯、哈萨克斯坦、波兰、亚美尼亚、阿塞拜疆和美国等多个国家的实体,利用真实的公开政府和非政府诱饵文件来激活感染链。
9.新的基于 Python 的 Snake 信息窃取程序通过 Facebook 消息传播
威胁行为者正在使用 Facebook 消息来分发名为 Snake 的基于 Python 的信息窃取程序,该程序旨在捕获凭据和其他敏感数据。安全研究员在一份技术报告中表示: “从毫无戒心的用户那里获取的凭据会被传输到不同的平台,例如 Discord、GitHub 和 Telegram。”
有关该活动的详细信息于 2023 年 8 月首次出现在社交媒体平台 X 上。这些攻击需要向潜在用户发送看似无害的 RAR 或 ZIP 存档文件,这些文件在打开后会激活感染序列。
10.第三方 ChatGPT 插件可能导致账户被接管
网络安全研究人员发现,可用于 OpenAI ChatGPT 的第三方插件可能会成为攻击者寻求未经授权访问敏感数据的新攻击面。
直接在 ChatGPT 和生态系统内发现的安全漏洞可能允许攻击者在未经用户同意的情况下安装恶意插件,并劫持 GitHub 等第三方网站上的账户。ChatGPT 插件,顾名思义,是设计为在大语言模型 (LLM) 之上运行的工具,旨在访问最新信息、运行计算或访问第三方服务。
11.使用虚假 Notepad++ 和 VNote 安装程序针对中国用户的恶意广告
在百度等搜索引擎上寻找Notepad++和VNote等合法软件的中国用户正成为恶意广告和虚假链接的目标,这些链接会分发该软件的木马版本,并最终部署Geacon(一种基于Golang的 Cobalt Strike 实现)。
安全研究员表示:在notepad++搜索中发现的恶意网站是通过广告块进行分发的。首先打开软件后,细心的用户会立即注意到广告:网站地址包含vnote行,标题提供了Notepad‐‐(Notepad++ 的类似物,也作为开源软件分发)的下载,而图像却显示Notepad++。事实上,从这里下载的包中包含Notepad‐‐和黑客编写的病毒。
12.RedCurl 网络犯罪组织滥用 Windows PCA 工具进行企业间谍活动
RedCurl网络犯罪组织正在利用名为程序兼容性助手 ( PCA )的合法 Microsoft Windows 组件来执行恶意命令。安全研究员表示:“程序兼容性助手服务 (pcalua.exe) 是一项 Windows 服务,旨在识别和解决旧程序的兼容性问题。
黑客可以利用此实用程序来启用命令执行并通过将其用作替代命令行解释器来绕过安全限制。在本次调查中,攻击者使用此工具来掩盖他们的活动。
13.Ande Loader 恶意软件针对北美制造业
名为 Blind Eagle 的攻击者使用名为 Ande Loader 的加载器恶意软件来传播 Remcos RAT 和 NjRAT 等远程访问木马 (RAT)。
Blind Eagle(又名 APT-C-36)是一个出于经济动机的攻击者,曾策划针对哥伦比亚和厄瓜多尔实体的网络攻击,以提供各种RAT,包括 AsyncRAT、BitRAT、Lime RAT、NjRAT、Remcos RAT、和QuasarRAT。
14.DarkGate 恶意软件利用最近修补的 Microsoft 漏洞进行零日攻击
2024 年 1 月中旬观察到的 DarkGate 恶意软件活动利用 Microsoft Windows 中最近修补的安全漏洞作为使用虚假软件安装程序的零日漏洞。
在此活动期间,用户被包含 Google DoubleClick Digital Marketing (DDM) 开放重定向的 PDF 引诱,导致毫无戒心的受害者访问托管 Microsoft Windows SmartScreen 的受感染网站,绕过 CVE-2024-21412,从而导致恶意 Microsoft (.MSI) 安装程序。
15.研究人员强调谷歌的 Gemini AI 对 LLM 威胁的敏感性
谷歌的Gemini大语言模型(LLM)容易受到安全威胁,可能导致其泄露系统提示、生成有害内容并进行间接注入攻击。
安全研究员说这些问题影响了使用 Gemini Advanced 和 Google Workspace 的消费者以及使用 LLM API 的公司。涉及绕过安全防护已泄漏系统提示(或系统消息),这些提示在通过要求模型输出其“基本指令”来向 LLM 设置对话范围指令,以帮助其生成更有用的响应。
