免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表哈客都观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和哈客都无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与哈客都一律不予承担。
1 APT28利用汽车销售钓鱼邮件攻击外交官
俄罗斯关联的威胁行为者APT28最近开展了一项新活动,通过汽车销售钓鱼诱饵传播模块化Windows后门程序HeadLace。研究人员指出,这项活动可能自2024年3月起开始,主要针对外交官。值得注意的是,自2023年7月以来,另一个俄罗斯国家支持的黑客组织APT29也使用过类似的汽车销售钓鱼诱饵,这表明APT28可能正在重新利用成功的策略用于其自身的攻击活动。
https://unit42.paloaltonetworks.com/fighting-ursa-car-for-sale-phishing-lure/
2 新型Windows后门BITSLOTH利用BITS进行隐秘通信
研究人员发现了一种未被记录的Windows后门程序,利用内置功能Background Intelligent Transfer Service(BITS)作为命令和控制(C2)机制。这种新型恶意软件被研究人员命名为BITSLOTH,于2024年6月25日首次发现,关联到针对南美某政府外交部的网络攻击。该活动集群被追踪为REF8747。研究人员表示,最新版本的BITSLOTH后门具有包括键盘记录和屏幕捕获在内的35个处理函数。此外,BITSLOTH还具有多种发现、枚举和命令行执行功能。该工具自2021年12月起开发,被威胁行为者用于数据收集。
https://www.elastic.co/security-labs/bits-and-bytes-analyzing-bitsloth
3 Facebook广告引流至虚假网站窃取信用卡信息
Facebook用户近日成为一个复杂的电商诈骗网络的目标,该网络通过数百个假网站窃取个人和财务数据,利用品牌冒充和恶意广告手段进行诈骗。研究人员在2024年4月17日检测到这一活动,并因其使用的内容分发网络(CDN)命名为ERIAKOS。这些欺诈网站仅通过移动设备和广告诱饵访问,目的是规避自动检测系统。该活动专门针对通过Facebook广告诱饵访问诈骗网站的移动用户,这些广告有时依靠限时折扣吸引用户点击。这些假网站和广告主要冒充一个主要在线电商平台和一个电动工具制造商,并通过虚假的销售优惠吸引受害者购买各种知名品牌的产品。另一个关键的分发机制是利用Facebook上的假用户评论引诱潜在受害者。此外,搜索引擎上的假Google广告会将用户重定向到一个恶意网站,该网站会交付一个托管在GitHub上的Windows可执行文件,最终投放名为DeerStealer的信息窃取器。
https://www.recordedfuture.com/research/eriakos-scam-campaign-detected
4 英国关停诈骗数百万美元的“Russian Coms”诈骗平台
英国国家犯罪调查局(NCA)近日成功关闭了一个名为“Russian Coms”的诈骗平台,该平台在全球范围内造成了数千万英镑的经济损失。此次行动得到全球执法合作伙伴和欧洲刑警组织的支持,已逮捕三名嫌疑人,并破坏了数百名犯罪分子的各种诈骗计划。据NCA发布的新闻稿称,在三年时间里,该平台共进行了超过130万次电话呼叫,涉及超过50万个独特的英国电话号码,估计有17万名英国公民成为骗局的受害者。据研究人员报告,英国受害者的平均财务损失超过9400英镑。诈骗分子采用多种手段,包括冒充银行说服受害者将资金转移到所谓的安全账户、以不存在的商品骗取资金、完全访问银行账户,以及虚假借口收集实体借记卡和信用卡。
https://hackread.com/uk-shuts-down-russian-coms-fraud-platform/
5 Mirai僵尸网络瞄准易受目录遍历攻击的OFBiz服务器
研究人员发布报告显示,开源ERP框架OFBiz目前成为新的Mirai僵尸网络变种的目标。OFBiz是由Apache基金会支持的一个Java框架,用于创建ERP应用程序。尽管OFBiz的普及度较商业替代品低,但其同样承载着敏感的业务数据,其安全性至关重要。今年5月,OFBiz发布了一个关键安全更新,修复了一个目录遍历漏洞,该漏洞可能导致远程命令执行。受影响的OFBiz版本为18.12.13之前的版本。几周后,关于该漏洞的详细信息被公之于众。目录遍历(或路径遍历)漏洞可以用于绕过访问控制规则。例如,如果用户可以访问“/public”目录但不能访问“/admin”目录,攻击者可能会使用类似“/public/../admin”的URL来欺骗访问控制逻辑。最近,CISA和FBI在“设计安全”倡议中发布了警报,重点关注目录遍历漏洞。CISA指出,他们目前正在追踪55个目录遍历漏洞,作为“已知被利用漏洞”(KEV)目录的一部分。
https://isc.sans.edu/diary/Increased%20Activity%20Against%20Apache%20OFBiz%20CVE-2024-32113/31132
6 黑客利用配置错误的Jupyter Notebooks进行DDoS攻击
研究人员披露了一项针对配置错误的Jupyter Notebooks的新型分布式拒绝服务(DDoS)攻击活动。该活动由研究人员命名为“Panamorfi”,利用一个名为mineping的Java工具发起TCP洪水DDoS攻击。mineping最初是为Minecraft游戏服务器设计的DDoS工具。攻击链条包括利用暴露在互联网的Jupyter Notebook实例运行wget命令,从文件共享网站Filebin获取一个ZIP归档文件。该ZIP文件包含两个Java归档(JAR)文件:conn.jar和mineping.jar。conn.jar用于建立与Discord频道的连接并触发mineping.jar包的执行。
https://www.aquasec.com/blog/panamorfi-a-new-discord-ddos-campaign/
发表评论