全球70余组织遭Voldemort特工软件攻击

首页 > 清静研究 > 清静转达 > 清静简讯

全球70余组织遭Voldemort特工软件攻击

宣布时间 2024-09-02

1. 全球70余组织遭Voldemort特工软件攻击

9月1日，，，Proofpoint 研究职员揭破了一起重大的特工活动，，，该活动通过名为“Voldemort”的定制恶意软件，，，影响全球70多个组织。。。此恶意软件通过凌驾20,000封垂纶邮件撒播，，，特殊是8月17日激增近6,000封，，，邮件伪装多国税务机关诱骗用户。。。攻击链使用Google AMP Cache URL、Cloudflare隧道、WebDAV共享及Python剧本等手艺，，，巧妙指导用户下载并执行恶意LNK或ZIP文件。。。Voldemort的一大特点是使用Google表格举行下令与控制（C2），，，规避古板清静检测，，，显示了高度的隐藏性和立异性。。。其目的主要锁定在包管公司、航空航天、交通运输及大学等18个笔直行业，，，且精准定位受害者至其栖身国，，，显示出深条理的特工念头。。。别的，，，该恶意软件还接纳有数的Windows .search-ms文件名堂，，，伪装远程文件为外地文件，，，连系DLL挟制手艺，，，进一步增添熏染乐成率。。。然而，，，攻击活动中也袒露出一些简陋之处，，，如使用简朴的文件命名约定，，，使得该活动泛起出“弗兰肯斯坦视鸯合体”的特点，，，难以判断威胁行为者的真实手艺水平。。。

https://securityonline.info/cyber-espionage-campaign-leverages-novel-tactics-and-voldemort-malware-to-target-global-organizations/https://securityonline.info/cyber-espionage-campaign-leverages-novel-tactics-and-voldemort-malware-to-target-global-organizations/

2. APT组织Citrine Sleet使用Chrome 0day安排FudModule rootkit

8月31日，，，与朝鲜有关联的APT组织Citrine Sleet（亦称AppleJeus、Labyrinth Chollima等）使用新修补的Google Chrome零日误差CVE-2024-7971，，，乐成安排了FudModule rootkit。。。该误差（CVSS评分8.8）影响特定版本的Chromium，，，允许攻击者在沙盒化的渲染器历程中执行远程代码。。。Citrine Sleet通过全心设计的垂纶战略，，，诱使受害者会见其控制的恶意域名，，，进而触发CVE-2024-7971误差，，，下载并执行包括Windows沙盒逃逸误差（CVE-2024-38106）和FudModule rootkit的shellcode。。。FudModule rootkit接纳直接内核工具操作（DKOM）手艺，，，从用户模式运行并改动内核，，，滋扰清静机制，，，只管在目的装备上未检测到后续恶意活动。。。值得注重的是，，，CVE-2024-38106虽已修复，，，但可能与Citrine Sleet的使用活动无直接关联，，，体现可能保存“误差碰撞”征象。。。Microsoft强调，，，组织应确保系统实时更新，，，安排具备周全网络攻击链可见性的清静解决计划，，，并增强操作情形设置，，，以有用检测和阻止此类高级威胁。。。

https://securityaffairs.com/167848/breaking-news/north-korea-linked-apt-exploited-chrome-zero-day-cve-2024-7971.html

3. GitHub 遭滥用：数千条虚伪修复谈论分发Lumma Stealer恶意软件

8月31日，，，GitHub 平台近期遭遇了滥用，，，不法分子通过在项目谈论中宣布虚伪修复程序的方法，，，普遍分发 Lumma Stealer 信息窃取恶意软件。。。这一活动最初由teloxide rust库的孝顺者在Reddit上揭破，，，随后BleepingComputer深入视察发明，，，数千条类似谈论已遍布GitHub多个项目，，，诱导用户下载并执行包括恶意软件的文件。。。这些谈论伪装成问题解决计划，，，诱骗用户从mediafire.com或bit.ly链接下载名为“fix.zip”的加密存档，，，并提醒使用统一密码“changeme”解锁。。。三天内，，，此类推广恶意软件的谈论数目激增至凌驾29,000条。。。下载的存档中包括DLL文件和可执行文件x86_64-w64-ranlib.exe，，，经剖析确以为Lumma Stealer，，，一种能够深入用户浏览器窃取敏感信息的高级信息窃取工具。。。别的，，，它还针对加密钱币钱包和特定命名的文本文件举行搜索，，，网络可能包括私钥和密码的数据。。。只管GitHub迅速响应并删除了这些恶意谈论，，，但已有用户受害。。。受影响用户需连忙为所有账户替换唯一密码，，，并将加密钱币转移至新钱包。。。

https://www.bleepingcomputer.com/news/security/github-comments-abused-to-push-password-stealing-malware-masked-as-fixes/

4. 重大网络垂纶攻击揭破：AsyncRAT与Infostealer联手威胁用户清静

8月31日，，，eSentire 威胁响应部分（TRU）的研究职员揭破了一项重大的网络垂纶攻击，，，该攻击使用全心设计的熏染链分发 AsyncRAT 远程会见木马（RAT）及其信息窃取插件 Infostealer。。。攻击始于一封看似无害的垂纶邮件，，，内含伪装成正常文件的恶意存档。。。执行后，，，这一存档触发了一系列重大操作，，，包括下载并执行混淆的 VBScript 和 PowerShell 剧本，，，最终安排 AsyncRAT 及其插件。。。攻击历程中，，，恶意软件通过下载看似无害的图像文件（实为 ZIP 存档）并解压出更多恶意剧本和可执行文件，，，在受害者系统中扎根。。。它使用妄想使命维持长期性，，，每两分钟执行一次恶意代码，，，并通过历程空心化手艺将 AsyncRAT 注入正当历程中以逃避检测。。。AsyncRAT 不但为攻击者提供对受熏染系统的远程控制权，，，还搭载了 Infostealer 插件，，，该插件专门瞄准网络浏览器中的加密钱包扩展和2FA验证工具，，，旨在窃取包括密码、凭证和加密钱币钱包在内的名贵数据。。。eSentire TRU 呼吁用户坚持高度小心。。。

https://securityonline.info/evasive-phishing-campaign-delivers-asyncrat-and-infostealer/

5. People Data Labs1.7亿条敏感信息无密码袒露

8月30日，，，Cybernews研究团队近期发明了一项重大数据泄露事务，，，涉及凌驾1.7亿条敏感小我私家信息在互联网上果真袒露，，，数据内容详尽，，，包括全名、联系方法、地点、教育配景及事情履历等。。。此次泄露的数据集标有“PDL”标识，，，指向旧金山的数据经纪公司People Data Labs（PDL），，，该公司自称拥有15亿小我私家档案数据库，，，效劳于企业营销、销售及招聘等领域。。。只管数据泄露源头尚未明确，，，但Elasticsearch效劳器未设密码的严重清静误差成为焦点，，，这种设置极易被黑客使用，，，迅速窃取数据，，，对小我私家隐私组成重大威胁，，，增添身份偷窃、诓骗及网络垂纶危害。。。值得注重的是，，，PDL此前已爆发过类似的数据泄露事故，，，同样因未�；；；さ腅lasticsearch效劳器导致，，，涉及数据规模更为重大。。。此次泄露的“Version 26.2”数据集可能与此前事务有关联，，，再次袒露了PDL在数据清静方面的重大缺陷。。。

https://cybernews.com/security/people-data-labs-data-leak/

6. Roblox开发职员频遭攻击，，，伪造npm包撒播恶意软件

9月2日，，，Roblox 开发职员成为一系列恶意攻击的目的，，，这些攻击通过伪造 npm 包，，，尤其是模拟盛行的 noblox.js 库，，，妄想窃取敏感数据和破损系统。。。自今年头以来，，，多个名为 noblox.js 变种的软件包被确以为恶意，，，包括 noblox.js-proxy-server 和 noblox-ts，，，它们通过品牌挟制、组合抢注和星号挟制等手艺伪装成正当库，，，诱导开发者下载。。。这些恶意包如 noblox.js-async、noblox.js-thread 等，，，只管下载量有限，，，却乐成诱骗了用户。。。别的，，，攻击者还接纳 starjacking 手法，，，将虚伪软件包的源存储库标记为现实 noblox.js 库，，，增强信任度。。。这些恶意软件包内嵌的代码不但窃取 Discord 令牌，，，还通过修改 Windows 注册表和更新防病毒扫除列表来逃避检测和维持长期性。。。每当用户实验翻开 Windows 设置应用时，，，恶意软件便会被激活。。。最终目的是安排 Quasar RAT，，，使攻击者能远程控制受熏染系统，，，并将网络到的信息通过 Discord webhook 发送至 C2 效劳器。。。只管已有步伐扫除这些恶意软件，，，但新软件包仍一直泛起，，，提醒开发职员需坚持高度小心。。。

https://thehackernews.com/2024/09/malicious-npm-packages-mimicking.html

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

凯旋国际游戏

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系凯旋国际游戏

清静研究