伊朗黑客组织OilRig对伊拉克政府提倡恶意软件攻击

首页 > 宁静研究 > 宁静通报 > 宁静简讯

伊朗黑客组织OilRig对伊拉克政府提倡恶意软件攻击

宣布时间 2024-09-14

1. 伊朗黑客组织OilRig对伊拉克政府提倡恶意软件攻击

9月12日，伊拉克政府网络近期成为伊朗支持的网络组织OilRig（亦称APT34等）的精心筹谋攻击目标。据网络宁静公司Check Point分析，此次攻击针对伊拉克总理办公室及外交部等要害部门，利用新恶意软件Veaty和Spearal，通过伪装文档和社会工程学手段渗透网络。OilRig自2014年起在中东地域活跃，擅长网络钓鱼和定制后门攻击，此次也不例外，展示了其奇特的命令与控制机制，包罗自界说DNS隧道和基于被熏染电子邮件的C2通道。攻击链通过欺骗性文件启动，执行PowerShell或Pyinstaller脚本，删除痕迹并部署恶意软件。Spearal利用DNS隧道通信，Veaty则通过特定邮箱下载并执行命令。此外，还发现与SSH隧道后门和IIS服务器后门相关的活动，表明攻击者手段多样且技术先进。Check Point强调，此次行动凸显了伊朗威胁行为者在地域内的连续和集中努力，以及其在开发专门C2机制上的蓄意投入。

https://thehackernews.com/2024/09/iranian-cyber-group-oilrig-targets.html

2. TrickMo银行木马新变种曝光：增强威胁，窃取隐私

9月12日，Cleafy 威胁情报团队最近揭露了TrickMo银行木马的一个新型变种，这一变种不仅继承并强化了其前身针对Android设备银行凭证的传统威胁能力，还引入了屏幕录制、键盘记录及远程控制等高级功效，极大地扩展了其攻击范围和破坏力。TrickMo作为TrickBot家族的一员，自2019年首次被发现以来，连续进化，现已成为金融欺诈和个人隐私宁静的重大隐患。新变种不仅能拦截一次性密码(OTP)绕过双因素认证(2FA)，更通过直接控制受害者设备执行设备欺诈(ODF)，无视最严密的银行宁静防护。尤为严重的是，Cleafy发现该变种还从受熏染设备中窃取敏感数据，并将这些数据存储在无�；さ拿钣肟刂�(C2)服务器上，导致数据泄露风险激增，任何第三方都能轻易获取这些数据。被盗数据凌驾 12 GB，包罗个人身份证件、财政信息，甚至受害者的私密照片。TrickMo通过滥用Android的辅助功效服务，实现无声无息的权限提升与攻击执行，进一步加剧了其威胁的隐蔽性和危害性。

https://securityonline.info/beware-the-new-trickmo-banking-trojan-enhanced-features-increased-danger/

3. 网络威胁新动向：合法Python库成攻击利器

9月12日，宁静研究人员Mertens近期宣布了一份陈诉，揭示了网络威胁领域的一项严峻趋势：网络犯罪分子正日益巧妙地利用合法的Python库执行恶意活动。这些库，如pyWinhook、psutil、win32gui和pyperclip，原本用于软件开发和自动化，却被犯罪分子滥用以实施键盘记录、系统监控、剪贴板劫持等恶意行为。Mertens指出，PyPi.org等庞大库生态系统的存在，为恶意软件开发者提供了富厚的资源。尽管这些库自己无害，但它们的强大功效被非法分子利用，以逃避检测，实现代码注入、数据泄露等目的。例如，discord库被重新包装为C2平台，ftplib、dropbox等工具则成为数据泄露的帮凶。更令人担忧的是，攻击者还接纳Python混淆技术，如marshal和py_compile，进一步模糊恶意代码，增加逆向工程的难度。这种计谋使得恶意软件更难被宁静分析师察觉，从而加剧了网络宁静防御的庞大性。

https://securityonline.info/cybersecurity-alert-python-libraries-exploited-for-malicious-intent/

4. 西雅图港遭Rhysida勒索软件攻击

9月13日，西雅图港作为监管西雅图地域海港与机场的重要政府机构，近期确认其系统在过去三周内遭遇了Rhysida勒索软件团伙的恶意攻击。该攻击始于8月，迫使口岸紧急隔离部门要害系统以停止影响，直接滋扰了西雅图-塔科马国际机场的航班预订与登机流程，导致航班延误。三周后，口岸官方正式指认Rhysida为幕后元凶，并声明自事发后系统未再受新的未授权活动侵扰，机场及口岸设施仍属宁静。此次攻击中，Rhysida团伙乐成渗透口岸计算机系统，加密要害数据，导致包罗行李处置、自助服务、Wi-Fi网络、信息显示等多个服务中断。尽管口岸迅速响应，恢复了大部门系统，但仍在全力修复如官方网站、访客通行证服务等要害功效。值得注意的是，口岸坚决拒绝支付赎金，彰显了其维护公共资金宁静、不向犯罪妥协的立场。Rhysida作为一种新兴的勒索软件即服务（RaaS），自今年5月活跃以来，已多次对全球多个领域提倡攻击。，CISA与FBI等机构已发出警告，提醒各行业加强网络宁静防护，配合抵御勒索软件的侵害。

https://www.bleepingcomputer.com/news/security/port-of-seattle-says-rhysida-ransomware-was-behind-august-attack/

5. Ivanti CSA高危漏洞遭利用，联邦机构限期修补

9月13日，Ivanti确认其云服务设备（CSA）解决方案中存在高危漏洞CVE-2024-8190，该漏洞已遭攻击者利用。起初，Ivanti陈诉称未发现客户受影响，但随后确认少数客户已中招。该漏洞允许远程认证的管理员通过命令注入在CSA 4.6版本上执行远程代码。Ivanti建议接纳特定配置降低风险，并检查管理用户权限及系统日志以检测攻击实验。同时，公司敦促客户从已终止支持的CSA 4.6.x升级到CSA 5.0版本，或至少更新至CSA 4.6的Patch 519。此外，美国网络宁静和基础设施宁静局（CISA）已将CVE-2024-8190加入其已知被利用漏洞目录，要求联邦机构在10月4日前修复。CISA强调此类漏洞对联邦企业组成重大威胁。Ivanti在全球拥有广泛的合作伙伴网络，其产物和服务被凌驾40,000家公司用于系统管理，此次事件再次凸显了及时修复宁静漏洞的重要性。

https://www.bleepingcomputer.com/news/security/ivanti-warns-high-severity-csa-flaw-is-now-exploited-in-attacks/

6. Trojan Ajina.Banker肆虐中亚：伪装合法应用窃取银行信息

9月13日，名为Trojan Ajina.Banker的新型Android恶意软件正肆虐中亚地域，以乌兹别克斯坦神话中的恶毒精灵命名，通过伪装成合法应用法式如银行服务和政府门户，利用Telegram等平台上的社交工程计谋诱导用户下载并运行恶意文件。自2023年11月以来，已发现约1,400种变种，主要目标为乌兹别克斯坦用户，但攻击范围已扩散至多个国家。Ajina.Banker通过发送诱人优惠和促销信息的恶意链接，以及分享托管恶意软件的频道链接，利用用户的好奇心进行流传。其当地化推广计谋在区域社区中制造紧迫感，促使用户不经思考即点击链接。该恶意软件不仅能收集金融应用信息、SIM卡详情，还能拦截短信以获取2FA验证码，展现出高度适应性和进化能力。值得注意的是，Ajina.Banker接纳联盟计划模式运营，核心团队与联盟网络合作，通过分享被盗资金激励分发和熏染链的扩大。面对这一威胁，专家建议保持警惕，制止点击未经请求的消息和下载链接，坚持使用官方应用商店下载应用，并仔细检查应用权限。

https://hackread.com/android-malware-ajina-banker-steal-2fa-codes-telegram/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究