AI语音生成器应用法式被用来投放Gipy恶意软件

首页 > 宁静研究 > 宁静通报 > 宁静简讯

AI语音生成器应用法式被用来投放Gipy恶意软件

宣布时间 2024-05-28

1. AI语音生成器应用法式被用来投放Gipy恶意软件

5月26日，Gipy 是最近发现的一种利用信息窃取恶意软件的攻击活动，它以德国、俄罗斯、西班牙和台湾的用户为目标，并允许提供 AI 语音转换应用法式作为网络钓鱼诱饵�？ò退够难芯咳嗽碧逑�，Gipy 恶意软件于 2023 年初首次泛起，一旦交付，攻击者便可以窃取数据、挖掘加密货币并在受害者的系统上安装其他恶意软件。研究人员解释称，在这种情况下，威胁行为者以合法的人工智能语音修改应用法式的允许来引诱受害者�？ò突哦釉霾顾�，一旦用户安装该应用法式，应用法式就会开始按允许运行，同时，Gipy 恶意软件也会在后台运行。

https://www.darkreading.com/threat-intelligence/ai-voice-generator-used-to-drop-gipy-malware

2. 用于流传信息窃取恶意软件的虚假 AV 网站

5月26日，威胁行为者使用伪装成 Avast、Bitdefender 和 Malwarebytes 合法防病毒产物的虚假 AV 网站来分发恶意软件。2024 年 4 月中旬，Trellix 高级研究中心团队的研究人员发现了多个用于分发信息窃取法式的虚假 AV 网站。这些恶意网站托管了庞大的恶意文件，例如 APK、EXE 和 Inno 安装安装法式，包罗间谍和窃取法式功效。这些虚假网站伪装成 Avast、Bitdefender 和 Malwarebytes 的合法防病毒产物。托管恶意软件的网站是 avast-securedownload.com (Avast.apk)、bitdefender-app.com (setup-win-x86-x64.exe.zip)、malwarebytes.pro (MBSetup.rar)。专家还发现了一个伪装成合法法式 (AMCoreDat.exe) 的恶意 Trellix 二进制文件。研究人员并未将这些攻击归咎于特定的威胁行为者。该陈诉还列出了使用虚假 AV 网站进行的攻击的危害指标 (IoC)。

https://securityaffairs.com/163673/cyber-crime/fake-av-websites-distribute-malware.html

3. 黑客利用木马病毒克隆版“扫雷者”攻击金融机构

5月26日，黑客正在利用微软经典游戏扫雷的 Python 克隆代码来隐藏恶意脚本，以攻击欧洲和美国的金融机构。乌克兰的 CSIRT-NBU 和 CERT-UA 将这些攻击归咎于一个被追踪为“UAC-0188”的威胁行为者，他使用合法代码来隐藏下载和安装 SuperOps RMM 的 Python 脚本。Superops RMM 是一款合法的远程管理软件，可让远程加入者直接访问受熏染的系统。CERT-UA 陈诉称，在首次发现此次攻击之后进行的研究显示，欧洲和美国的金融和保险机构中至少存在五起由相同文件引发的潜在漏洞。

https://www.bleepingcomputer.com/news/security/hackers-phish-finance-orgs-using-trojanized-minesweeper-clone/

4. CERT-UA 警告威胁行为者 UAC-0006 提倡的恶意软件活动

5月26日，乌克兰计算机应急反映小组 (CERT-UA) 警告称，与以经济为目的的威胁行为者UAC-0006相关的网络攻击激增。UAC-0006 自 2013 年以来一直活跃。威胁行为者专注于入侵会计师的个人电脑（用于支持金融活动，例如访问远程银行系统）、窃取凭证以及进行未经授权的资金转移。政府专家陈诉称，自 5 月 20 日以来，该组织进行了至少两次大规�；疃�，威胁行为者旨在通过电子邮件流传SmokeLoader恶意软件。SmokeLoader 充当其他恶意软件的加载器，一旦执行，它就会将恶意代码注入当前运行的 Explorer 进程（explorer.exe），并将另一个有效负载下载到系统中。

https://securityaffairs.com/163711/cyber-warfare-2/cert-ua-warns-uac-0006-massive-campaigns.html

5. 黑客在最近的 MITRE 网络攻击中创建恶意虚拟机

5月27日，黑客最近利用了 MITRE 的网络实验、研究和虚拟化环境 (NERVE) 中的漏洞。他们使用恶意虚拟机（VM）来逃避检测并在网络攻击中保持持久性。此次攻击被归咎于一个与中国有关的组织 UNC5221，凸显了网络威胁日益庞大化，甚至顶级网络宁静组织在防御这些威胁时也面临挑战。该漏洞始于 2023 年 12 月下旬，其时攻击者利用了 Ivanti Connect Secure 设备中的两个零日漏洞，漏洞编号为CVE-2023-46805和CVE-2024-21887。这些漏洞使得黑客能够通过会话劫持绕过多因素身份验证，从而获得对 MITRE 的 NERVE 环境的未经授权的访问。2024 年 4 月发现了最初的利用迹象，促使 MITRE 和第三方数字取证团队进行了彻底的视察。一旦进入 NERVE 环境，攻击者就会使用泄露的管理员凭据进行横向移动，瞄准 VMware 基础架构。

https://gbhackers.com/rogue-vms-mitres-cyber-attack/

6. 思科FIREPOWER管理中心高危漏洞CVE-2024-20360

5月27日，思科 Firepower 管理中心 (FMC) 软件的 Web 管理界面中存在一个漏洞，可能导致经过身份验证的远程攻击者对受影响的系统进行 SQL 注入攻击。存在此漏洞的原因是 Web 管理界面没有充实验证用户输入。攻击者可以通过对应用法式进行身份验证并向受影响的系统发送精心设计的 SQL 查询来利用此漏洞。乐成利用此漏洞可能允许攻击者从数据库获取任何数据，在底层操作系统上执行任意命令，并将权限提升到 root。要利用此漏洞，攻击者至少需要只读用户凭据。思科体现，目前尚无解决此漏洞的变通要领。该 IT 巨头已确认，此漏洞不会影响自适应宁静设备 (ASA) 软件或 Firepower 威胁防御 (FTD) 软件。

https://securityaffairs.com/163718/security/a-high-severity-vulnerability-affects-cisco-firepower-management-center.html

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究