PipeMagic木马利用伪造ChatGPT应用法式攻击沙特阿拉伯

首页 > 宁静研究 > 宁静通报 > 宁静简讯

PipeMagic木马利用伪造ChatGPT应用法式攻击沙特阿拉伯

宣布时间 2024-10-17

1. PipeMagic木马利用伪造ChatGPT应用法式攻击沙特阿拉伯

10月15日，卡巴斯基全球研究与分析团队（GReAT）近期披露了一项新的网络攻击活动，该活动利用一种名为PipeMagic的庞大后门木马进行流传，其地理目标已从亚洲扩展到沙特阿拉伯。此次攻击中，网络犯罪分子接纳了一款用Rust开发的伪造ChatGPT应用法式作为初始熏染媒介，该法式利用常见的Rust库来规避开端检测，但在执行时仅显示空白屏幕，并隐藏一个包罗恶意负载的加密数据数组。在后续阶段，恶意软件会接纳名称哈希算法定位要害的Windows API函数，以分配内存、加载PipeMagic后门、配置设置并启动恶意软件。PipeMagic木马具有奇特的功效，能够生成一个16字节的随机数组，用于建立命名管道以实现隐蔽通信和命令执行，其命令和控制（C2）服务器被托管在Microsoft Azure上。

https://securityonline.info/pipemagic-trojan-exploits-fake-chatgpt-app-to-target-saudi-arabian-organizations/

2. ErrorFather活动利用未被发现Cerberus银行木马进行庞大攻击

10月15日，网络宁静提供商Cyble陈诉了一项新的庞大恶意活动，该活动正在使用未被发现的Cerberus Android银行木马负载。Cyble发现了15个冒充Chrome和Play Store应用的恶意样本，这些样本接纳多阶段投放器部署银行木马负载，并利用了Cerberus银行木马。Cerberus是一种可以窃取银行应用法式登录凭据、信用卡详细信息和其他个人信息的恶意法式，自2019年泛起以来已成为最著名的银行木马之一。尽管其源代码在2020年泄露，导致泛起了新的变种如Alien和ERMAC，但Cerberus及其分支仍在不停被重新利用。此次ErrorFather活动中，威胁行为者对恶意软件进行了轻微修改，但主要基于原始的Cerberus代码，接纳了庞大的熏染链，使检测和删除事情变得庞大。最终的有效载荷接纳键盘记录、笼罩攻击、VNC和域生成算法(DGA)来执行恶意活动。Cyble建议用户仅从官方应用商店下载软件，使用知名防病毒和互联网宁静软件包，使用强密码和多因素身份验证，启用生物识别宁静功效，并确保Android设备上启用了Google Play Protect。

https://www.infosecurity-magazine.com/news/cerberus-android-banking-trojan/

3. CISA警告SolarWinds WHD软件严重宁静漏洞正被积极利用

10月16日，美国网络宁静和基础设施宁静局（CISA）宣布，已将影响SolarWinds Web Help Desk (WHD) 软件的严重宁静漏洞CVE-2024-28987（CVSS评分9.1）添加到其已知被利用漏洞（KEV）目录中，并指出已有证据表明该漏洞正在被主动利用。此漏洞与硬编码凭证相关，可能使远程未经身份验证的用户获得访问权限并进行数据修改。SolarWinds在2024年8月下旬首次果然了该漏洞详情，随后网络宁静公司Horizon3.ai进一步提供了技术细节。宁静研究员扎克·汉利指出，该漏洞能让攻击者远程读取和修改资助台票证中的敏感信息，如重置密码请求和服务帐户凭据。尽管目前尚不清楚该漏洞的具体利用情况和利用者身份，但这一发现紧随CISA两个月前将同一软件中的另一高危漏洞（CVE-2024-28986，CVSS评分9.8）纳入KEV目录之后。鉴于此，联邦民事行政部门（FCEB）机构需在2024年11月5日前应用最新修复法式（版本12.8.3 Hotfix 2或更高），以确保网络宁静。

https://thehackernews.com/2024/10/cisa-warns-of-active-exploitation-in.html

4. 黑客利用EDRSilencer红队工具绕过宁静防护进行攻击

10月15日，研究人员近日发现了一种名为EDRSilencer的红队操作工具，该工具能够识别宁静工具并将其向管理控制台发出的警报静音，从而资助攻击者逃避检测。EDRSilencer是一个开源工具，受MdSec NightHawk FireBlock启发而开发，可检测运行中的端点检测和响应（EDR）进程，并使用Windows过滤平台（WFP）监控、阻止或修改网络流量。通过自界说规则，攻击者可以破坏EDR工具与其管理服务器之间的数据交换，阻止警报和遥测陈诉的发送。在最新版本中，EDRSilencer可检测并阻止16种现代EDR工具。趋势科技等网络宁静公司对EDRSilencer进行了测试，发现一些受影响的EDR工具可能仍能发送陈诉，但EDRSilencer允许攻击者扩展目标进程列表以涵盖种种宁静工具。这使得恶意软件或其他恶意活动可能仍未被发现，增加了攻击乐成的可能性。趋势科技建议将EDRSilencer作为恶意软件进行检测，并实施多条理的宁静控制来防范此类攻击。

https://www.bleepingcomputer.com/news/security/edrsilencer-red-team-tool-used-in-attacks-to-bypass-security/

5. OwlTing因AWS S3存储桶配置错误，袒露765,000用户敏感数据

10月15日，区块链技术公司OwlTing因配置错误的亚马逊S3存储桶，意外袒露了765,000名用户的敏感数据，主要影响台湾的酒店客人。泄露的数据包罗全名、电话号码、电子邮件地址以及酒店预订详情等个人信息。OwlTing建立于2010年，是一家服务于全球旅游、食品宁静、酒店、媒体和其他电子商务领域并提供知名区块链解决方案的台湾公司。OwlTing确认了数据泄露，但声称不涉及敏感数据，然而Cybernews研究人员警告说，这些信息可能导致身份偷窃和欺诈。泄露的数据对网络犯罪分子来说非常有价值，可能被用于鱼叉式网络钓鱼、语音钓鱼、短信钓鱼等攻击。Cybernews建议接纳一系列措施来缓解亚马逊S3存储桶袒露的风险，包罗限制果然访问、监控访问日志、启用服务器端加密等。

https://cybernews.com/security/taiwan-visitors-exposed-in-massive-data-leak-owlting/

6. 朝鲜黑客组织ScarCruft利用IE零日漏洞提倡攻击

10月16日，朝鲜黑客组织ScarCruft（又称APT37或RedEyes）于5月提倡大规模攻击，利用Internet Explorer的零日漏洞CVE-2024-39178，通过特制的Toast弹出广告熏染目标设备，植入RokRAT恶意软件以窃取数据。该漏洞为类型混淆漏洞，ASEC和NCSC发现后迅速通知微软，微软于8月宣布宁静更新修复。研究人员指出，此次攻击的漏洞与ScarCruft过去使用的CVE-2022-41128漏洞相似，仅增加三行代码以绕过旧修复。ScarCruft入侵韩国广告公司服务器，在流行免费软件中推送含恶意iframe的Toast广告，当由Internet Explorer渲染时，触发远程代码执行。RokRAT变种每30分钟将特定文件传输至Yandex云实例，同时执行键盘记录、监视剪贴板更改和屏幕截图捕捉。攻击通过四步过程注入“explorer.exe”进程以逃避检测，若检测到Avast或Symantec防病毒软件，则将恶意软件注入随机可执行文件中。通过在Windows启动时添加最终有效负载并注册到系统调治法式中，实现持久性熏染。

https://www.bleepingcomputer.com/news/security/malicious-ads-exploited-internet-explorer-zero-day-to-drop-malware/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究