RustDoor通过Justice AV Solutions JAVS Viewer进行流传

首页 > 宁静研究 > 宁静通报 > 宁静简讯

RustDoor通过Justice AV Solutions JAVS Viewer进行流传

宣布时间 2024-05-27

1. RustDoor通过Justice AV Solutions JAVS Viewer进行流传

5月26日，Rapid7 的研究人员警告称，威胁行为者在 Justice AV Solutions JAVS Viewer 软件的安装法式中添加了后门。攻击者能够在从 JAVS 服务器分发的 JAVS Viewer v8.3.7 安装法式中注入后门。Justice AV Solutions (JAVS) 是一家总部位于美国的公司，为法庭环境和其他环境（包罗监狱、议会和演讲室）提供数字视听录制解决方案。JAVS Viewer 在全球拥有凌驾 10,000 个安装。研究人员提供的后门允许攻击者完全控制受熏染的系统。Rapid7 专家建议重新映像受影响的系统，重置相关凭据，并安装最新版本的 JAVS Viewer（v8.3.8 或更高版本）。研究人员注意到，JAVS Viewer Setup 8.3.7.250-1.exe 的安装法式使用意外的 Authenticode 签名进行数字签名，并包罗一个名为 fffmpeg.exe 的二进制文件。该二进制文件执行编码的 PowerShell 脚本，Rapid7 将 fffmpeg.exe 与GateDoor / Rustdoor恶意软件联系起来，该恶意软件已被宁静公司 S2W 识别。

https://securityaffairs.com/163683/hacking/supplay-chain-attack-javs-viewer.html

2. SlashNext宣布2024年上半年网络钓鱼状况陈诉

5月24日，陈诉称，过去六个月中恶意网络钓鱼链接、商业电子邮件入侵 (BEC)、二维码和基于附件的威胁增加了 341%。该数据来自 SlashNext 的年中《2024 年网络钓鱼状况》陈诉，该陈诉还发现，在过去 12 个月中，恶意电子邮件和消息威胁增加了 856%。自 2022 年 11 月推出 ChatGPT 以来，恶意网络钓鱼消息激增了 4151%。Keeper Security 首席执行官兼联合首创人 Darren Guccione 警告称：不良行为者可以通过多种方式利用 ChatGPT，包罗创建令人信服的网络钓鱼电子邮件。这些工具不仅可以资助非法分子创建可信的网络钓鱼电子邮件或勒索软件攻击的恶意代码等内容，而且他们可以快速轻松地完成这些操作。防御能力最弱的组织将特别容易受到攻击，因为攻击量可能会继续增加。陈诉还发现，在过去六个月中，凭证窃取网络钓鱼攻击增加了 217%，BEC 攻击增加了 29%�；� CAPTCHA 的攻击也在增加，攻击者使用 CloudFlare 的 CAPTCHA 来隐藏凭证收集表格。此外，网络犯罪分子正在利用 Microsoft SharePoint、AWS 和 Salesforce 等可信服务来隐藏网络钓鱼和恶意软件�；诙氲墓セ飨衷谡妓卸褚獾缱佑始� 11%，通常集成到合法基础设施中。

https://www.infosecurity-magazine.com/news/341-rise-advanced-phishing-attacks/?&web_view=true

3. ShrinkLocker 劫持 BitLocker 针对企业提倡攻击

5月25日，卡巴斯基实验室的专家已经确定使用一种名为 ShrinkLocker 的新勒索软件法式对企业设备进行攻击，该法式利用了 BitLocker。BitLocker 是 Windows 中的一项宁静功效，可通过加密�；な�。这些攻击的目标包罗工业和制药公司以及政府机构。攻击者使用 VBScript 编写了一个恶意脚本。该脚本会检查设备上安装的 Windows 版本并激活相应的 BitLocker 功效。ShrinkLocker 可以熏染新旧版本的操作系统，最高可熏染 Windows Server 2008。该脚本会修改操作系统的启动参数，然后实验使用 BitLocker 加密硬盘分区。创建一个新的启动分区，以便稍后加载加密的计算机。攻击者还会删除用于�；� BitLocker 加密密钥的宁静工具，阻止用户恢复它们。随后，恶意脚本将受熏染计算机上生成的系统信息和加密密钥发送到攻击者的服务器。然后，它会通过删除日志和种种可能有助于视察攻击的文件来“掩盖其踪迹”。

https://meterpreter.org/new-ransomware-threat-shrinklocker-hijacks-bitlocker-for-corporate-attacks/

4. APT36利用Linux间谍软件攻击印度的国防组织

5月25日，一个与巴基斯坦利益相符的、出于政治动机的黑客组织正与印度军方同步放弃 Windows 操作系统，并将重点放在为 Linux 编码的恶意软件上。该网络间谍组织利用电子邮件作为鱼叉式网络钓鱼攻击的载体，还利用 Telegram、Discord、Slack 和 Google Drive 等流行网络服务来存储和分发诱饵和恶意软件。每次攻击的时机都是有计谋性的，这表明黑客在发动每次攻击时都进行了详细的规划，并有特定的目标。自研究人员开始跟踪 APT36 行动以来，该组织首次使用 ISO 映像作为攻击媒介。在印度政府宣布招标购置战斗机和升级数十架苏霍伊 30MKI 战斗机之际，该组织还在鱼叉式网络钓鱼电子邮件中使用 ISO 映像来攻击印度空军官员。黑莓称，该间谍组织模仿印度国防和战略智库及政府机构的网站域名，诱骗受害者下载恶意诱饵文件。这些组织包罗位于新德里的独立智库陆战研究中心、印度计算机应急响应小组和陆军福利教育协会。

https://www.bankinfosecurity.com/pakistani-aligned-apt36-targets-indian-defense-organizations-a-25296?&web_view=true

5. 假冒 Pegasus 间谍软件病毒充斥即时通讯平台和暗网

5月25日，CloudSEK 发现，假冒 Pegasus 间谍软件的源代码正在表层网络、暗网和即时通讯平台上出售。继苹果公司最近发出有关“雇佣型间谍软件”攻击的警告后，云宁静提供商 CloudSEK 对明网和暗网中与间谍软件相关的威胁进行了视察。该公司分析了约莫 25,000 条 Telegram 帖子，发现许多帖子声称出售 Pegasus 的真实源代码。Pegasus 是由以色列公司 NSO Group 商业化的间谍软件。这些帖子大多遵循提供非法服务的通用模板，其中经常提到 Pegasus 和 NSO 工具。通过与 150 多名潜在卖家互动，研究人员深入了解了种种样本和指标，包罗所谓的 Pegasus 源代码、现场演示、文件结构和快照。在分析了来自暗网源的 15 个源代码样本和 30 多个指标后，CloudSEK 发现几乎所有样本都是欺诈性的且无效的。威胁行为者创建了自己的工具和脚本，并以 Pegasus 的名义分发，利用其恶名获取经济利益。这一趋势在多个地下论坛中也有所体现，犯罪者在这些论坛上营销和分发样本，利

用 Pegasus 的名义获取金钱利益，并在地表网络代码共享平台上流传与 Pegasus 虚假关联的随机生成的源代码。

https://www.infosecurity-magazine.com/news/fake-pegasus-spyware-dark-web/

6. Cencora数据泄露导致11家制药公司的美国患者信息被泄露

5月25日，全球一些最大的制药公司披露了数据泄露事件，原因是 2024 年 2 月对其制药和商业服务合作伙伴 Cencora 提倡的网络攻击。Cencora（前身为 AmerisourceBergen）是一家专门从事药品分销、专业药房、咨询和临床试验支持的医药服务提供商。该公司总部位于宾夕法尼亚州，业务遍及 50 个国家，拥有 46,000 名员工，2023 年营收为 2620 亿美元。2024 年 2 月，Cencora 在向美国证券交易委员会提交的 8-K 表格中披露了数据泄露事件，称未经授权的各方访问了其信息系统并窃取了个人数据。其时，该公司选择不分享有关该事件及其对客户的潜在影响的任何其他信息。此外，没有任何勒索软件组织认可对此次攻击卖力。今天，加州总检察长办公室宣布了美国一些最大的制药公司在过去几天提交的多份数据泄露通知样本，这些公司均将其数据泄露归咎于 2 月份的 Cencora 事件。数据泄露通知警告称，Cencora 的内部视察于 2024 年 4 月 10 日结束，视察证实以下信息已被泄露：全名、地址、健康诊断、药物和处方。信中指出，截至目前，没有证据表明窃取的信息已在互联网上果然披露或被用于欺诈目的。为了应对受影响个人面临的较高风险，Cencora 将通过 Experian 为受助者提供两年的免费身份�；ず托庞眉嗫胤�，受助者可以使用这些服务直到 2024 年 8 月 30 日。

https://www.bleepingcomputer.com/news/security/cencora-data-breach-exposes-us-patient-info-from-11-drug-companies/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究