网络犯罪者利用WMI组件BMOF流传XMRig挖矿恶意软件

首页 > 宁静研究 > 宁静通报 > 宁静简讯

网络犯罪者利用WMI组件BMOF流传XMRig挖矿恶意软件

宣布时间 2024-09-12

1. 网络犯罪者利用WMI组件BMOF流传XMRig挖矿恶意软件

9月10日，AhnLab 宁静情报中心（ASEC）近期揭示了一种令人警惕的网络犯罪新趋势，即犯罪分子巧妙利用二进制管理工具文件（BMOF），这是在Windows管理规范（WMI）中至关重要的组件，作为流传XMRig加密货币挖矿恶意软件的载体。BMOF原本用于执行脚本的功效被恶意利用，通过创建“永久事件订阅”机制，实现恶意软件的持久化存在与自我恢复能力，极大增强了攻击者对受害系统的控制力。此攻击手法常与BondNet恶意软件协同，后者专攻SQL服务器，通过漏洞利用或暴力破解获取初始访问权，随后利用BMOF下载并执行更多恶意组件，最终部署XMRig挖矿软件。XMRig作为一种加密劫持恶意软件，悄无声息地占用受害者系统资源挖掘门罗币，对系统性能与能耗造成显著负面影响，为攻击者谋取非法利益。

https://securityonline.info/cybercriminals-exploit-legitimate-windows-tool-for-cryptojacking/

2. 新的 PIXHELL 声学攻击泄露了液晶屏幕噪音的秘密

9月10日，新型声学攻击“PIXHELL”展示了从隔离系统中隐秘泄露信息的强大能力，它通过连接的LCD显示器发出人耳难以察觉的声波（0-22 kHz），利用像素模式调制通报编码信号，这些数据能被四周的智能设备捕捉。尽管数据传输速率较慢（仅20 bps），但它足以进行实时键盘记录或窃取小文本文件。PIXHELL由以色列内盖夫本·古里安大学的Mordechai Guri博士开发，利用了LCD屏幕的自然声发射特性，结合特制恶意软件，通过差异的调制技术（如OOK、FSK、ASK）将数据编码为声音信号。由于这些声音和像素变化对人类用户而言几乎不行见，使得攻击极其隐蔽。面对PIXHELL攻击，可接纳的防御措施包罗：在敏感区域禁用携带麦克风的设备，增加配景噪声以滋扰信号，以及使用摄像头监控屏幕缓冲区以检测异常像素模式。这些措施配合组成了一个多条理的宁静防护网，旨在有效抵御此类新型声学侧信道攻击。

https://www.bleepingcomputer.com/news/security/new-pixhell-acoustic-attack-leaks-secrets-from-lcd-screen-noise/

3. Kemper Sports Management数据泄露，影响6.2万人

9月11日，高尔夫球场管理及酒店服务提供商Kemper Sports Management宣布了一起重大数据泄露事件，波及6.2万名个人，主要涉及其现任及前任员工的敏感信息，包罗姓名和社会宁静号码。公司于2024年4月1日察觉网络异常，经视察确认，不明威胁者已非法侵入系统并获取了这些信息。此次泄露事件影响范围广泛，波及KemperSports在美国30个州的凌驾7,500名员工，笼罩其140多个分支机构。尽管目前尚无证据表明信息已被恶意利用于身份偷窃或欺诈活动，KemperSports已迅速接纳行动，为受影响的个人提供一年的免费信用监控及身份恢复服务作为赔偿。值得注意的是，此次事件并未明确指向任何已知的勒索软件组织，且公司强调，即便涉及赎金支付，其也不会成为泄密信息的果然工具。此消息迅速引起执法界的关注，多家律师事务所已宣布声明，意图代表受害者向KemperSports提倡集体诉讼。

https://www.securityweek.com/data-breach-at-golf-course-management-firm-kempersports-impacts-62000/

4. 网络钓鱼新趋势：域名抢注与品牌冒充肆虐

9月11日，Zscaler ThreatLabz最新陈诉揭示了网络钓鱼活动正以前所未有的速度增长，特别是通过域名抢注和品牌冒充手段。在2024年2月至7月期间，研究团队分析了凌驾3万个与全球知名品牌相似的域名，发现其中三分之一为恶意域名，尤以谷歌、微软和亚马逊等科技巨头为冒充重灾区，占比近四分之三。这些攻击者利用品牌知名度和用户信任，通过轻微拼写错误的域名诱骗用户进入恶意网站，利用被盗凭证迅速变现�；チ裥幸党晌绲鲇愕闹饕勘�，占比近三成，专业服务与在线购物网站紧随其后，因其处置大量敏感和财政数据而备受青睐。值得注意的是，近半钓鱼域名接纳免费的Let's Encrypt TLS证书伪装合法，利用“挂锁”符号误导用户，逃避浏览器宁静警告。鉴于域名抢注和品牌冒充活动连续放肆，提升用户防范意识和加强企业网络宁静措施刻不容缓。

https://securityonline.info/cybercriminals-increasingly-target-google-microsoft-and-amazon-in-sophisticated-phishing-schemes/

5. LearnPress曝漏洞CVE-2024-8522，威胁超9万个网站宁静

9月11日，LearnPress是一款广受欢迎的WordPress在线课程管理工具插件，近期被发现存在一个高危SQL注入漏洞，编号为CVE-2024-8522，其CVSS评分高达10，表明该漏洞具有极高的严重性。此漏洞潜藏于LearnPress的REST API端点中，具体关联到“c_only_fields”参数的处置不妥，因缺乏足够的转义措施和SQL查询准备，使得未经身份验证的攻击者能够注入恶意SQL代码，进而可能访问并窃取存储在WordPress数据库中的敏感信息，如用户凭证、个人数据及课程资料。鉴于LearnPress拥有凌驾90,000个活跃安装量，其影响范围广泛且深远，攻击者甚至可能利用此漏洞修改或删除数据库内容，完全控制受影响的网站。鉴于该漏洞的简易利用性和高危害性，所有使用LearnPress的WordPress网站均面临直接风险。LearnPress开发团队已迅速响应，宣布了4.2.7.1版本以修复此漏洞。因此，强烈建议所有用户立即更新至最新版本，以有效防范潜在的宁静威胁。

https://securityonline.info/cve-2024-8522-cvss-10-learnpress-sqli-flaw-leaves-90k-wordpress-sites-at-risk/

6. 网络诈骗新目标：特朗普数字交易卡遭钓鱼网站围攻

9月11日，网络犯罪分子正利用钓鱼网站、虚假域名及社会工程手段，针对特朗普的数字交易卡提倡攻击，企图窃取其敏感数据。特朗普的新数字交易卡因其提供的独家数字资产和真实体验而备受关注，却也因此成为非法分子的目标。据Veriti网络宁静公司陈诉，诈骗者通过构建与官方网址高度相似的虚假URL，如使用“.xyz”后缀或故意拼写错误（如“trunpcards”），诱导用户访问并泄露信息或安装恶意软件。他们利用电子邮件网络钓鱼，发送看似来自合法渠道的限时优惠邮件，内含恶意链接，诱骗用户点击。特朗普及其支持者并非首次成为网络犯罪的目标，过去也曾发生过类似诈骗事件，如通过虚假网站窃取捐款、利用虚假遇刺事件骗取加密货币等。面对这些风险，数字收藏卡喜好者需保持高度警惕，接纳防范措施，如使用知识判断信息真伪、检查URL的HTTPS标识及拼写准确性、制止点击未经验证的邮件链接，并主动访问官方网站。

https://hackread.com/fake-domains-trump-supporters-trading-card-scam/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究