俄罗斯威胁行为者利用Signal“链接设备”功效提倡网络钓鱼攻击

首页 > 宁静研究 > 宁静通报 > 宁静简讯

俄罗斯威胁行为者利用Signal“链接设备”功效提倡网络钓鱼攻击

宣布时间 2025-02-20

1. 俄罗斯威胁行为者利用Signal“链接设备”功效提倡网络钓鱼攻击

2月19日，俄罗斯威胁行为者近期频繁利用Signal消息应用法式的“链接设备”功效进行网络钓鱼活动，试图未经授权访问目标账户。据谷歌威胁情报小组（GTIG）陈诉，此技术已成为俄罗斯入侵Signal账户的最新且广泛手段。攻击者通过创建恶意二维码，诱骗受害者扫描，实现Signal消息与攻击者设备的同步，无需破坏目标设备即可监控对话。这些攻击会凭据目标类型调整计谋，伪装成合法应用资源或设备配对指令，甚至定制网络钓鱼页面。污名昭著的俄罗斯黑客组织Sandworm也接纳此要领。GTIG还视察到，攻击者会修改合法群组邀请页面，将其重定向到恶意URL，将目标账户连接到攻击者设备。此外，与俄罗斯有关的威胁行为者还使用专门为攻击乌克兰军事人员创建的Signal网络钓鱼工具包。GTIG指出，俄罗斯和白俄罗斯还使用多种工具从Signal应用法式数据库文件中搜索和收集消息。研究人员强调，Signal并非唯一受关注的消息应用法式，类似攻击也针对WhatsApp等。此类设备链接攻击难以防范，一旦乐成可能长时间不被察觉。因此，建议Signal用户更新至最新版本，并接纳庞大密码、屏幕锁、定期检查链接设备列表、谨慎扫描二维码及启用双因素身份验证等措施增强宁静性。

https://www.bleepingcomputer.com/news/security/russian-phishing-campaigns-exploit-signals-device-linking-feature/

2. Ghost勒索软件全球肆虐，CISA与FBI宣布联合防御指南

2月19日，CISA和FBI联合宣布通告称，Ghost勒索软件攻击者已对全球70多个国家的多个行业实施攻击，包罗要害基础设施组织、医疗保健、政府、教育、科技、制造业及众多中小型企业。自2021年初，这些攻击者开始针对运行过时版本软件和固件的互联网服务进行无差异攻击。Ghost勒索软件组织频繁更改其恶意软件、文件扩展名和勒索通知内容，导致其归属难以确定。该组织利用果然代码攻击易受攻击的服务器，特别关注Fortinet、ColdFusion和Exchange中的未修补漏洞。为防御此类攻击，建议网络防御者接纳异地系统备份、尽快修补漏洞、隔离网络、实施多因素身份验证等措施。此外，Ghost勒索软件攻击者还利用CVE-2018-13379等漏洞进行初始访问，该漏洞也被国家支持的黑客组织用于攻击易受攻击的Fortinet SSL VPN设备和美国选举支持系统。CISA、FBI和MS-ISAC宣布的联合咨询提供了与先前Ghost勒索软件活动相关的妥协指标、计谋、技术和法式以及检测要领。

https://www.bleepingcomputer.com/news/security/cisa-and-fbi-ghost-ransomware-breached-orgs-in-70-countries/

3. TA2726与TA2727联手推广FrigidStealer恶意软件

2月19日，近期，网络犯罪组织TA2726与TA2727联手开展了一项名为FakeUpdate的恶意软件活动，推广针对macOS的新型信息窃取恶意软件FrigidStealer。该活动也涉及Windows和Android平台的攻击。TA2726作为流量分发者，利用Keitaro TDS向其他犯罪分子出售流量，而TA2727则卖力分发恶意软件，包罗适用于差异操作系统的Lumma Stealer、Marcher和FrigidStealer。在此次活动中，威胁行为者通过注入恶意JavaScript到网站HTML中，显示虚假的浏览器更新消息，诱导用户下载并执行伪装成更新的恶意文件。Mac用户需手动启动下载并输入密码以绕过Gatekeeper�；�。FrigidStealer恶意软件能够窃取存储在Safari或Chrome中的cookie、登录凭据、密码、加密钱包凭据、Apple Notes中的敏感信息以及用户主目录中的文档。被盗数据被压缩后泄露至恶意软件的C2地址。信息窃取活动已成为一项大规模的全球行动，对个人和组织造成毁灭性攻击。为制止熏染，用户不应执行网站提示的命令或下载，尤其是那些假装是修复、更新或验证码的内容。已熏染的用户应在每个网站上更改密码。

https://www.bleepingcomputer.com/news/security/new-frigidstealer-infostealer-infects-macs-via-fake-browser-updates/

4. 澳大利亚生育服务巨头 Genea 遭遇网络入侵

2月19日，澳大利亚生育服务提供商Genea遭遇网络入侵事件，未知攻击者访问了其系统上的数据。Genea在检测到可疑活动后紧急展开视察，并确认未经授权的第三方已访问其数据，但尚未明确被访问数据的性质和范围，以及是否涉及个人信息。Genea正努力恢复服务器以控制漏洞并�；は低�，同时向患者保证将尽最小水平滋扰其治疗，并允许在发现个人信息受影响时与相关个人相同。此次事件导致Genea的电话服务和MyGenea应用法式中断。Genea是澳大利亚最大的生育服务提供商之一，在全国多个地域设有生育诊所，提供多种服务。据澳大利亚国家广播公司报道，Genea与该行业的另外两家公司占据了该国该行业总收入的80%以上。BleepingComputer试图联系Genea发言人但未获立即回应。

https://www.bleepingcomputer.com/news/security/australian-fertility-services-giant-genea-hit-by-security-breach/

5. Pegasus间谍软件熏染范围扩大，企业高管成新目标

2月19日，移动设备宁静公司iVerify最新发现，强大的零点击间谍软件Pegasus的使用范围比我们之前所知的越发广泛，不仅影响民间社会成员，还开始影响企业高管。仅在12月份，iVerify测试的18,000台独立设备中，就有11台检测到了Pegasus间谍软件。新确认的受害者来自私营行业，包罗房地产、物流和金融等领域，只有一名是欧洲政府官员。Pegasus由以色列公司NSO Group制造，尽管该公司坚称其产物只卖给针对罪犯和恐怖分子的政府，但Pegasus已多次泛起在民间社会和企业高管的手机中。企业高管可以接触到公司秘密计划和财政数据，这使得他们成为Pegasus攻击的新目标，为间谍软件�；鎏砹诵碌奈�。iVerify的扫描会寻找恶意软件特征，并依靠机器学习查找熏染迹象，新研究仅包罗熏染Pegasus的手机结果。据iVerify联合首创人体现，世界仍未做好应对此类威胁的准备，且只有一半的熏染用户收到了苹果的威胁通知。

https://therecord.media/pegasus-spyware-infections-iverify

6. WordPress插件漏洞导致超9万网站受影响

2月19日，宁静研究人员发现，凌驾90,000个网站使用的Jupiter X Core WordPress插件存在一个严重漏洞，允许具有孝敬者权限或更高权限的攻击者上传恶意SVG文件并在服务器上执行远程代码。该漏洞的CVSS评分为8.8（高），源于对SVG文件上传的不妥清理以及插件对get_svg()函数的使用。攻击者可以上传包罗PHP代码的特制SVG文件，并通过结合该函数中的漏洞在服务器上执行恶意文件，从而绕过访问控制、获取敏感数据或实现代码执行。该漏洞于2025年1月6日被陈诉，插件开发商Artbees于1月29日宣布补丁解决了该问题。建议Jupiter X Core用户立即更新至4.8.8版本，并接纳主动措施如启用自动更新、定期审核并删除未使用或过时的插件以减少攻击面。

https://www.infosecurity-magazine.com/news/wordpress-plugin-flaw-exposes/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究