全球70余组织遭Voldemort特工软件攻击

首页 > 清静研究 > 清静转达 > 清静简讯

全球70余组织遭Voldemort特工软件攻击

宣布时间 2024-09-02

1. 全球70余组织遭Voldemort特工软件攻击

9月1日，，，Proofpoint 研究职员揭破了一起重大的特工活动，，，该活动通过名为“Voldemort”的定制恶意软件，，，影响全球70多个组织。。。。。此恶意软件通过凌驾20,000封垂纶邮件撒播，，，特殊是8月17日激增近6,000封，，，邮件伪装多国税务机关诱骗用户。。。。。攻击链使用Google AMP Cache URL、Cloudflare隧道、WebDAV共享及Python剧本等手艺，，，巧妙指导用户下载并执行恶意LNK或ZIP文件。。。。。Voldemort的一大特点是使用Google表格举行下令与控制（C2），，，规避古板清静检测，，，显示了高度的隐藏性和立异性。。。。。其目的主要锁定在包管公司、航空航天、交通运输及大学等18个笔直行业，，，且精准定位受害者至其栖身国，，，显示出深条理的特工念头。。。。。别的，，，该恶意软件还接纳有数的Windows .search-ms文件名堂，，，伪装远程文件为外地文件，，，连系DLL挟制手艺，，，进一步增添熏染乐成率。。。。。然而，，，攻击活动中也袒露出一些简陋之处，，，如使用简朴的文件命名约定，，，使得该活动泛起出“弗兰肯斯坦视鸯合体”的特点，，，难以判断威胁行为者的真实手艺水平。。。。。

https://securityonline.info/cyber-espionage-campaign-leverages-novel-tactics-and-voldemort-malware-to-target-global-organizations/https://securityonline.info/cyber-espionage-campaign-leverages-novel-tactics-and-voldemort-malware-to-target-global-organizations/

2. APT组织Citrine Sleet使用Chrome 0day安排FudModule rootkit

8月31日，，，与朝鲜有关联的APT组织Citrine Sleet（亦称AppleJeus、Labyrinth Chollima等）使用新修补的Google Chrome零日误差CVE-2024-7971，，，乐成安排了FudModule rootkit。。。。。该误差（CVSS评分8.8）影响特定版本的Chromium，，，允许攻击者在沙盒化的渲染器历程中执行远程代码。。。。。Citrine Sleet通过全心设计的垂纶战略，，，诱使受害者会见其控制的恶意域名，，，进而触发CVE-2024-7971误差，，，下载并执行包括Windows沙盒逃逸误差（CVE-2024-38106）和FudModule rootkit的shellcode。。。。。FudModule rootkit接纳直接内核工具操作（DKOM）手艺，，，从用户模式运行并改动内核，，，滋扰清静机制，，，只管在目的装备上未检测到后续恶意活动。。。。。值得注重的是，，，CVE-2024-38106虽已修复，，，但可能与Citrine Sleet的使用活动无直接关联，，，体现可能保存“误差碰撞”征象。。。。。Microsoft强调，，，组织应确保系统实时更新，，，安排具备周全网络攻击链可见性的清静解决计划，，，并增强操作情形设置，，，以有用检测和阻止此类高级威胁。。。。。

https://securityaffairs.com/167848/breaking-news/north-korea-linked-apt-exploited-chrome-zero-day-cve-2024-7971.html

3. GitHub 遭滥用：数千条虚伪修复谈论分发Lumma Stealer恶意软件

8月31日，，，GitHub 平台近期遭遇了滥用，，，不法分子通过在项目谈论中宣布虚伪修复程序的方法，，，普遍分发 Lumma Stealer 信息窃取恶意软件。。。。。这一活动最初由teloxide rust库的孝顺者在Reddit上揭破，，，随后BleepingComputer深入视察发明，，，数千条类似谈论已遍布GitHub多个项目，，，诱导用户下载并执行包括恶意软件的文件。。。。。这些谈论伪装成问题解决计划，，，诱骗用户从mediafire.com或bit.ly链接下载名为“fix.zip”的加密存档，，，并提醒使用统一密码“changeme”解锁。。。。。三天内，，，此类推广恶意软件的谈论数目激增至凌驾29,000条。。。。。下载的存档中包括DLL文件和可执行文件x86_64-w64-ranlib.exe，，，经剖析确以为Lumma Stealer，，，一种能够深入用户浏览器窃取敏感信息的高级信息窃取工具。。。。。别的，，，它还针对加密钱币钱包和特定命名的文本文件举行搜索，，，网络可能包括私钥和密码的数据。。。。。只管GitHub迅速响应并删除了这些恶意谈论，，，但已有用户受害。。。。。受影响用户需连忙为所有账户替换唯一密码，，，并将加密钱币转移至新钱包。。。。。

https://www.bleepingcomputer.com/news/security/github-comments-abused-to-push-password-stealing-malware-masked-as-fixes/

4. 重大网络垂纶攻击揭破：AsyncRAT与Infostealer联手威胁用户清静

8月31日，，，eSentire 威胁响应部分（TRU）的研究职员揭破了一项重大的网络垂纶攻击，，，该攻击使用全心设计的熏染链分发 AsyncRAT 远程会见木马（RAT）及其信息窃取插件 Infostealer。。。。。攻击始于一封看似无害的垂纶邮件，，，内含伪装成正常文件的恶意存档。。。。。执行后，，，这一存档触发了一系列重大操作，，，包括下载并执行混淆的 VBScript 和 PowerShell 剧本，，，最终安排 AsyncRAT 及其插件。。。。。攻击历程中，，，恶意软件通过下载看似无害的图像文件（实为 ZIP 存档）并解压出更多恶意剧本和可执行文件，，，在受害者系统中扎根。。。。。它使用妄想使命维持长期性，，，每两分钟执行一次恶意代码，，，并通过历程空心化手艺将 AsyncRAT 注入正当历程中以逃避检测。。。。。AsyncRAT 不但为攻击者提供对受熏染系统的远程控制权，，，还搭载了 Infostealer 插件，，，该插件专门瞄准网络浏览器中的加密钱包扩展和2FA验证工具，，，旨在窃取包括密码、凭证和加密钱币钱包在内的名贵数据。。。。。eSentire TRU 呼吁用户坚持高度小心。。。。。

https://securityonline.info/evasive-phishing-campaign-delivers-asyncrat-and-infostealer/

5. People Data Labs1.7亿条敏感信息无密码袒露

8月30日，，，Cybernews研究团队近期发明了一项重大数据泄露事务，，，涉及凌驾1.7亿条敏感小我私家信息在互联网上果真袒露，，，数据内容详尽，，，包括全名、联系方法、地点、教育配景及事情履历等。。。。。此次泄露的数据集标有“PDL”标识，，，指向旧金山的数据经纪公司People Data Labs（PDL），，，该公司自称拥有15亿小我私家档案数据库，，，效劳于企业营销、销售及招聘等领域。。。。。只管数据泄露源头尚未明确，，，但Elasticsearch效劳器未设密码的严重清静误差成为焦点，，，这种设置极易被黑客使用，，，迅速窃取数据，，，对小我私家隐私组成重大威胁，，，增添身份偷窃、诓骗及网络垂纶危害。。。。。值得注重的是，，，PDL此前已爆发过类似的数据泄露事故，，，同样因未保唬�；さ腅lasticsearch效劳器导致，，，涉及数据规模更为重大。。。。。此次泄露的“Version 26.2”数据集可能与此前事务有关联，，，再次袒露了PDL在数据清静方面的重大缺陷。。。。。

https://cybernews.com/security/people-data-labs-data-leak/

6. Roblox开发职员频遭攻击，，，伪造npm包撒播恶意软件

9月2日，，，Roblox 开发职员成为一系列恶意攻击的目的，，，这些攻击通过伪造 npm 包，，，尤其是模拟盛行的 noblox.js 库，，，妄想窃取敏感数据和破损系统。。。。。自今年头以来，，，多个名为 noblox.js 变种的软件包被确以为恶意，，，包括 noblox.js-proxy-server 和 noblox-ts，，，它们通过品牌挟制、组合抢注和星号挟制等手艺伪装成正当库，，，诱导开发者下载。。。。。这些恶意包如 noblox.js-async、noblox.js-thread 等，，，只管下载量有限，，，却乐成诱骗了用户。。。。。别的，，，攻击者还接纳 starjacking 手法，，，将虚伪软件包的源存储库标记为现实 noblox.js 库，，，增强信任度。。。。。这些恶意软件包内嵌的代码不但窃取 Discord 令牌，，，还通过修改 Windows 注册表和更新防病毒扫除列表来逃避检测和维持长期性。。。。。每当用户实验翻开 Windows 设置应用时，，，恶意软件便会被激活。。。。。最终目的是安排 Quasar RAT，，，使攻击者能远程控制受熏染系统，，，并将网络到的信息通过 Discord webhook 发送至 C2 效劳器。。。。。只管已有步伐扫除这些恶意软件，，，但新软件包仍一直泛起，，，提醒开发职员需坚持高度小心。。。。。

https://thehackernews.com/2024/09/malicious-npm-packages-mimicking.html

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

万利国际官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系万利国际官网

清静研究