越南威胁组织利用恶意软件瞄准数字营销专家

首页 > 宁静研究 > 宁静通报 > 宁静简讯

越南威胁组织利用恶意软件瞄准数字营销专家

宣布时间 2024-10-22

1. 越南威胁组织利用恶意软件瞄准数字营销专家

10月20日，Cyble 研究与情报实验室 (CRIL) 最近揭露了一次针对数字营销专业人士，特别是 Facebook 和 Instagram 广告专家的庞大攻击活动。自 2022 年 7 月起，一个越南威胁组织一直在流传 Ducktail 和 Quasar RAT 等恶意软件，接纳网络钓鱼、沙盒逃避和特权升级技术。攻击始于包罗伪装成 PDF 的恶意 LNK 文件的网络钓鱼邮件，这些文件会执行 PowerShell 命令，下载混淆和编码过的脚本，通常托管在 Dropbox 等平台上。通过多重反沙盒和反调试检查，恶意软件确保仅在真实环境中运行。一旦确认目标，脚本将解密有效载荷，部署 Quasar RAT，使攻击者能完全控制受害者系统，窃取数据和凭据。该组织使用 AES 加密、反调试技术和基于 .NET 的高级混淆，逃避传统宁静解决方案。此外，该组织不停革新计谋，整合恶意软件即服务 (MaaS) 产物，提升业务范围。

https://securityonline.info/ducktail-quasar-rat-vietnamese-threat-actors-target-meta-ads-professionals/

2. Lumma Stealer：通过伪造CAPTCHA与CDN流传的连续信息窃取威胁

10月20日，Lumma Stealer 是一种通过恶意软件即服务（MaaS）提供的信息窃取恶意软件，专门窃取敏感数据如密码、浏览器信息和加密货币钱包详情。攻击者已从传统的网络钓鱼转向利用合法软件流传 Lumma Stealer，并通过伪造的 CAPTCHA 验证欺骗用户执行恶意载荷，使其成为一种连续威胁。Qualys威胁研究部门（TRU）连续监控 Lumma Stealer 活动，并发现攻击者使用多阶段无文件技术通报最终载荷，增加了威胁的欺骗性和持久性。攻击链从用户被重定向到虚假 CAPTCHA 网站开始，通过点击验证按钮触发 PowerShell 命令执行，下载并启动恶意软件下载法式。最终，恶意软件 Lumma Stealer（VectirFree.exe）通过进程挖空技术注入合法法式，逃避检测，并在系统中搜索加密货币和密码相关的敏感文件和数据。Lumma Stealer 还会与命令和控制（C2）服务器通信，以窃取被盗数据，并实验使用特定顶级域名连接到 C2 服务器域。威胁行为者使用内容分发网络（CDN）进行载荷传送，增加了威胁的庞大性。

https://blog.qualys.com/vulnerabilities-threat-research/2024/10/20/unmasking-lumma-stealer-analyzing-deceptive-tactics-with-fake-captcha

3. Roundcube漏洞遭黑客利用，网络钓鱼攻击窃取用户凭证

10月21日，黑客利用现已修补的Roundcube漏洞CVE-2024-37383（CVSS评分6.1）提倡了网络钓鱼攻击，旨在从开源网络邮件软件中窃取用户凭证。Positive Technologies的研究人员发现，这些攻击是通过一封包罗隐藏附件和特定JavaScript代码的电子邮件进行的，该邮件试图利用Roundcube Webmail中的漏洞。该漏洞影响1.5.7之前的版本和1.6.7之前的1.6.x版本，攻击者可通过SVG动画属性进行XSS攻击，该漏洞已在2024年5月宣布的更新中修复。攻击者通过诱骗用户打开特制邮件，在Web浏览器上下文中执行任意JavaScript代码。在攻击中，JavaScript负载会生存一个空文档并从邮件服务器检索消息，同时在Roundcube界面中创建一个虚假的登录表单，捕捉用户凭据并发送到恶意服务器。尽管Roundcube Webmail可能不是使用最广泛的电子邮件客户端，但由于政府机构普遍使用它，因此仍是黑客的重要目标。目前研究人员已宣布该漏洞的PoC利用代码，但无法将此次攻击与已知加入者联系起来。

https://securityaffairs.com/170055/hacking/roundcube-flaw-exploited-in-phishing-attack.html

4. Transak数据泄露事件影响超9.2万人

10月22日，加密支付处置商Transak近期遭遇数据泄露事件，一名员工的条记本电脑被黑客入侵，导致凌驾92,000名用户的信息被泄露。尽管该公司声称没有财政敏感或要害信息泄露，但用户的姓名、生日、护照、驾照信息及自拍照等个人信息均受影响。此次事件仅影响了Transak约1%的用户群，作为全球领先的加密货币基础设施提供商之一，Transak为近600万用户提供服务，笼罩160个国家和美国46个州。Transak强调，作为一个非托管平台，用户资金宁静未受影响，用户始终对自己的资产拥有完全控制权。然而，Stormous勒索软件团伙已认可此次偷窃行为，并声称窃取了300GB的数据，包罗政府发表的身份证、财政报表等，计划出售或泄露数据以索取赎金。Transak已聘请网络宁静公司视察此事，并计划通过电子邮件联系受影响用户。同时，公司已通知英国信息专员办公室及欧盟和美国其他监管机构，并敦促客户如有疑问请联系公司。

https://therecord.media/crypto-payment-services-data-breach

5. 塞浦路斯遭亲巴勒斯坦黑客组织协同网络攻击

10月22日，塞浦路斯近期遭受了多个亲巴勒斯坦黑客组织提倡的协同网络攻击，目标直指其要害基础设施和政府网站。尽管大多数攻击未能乐成，但仍对银行、机场和政府网站等目标设施造成了暂时中断。黑客组织在Telegram和暗网论坛上宣布声明，声称将入侵塞浦路斯机构以“处罚”该国对以色列的支持。尽管塞浦路斯在巴以冲突中保持中立，但历来支持以色列军队，这成为黑客攻击的可能动机。受影响的服务包罗政府门户网站、电力电信部门、主要银行、石油公司和机场运营商等，多数陈诉称遭受了漫衍式拒绝服务（DDoS）攻击，黑客还声称已窃取敏感数据。然而，机场运营并未受影响，仅在线停车预订服务受阻。塞浦路斯数字部体现，政府中央在线门户网站仅短暂无法访问，其他部委或政府服务网站未受影响。最高网络官员乔治·迈克尔德斯呼吁公司做好准备，迅速抵御未来攻击并恢复服务，同时体现没有须要恐慌。

https://therecord.media/cyprus-critical-infrastructure-cyberattack-israel-palestine

6. WordPress网站频遭黑客攻击，恶意插件推送窃取信息软件

10月21日，WordPress网站近期频繁遭受黑客攻击，攻击者通过安装恶意插件来推送窃取信息的恶意软件。自2023年起，ClearFake恶意活动已在受熏染网站上显示虚假的网络浏览器更新横幅，而2024年引入的ClickFix活动则伪装成包罗修复法式的软件错误消息，实则下载并安装窃取信息的恶意软件。这些活动变得越来越普遍，威胁行为者会入侵网站并显示包罗Google Chrome、Google Meet会议、Facebook甚至验证码页面的虚假错误横幅。据GoDaddy陈诉，ClearFake/ClickFix威胁行为者已入侵凌驾6000个WordPress网站并安装恶意插件来显示相关虚假警报。这些恶意插件使用与合法插件相似的名称，如Wordfence Security和LiteSpeed Cache，或通用的虚构名称，一旦安装，就会将恶意JavaScript脚本注入网站的HTML中，进而加载ClearFake或ClickFix脚原来显示虚假横幅。威胁行为者似乎正在利用被盗的管理员凭据登录WordPress网站并以自动方式安装插件。WordPress运营人员应立即检查已安装插件的列表，并删除任何未知插件，同时将所有管理员用户的密码重置为唯一密码，以确保网站宁静。

https://www.bleepingcomputer.com/news/security/over-6-000-wordpress-hacked-to-install-plugins-pushing-infostealers/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究