每周安全事件报告 2024-02-19 第 8 周

最编程 2024-03-07 11:41:54

...

Anatsa银行木马新攻击活动观察

日期: 2024-02-20
标签: 信息技术, Anatsa

安卓银行木马Anatsa在2023年11月扩大了其攻击范围，包括斯洛伐克、斯洛文尼亚和捷克。这次活动涉及五个下载量超过10万次的dropper应用，成功绕过了安卓13的辅助功能限制。Anatsa被称为TeaBot和Toddler，通过谷歌应用商店上看似无害的应用进行传播，可绕过谷歌的安全措施，利用dropper应用安装恶意软件。最新观察到的Anatsa变种伪装成名为“Phone Cleaner - File Explorer”的清理应用，并通过版本更新引入恶意行为。该dropper应用专门针对三星设备进行定制，而其他dropper应用则不受制造商限制。安卓安全领域、银行木马、恶意应用、谷歌Play Store、Anatsa、TeaBot、Toddler、ThreatFabric、Fortinet FortiGuard Labs、SpyNote远程访问木马。

详情

https://thehackernews.com/2024/02/anatsa-android-*-bypasses-google.html

https://thehackernews.com/2024/02/anatsa-android-*-bypasses-google.html

分析Kimsuky的新恶意软件Troll Stealer

日期: 2024-02-20
标签: 信息技术, *部门, APT舆情

S2W威胁研究和情报中心Talon在VirusTotal上搜寻并分析了据信来自Kimsuky组织的新恶意软件样本。该恶意软件是一种用Go语言编写的信息窃取恶意软件，它会从受感染的系统中窃取信息，该恶意软件是通过伪装成SGA Solutions安全程序安装文件（TrustPKI、NX_PRNMAN）的Dropper投放并执行的。S2W Talon将恶意软件命名为“Troll Stealer”。Troll Stealer 能够窃取受感染系统上的GPKI文件夹，这表明该行动可能针对韩国行政和公共组织内的设备。除了Troll Stealer之外，还发现了使用相同合法证书签名的其他恶意软件，因此使用该证书签名的恶意软件将来可能会传播。

详情

https://medium.com/s2wblog/kimsuky-disguised-as-a-korean-company-signed-with-a-valid-certificate-to-distribute-troll-stealer-cfa5d54314e2

https://medium.com/s2wblog/kimsuky-disguised-as-a-korean-company-signed-with-a-valid-certificate-to-distribute-troll-stealer-cfa5d54314e2

安装安全程序时感染Kimsuky的TrollAgent

日期: 2024-02-20
标签: 信息技术, APT舆情

ASEC（AhnLab安全情报中心）最近证实，在韩国一家建筑相关协会的网站上尝试安装安全程序时，恶意代码被下载。使用网站提供的服务需要登录，并且为了安全起见，必须安装各种安装程序才能登录。在登录提示安装的程序中，有一个安装程序含有恶意代码，如果用户下载并安装它，不仅会安装安全程序，还会安装恶意代码。通过此过程安装的恶意代码包括可以通过接收外部攻击者的命令来执行恶意操作的后门恶意软件以及收集有关受感染系统信息的信息窃取恶意软件。

详情

https://asec.ahnlab.com/ko/61666/

https://asec.ahnlab.com/ko/61666/

与哈马斯有关的SAMECOIN恶意软件

日期: 2024-02-20
标签: *部门, 信息技术, APT舆情, SameCoin

在IntezerLab发布了有关他们称为“SameCoin”的攻击行动的帖子后，我们分析了他们发现的样本，并发现了一些相同的变体。感染媒介似乎是一封冒充以色列国家网络管理局的电子邮件，它会诱骗读者下载以“安全补丁”形式出现的恶意文件。下载并执行链接文件的受害者会被擦除器感染，在某些情况下，该擦除器还可能感染网络中的其他主机。总的来说，与哈马斯有联系的威胁攻击者正在掌舵这场行动。虽然无法识别与其他已知恶意行动或攻击者重叠的任何技术指标，但所描述的部分活动和技术符合通常与哈马斯有关的Arid Viper APT组织。也就是说，看到了目标的相似性、与恶意软件缺乏复杂性形成鲜明对比的高级引诱内容，以及目标系统（Android 和 Windows）和所使用的编程语言的多样性。

详情

https://harfanglab.io/insidethelab/samecoin-malware-hamas/

https://harfanglab.io/insidethelab/samecoin-malware-hamas/

Python软件包索引（PyPI）发现恶意软件包

日期: 2024-02-21
标签: 信息技术, NP6HelperHttptest

研究人员在Python软件包索引（PyPI）存储库上发现了两个恶意软件包，这两个软件包利用了DLL侧加载技术来规避安全软件的检测并运行恶意代码。这两个软件包分别名为NP6HelperHttptest和NP6HelperHttper，在被下架之前分别被下载了537次和166次。这一发现表明软件供应链威胁的范围正在扩大。这两个软件包是NP6HelperHttp和NP6HelperConfig的错别字版本，目的是欺骗开发人员下载它们的恶意替代品。软件包中包含一个setup.py脚本，旨在下载两个文件，一个是来自北京金山软件的易受DLL侧加载攻击的实际可执行文件（"ComServer.exe"），另一个是要侧加载的恶意DLL（"dgdeskband64.dll"）。通过侧加载DLL，旨在避免对恶意代码的检测。这些软件包似乎是更广泛活动的一部分，该活动涉及分发易受DLL侧加载攻击的类似可执行文件。安全研究人员指出，开发组织需要意识到与供应链安全和开源软件包存储库相关的威胁。即使他们不使用开源软件包存储库，威胁行为者也可能滥用它们来冒充公司及其软件产品和工具。

详情

https://thehackernews.com/2024/02/new-malicious-pypi-packages-caught.html

https://thehackernews.com/2024/02/new-malicious-pypi-packages-caught.html

新型恶意软件攻击利用Redis服务器进行加密货币挖矿

日期: 2024-02-21
标签: 信息技术, 金融业, 加密货币挖矿

一次新型的恶意软件攻击活动针对Redis服务器进行了观察，其初始目标是在受损的Linux主机上进行加密货币挖矿。这一攻击活动使用了多种新型系统削弱技术，其中包括名为Migo的Golang ELF二进制恶意软件，该恶意软件具有编译时混淆和在Linux机器上持久存在的能力。攻击者通过禁用一系列配置选项来降低安全防御，然后设置两个Redis密钥，一个指向受攻击者控制的SSH密钥，另一个指向从名为Transfer.sh的文件传输服务中检索恶意主要载荷的cron作业。此外，Migo还执行一系列步骤以建立持久性，终止竞争矿工，并启动挖矿程序。该恶意软件还包括隐藏进程和磁盘文件的功能。这一攻击活动表明，云安全攻击者正在不断改进其技术，提高其利用面向网络的服务的能力。

详情

https://thehackernews.com/2024/02/new-migo-malware-targeting-redis.html

https://thehackernews.com/2024/02/new-migo-malware-targeting-redis.html

新型Migo恶意软件针对Redis服务器进行加密货币挖矿

日期: 2024-02-21
标签: 信息技术, 加密货币挖矿, Redis服务器

安全研究人员发现了一个新的针对Linux主机上的Redis服务器的攻击活动，使用名为“Migo”的恶意软件进行加密货币挖矿。攻击者利用系统弱化命令关闭Redis安全功能，使加密货币挖矿活动持续进行。Migo还使用用户模式rootkit隐藏其进程和文件，同时设置防火墙规则和修改系统文件，以进一步隐藏其活动。攻击者通过命令行操作关闭Redis的关键安全功能，允许执行恶意命令并使副本可写。Migo的主要功能是从GitHub的CDN上获取、安装和启动修改后的XMRig（Monero）挖矿程序，并确保其持久性运行。攻击者还设置了定时任务，下载来自Pastebin的脚本，并在受感染的终端上执行Migo的主要负载。整个攻击链显示出背后的威胁行为者对Redis环境和操作有很强的理解。

详情

https://www.bleepingcomputer.com/news/security/new-migo-malware-disables-protection-features-on-redis-servers/

https://www.bleepingcomputer.com/news/security/new-migo-malware-disables-protection-features-on-redis-servers/

Lazarus利用PyPI传播恶意软件

日期: 2024-02-22
标签: 信息技术, PyPI, APT舆情

JPCERT/CC已确认Lazarus攻击组织已在官方Python包存储库PyPI上发布了恶意Python包。pycryptoenv和pycryptoconf的包名与Python包pycrypto类似，用于在Python中使用加密算法，攻击者会在用户安装同名包时针对拼写错误来启动恶意软件。

详情

https://blogs.jpcert.or.jp/ja/2024/02/lazarus_pypi.html

https://blogs.jpcert.or.jp/ja/2024/02/lazarus_pypi.html

谷歌云Run服务被滥用分发银行木马

日期: 2024-02-22
标签: 信息技术, 谷歌云Run, 银行木马

安全研究人员警告称，黑客正在滥用谷歌云Run服务来分发大量的银行木马，如Astaroth、Mekotio和Ousaban。谷歌云Run允许用户部署前端和后端服务、网站或应用程序，处理工作负载，无需管理基础架构或扩展。研究人员观察到从2023年9月开始，谷歌的服务被滥用以分发恶意软件，巴西黑客利用MSI安装程序文件进行恶意软件负载的部署。这些攻击通过钓鱼邮件开始，链接指向谷歌云Run上托管的恶意网络服务。恶意软件包括Astaroth/Guildma、Mekotio和Ousaban三种银行木马，它们旨在偷偷渗透系统、建立持久性，并窃取敏感的金融数据。

详情

https://www.bleepingcomputer.com/news/security/hackers-abuse-google-cloud-run-in-massive-banking-*-campaign/

https://www.bleepingcomputer.com/news/security/hackers-abuse-google-cloud-run-in-massive-banking-*-campaign/

SSH-Snake：自修改蠕虫工具

日期: 2024-02-22
标签: 信息技术, 自修改蠕虫

一位威胁行为者正在使用名为SSH-Snake的开源网络映射工具，以寻找未被察觉的私钥并在受害者基础设施上进行横向移动。SSH-Snake是由Sysdig威胁研究团队（TRT）发现的，他们将其描述为“自修改蠕虫”，通过避开传统SSH蠕虫通常与脚本攻击相关的模式来进行区分。该工具可自动进行基于SSH的网络遍历，起始于一个系统并显示通过SSH连接的其他主机之间的关系。它通过搜索各种位置中的私钥，包括shell历史文件，然后使用这些私钥在网络上隐秘地传播到新系统。研究人员表示，SSH-Snake采用各种直接和间接方法来发现受损系统上的私钥，并且已被用于大约100个受害者。该工具被视为恶意软件的一次进化，因为它针对了企业环境中广泛使用的安全连接方法。

详情

https://www.bleepingcomputer.com/news/security/new-ssh-snake-malware-steals-ssh-keys-to-spread-across-the-network/

https://www.bleepingcomputer.com/news/security/new-ssh-snake-malware-steals-ssh-keys-to-spread-across-the-network/

越南Facebook广告商遭受VietCredCare信息窃取软件的攻击

日期: 2024-02-22
标签: 信息技术, 文化传播, VietCredCare

越南的Facebook广告客户成为了一个名为VietCredCare的先前未知信息窃取者的目标，至少自2022年8月以来。这种恶意软件能够自动过滤出从受感染设备中窃取的Facebook会话cookie和凭证，并评估这些帐户是否管理商业资料和是否保持正面的Meta广告信用余额。它通过大规模的恶意软件分发计划来实现占领企业Facebook帐户的最终目标，通过针对管理知名企业和组织Facebook资料的越南个人进行攻击。成功夺取的Facebook帐户随后由操作背后的威胁行为者用于发布政治内容或传播钓鱼和联盟诈骗以获取金钱利益。

详情

https://thehackernews.com/2024/02/new-vietcredcare-stealer-targeting.html

https://thehackernews.com/2024/02/new-vietcredcare-stealer-targeting.html

Konni RAT远程访问木马植入俄罗斯外交部工具安装程序

日期: 2024-02-23
标签: 信息技术, *部门, Konni RAT

德国网络安全公司DCSO发现，俄罗斯外交部（MID）领事部门可能使用的一款安装程序被植入远程访问木马Konni RAT（又称UpDog）。DCSO将此活动追溯到朝鲜*主义人民*（DPRK）相关行动者，针对俄罗斯进行攻击。Konni RAT活动集群已经形成一种模式，使用Konni RAT攻击俄罗斯实体，而威胁行为者也与至少自2021年10月以来针对MID的攻击有关。

详情

https://thehackernews.com/2024/02/russian-government-software-backdoored.html

https://thehackernews.com/2024/02/russian-government-software-backdoored.html

谷歌云运行被滥用用于分发银行木马

日期: 2024-02-23
标签: 信息技术, 谷歌云运行

安全研究人员警告称，黑客滥用谷歌云运行服务来分发大量银行木马，如Astaroth、Mekotio和Ousaban。谷歌云运行允许用户部署前端和后端服务、网站或应用程序，处理工作负载，无需管理基础架构或扩展。Cisco Talos研究人员观察到从2023年9月开始，谷歌的服务被广泛滥用用于恶意软件分发，当时巴西行动者使用MSI安装程序文件启动了恶意软件传播活动。研究人员的报告指出，谷歌云运行最近因其成本效益和绕过标准安全阻挡和过滤器的能力而变得对网络犯罪分子有吸引力。攻击链包括针对潜在受害者的钓鱼邮件，链接到托管在谷歌云运行上的恶意网络服务。恶意软件细节涉及三种银行木马：Astaroth/Guildma、Mekotio和Ousaban。每种木马都设计为悄悄渗透系统、建立持久性，并窃取敏感的金融数据，以便接管银行账户。

详情