DINODASRAT LINUX 变种针对全球用户

首页 > 安全钻研 > 安全传递 > 安全简讯

DINODASRAT LINUX 变种针对全球用户

颁布功夫 2024-04-02

1. DINODASRAT LINUX 变种针对全球用户

3月31日,卡巴斯基尝试室的钻研人员发现了 Linux 版本的多平台后门 DinodasRAT，该后门被用于针对中国、土耳其和乌兹别克斯坦。DinodasRAT（别名 XDealer）是用 C++ 编写的，支持宽泛的职能来监督用户并从指标系统窃取敏感数据。ESET 钻研人员汇报称，Windows 版本的 DinodasRAT 被用于针对圭亚那敌灾实体的攻击。ESET 于 2023 年 10 月初次发现新的 Linux 版本的 DinodasRAT，但专家以为它自 2022 年以来就一向活跃。2024 年 3 月，趋向科技钻研人员在调查与中国有关的 APT Earth Lusca活动时发现了由被追踪为 Earth Krahang 的威胁行为者提议的复杂活动。该活动至少从 2022 岁首起头似乎就很活跃，重要针对当局组织。自 2023 年起，Earth Krahang 转移到另一个后门（ TeamT5定名为 XDealer ， ESET 定名为DinodasRAT ）。相比RESHELL，XDealer提供了更全面的后门职能。此表，我们发现威胁行为者同时使用 Windows 和 Linux 版本的 XDealer 来针对分歧的系统。

https://securityaffairs.com/161255/malware/linux-variant-dinodasrat-backdoor.html

2. 全球密码喷洒活动针对 VPN 系统可导致系统锁定

3月31日,思科已颁布关于针对全球企业使用的远程接见 VPN (RAVPN) 系统的宽泛密码喷洒活动的严沉忠告。这种攻击激增的主张是用通用密码覆没 VPN 登录，可能会锁定合法用户并侵扰远程工作。密码喷洒活动会影响各类 VPN 提供商，而不仅仅是思科。依赖远程接见的企业必要维持高度警惕。这些攻击的后果不仅仅是未经授权的接见；它们有可能锁定帐户并引发类似回绝服务 (DoS) 的情况，从而粉碎数字操作的无缝流程并侵害安全通讯的齐全性。该活动凸显了远程接见解决规划所面对的持续威胁。组织必须优先思考壮大的身份验证、警惕的监控和壮大的事务响应打算，以当吓宗不休变动的攻击步骤。

https://securityonline.info/global-password-spraying-campaign-targets-vpn-systems-causing-lockouts/

3. 木马化 npm 软件包对准加密钱币钱包

3月31日,Phylum 钻研团队露出了一个假装成合法工具包的恶意npm 包。该软件包名为“vue2util”，偷偷地执行了一项复杂的打算，旨在从毫无戒心的加密钱币钱包中窃取 USDT 代币。“vue2util”看起来像是尺度实用函数的集中。然而，它暗藏了一个险恶的有效负载，当导入到项目中时，该有效负载会从远程服务器加载恶意剧本。加载的剧本以币安智能链的用户为指标，搜索持有 USDT 加密钱币的钱包。恶意软件利用 ERC20 合约（治理 USDT）的审批流程。它允许自己无限度地接见受害者持有的 USDT，无需进一步授权。为了增长成功的机遇，恶意软件奇妙地将其执行链接到用户网页上象征为“buy_btn”的按钮。只需单击一下，受害者就会在不知不觉中触发令牌偷窃。

https://securityonline.info/trojanized-npm-package-targets-cryptocurrency-wallets-steals-usdt/

4. 钻研团队发现使用 Google Ads 跟踪职能分发恶意软件

4月1日,AhnLab 安全谍报中心 (ASEC) 最近检测到使用 Google Ads 跟踪职能分发的恶意软件变种。已确认的案例批注，该恶意软件是通过假装成 Notion 和 Slack 等盛行群件的装置法式来传布的。一旦恶意软件装置并执行，它就会从攻击者的服务器下载恶意文件和有效负载。此类恶意软件以装置法式大局分发，通常为 Inno Setup 装置法式或 Nullsoft 剧本装置系统 (NSIS) 装置法式。其中，Notion_software_x64_.exe文件直到最近用户在Google上用关键字“notion”搜索时才出现。攻击者使用 Google Ads 跟踪来诱骗用户以为他们在接见合法网站。Google Ads 跟踪允许告白客户插入表部门析网站地址，以网络和使用接见者的接见有关数据来推算告白流量。Google Ads 跟踪最初用于分析网站流量。但是，该特定告白不蕴含表部静态站点，而是蕴含恶意代码分发站点。

目前攻击者的告白已被删除。

https://asec.ahnlab.com/en/63477/

5. 黑客使用 Microsoft OneNote 来策动网络攻击

4月1日,该活动在网络安全专家的关注下，展示了网络威胁的新趋向，即利用常用的办公利用法式未经授权接见企业网络。pr0xylife 首先在其 GitHub 存储库上纪录了该恶意活动。它告发了针对造作、技术、能源、零售、保险和其他几个行业的公司的宽泛电子邮件网络垂钓操作。这些电子邮件蕴含宣称是“安全新闻”的 OneNote 附件，这是一种糊弄收件人打开文件的幌子。该活动强调了网络威胁不休演变的情况，攻击者利用对常用利用法式的信赖来绕过传统的安全措施。使用 Microsoft OneNote 文件传布恶意软件代表着向更具创造性的攻击媒介的转变，因而必要沉新评估网络安全战术以防备此类威胁。

https://gbhackers.com/microsoft-onenote-orchestrate/

6. TeamCity 建补了 26 个缝隙并保密具体信息

4月1日,在 JetBrains 的持续集成和交付 (CI/CD) TeamCity 最近的软件更新中，解决了 26 个安全问题。然而，该公司选择不泄漏有关已发现缝隙的任何细节，引发了专业界的强烈会商。TeamCity 2024.03 版本更新旨在�；び没馐芮痹谕�，但齐全没有有关 26 个缝隙的具体信息，着实让安全专家感应惊讶。该公司不足通明度，出格是在 Rapid7 的专家品评 JetBrains 不够盛开的事务之后，一向受到出格品评。JetBrains 宣称，保留具体信息只是为了�；な褂镁砂� TeamCity 的客户，只管这在业界并未得到宽泛接受。只管如此，该公司的意图还是能够理解的。对于想要攻击软件供给链的犯罪分子来说，TeamCity 依然是一个有吸引力的指标。汗青批注，此类攻击可能会产生严沉后果，正如 SolarWinds 的案例所示。

https://meterpreter.org/teamcity-patches-26-vulnerabilities-keeps-details-secret/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研