恶意Google告白推送带有暗藏后门的假IP扫描软件

首页 > 安全钻研 > 安全传递 > 安全简讯

恶意Google告白推送带有暗藏后门的假IP扫描软件

颁布功夫 2024-04-19

1. 恶意Google告白推送带有暗藏后门的假IP扫描软件

4月18日，新的 Google 恶意告白活动在利用一组仿照合法 IP 扫描软件的域来提供一个以前未知的名为MadMxShell 的后门。威胁行为者使用误植技术注册了多个类似的域名，并利用 Google Ads 将这些域名推至针对特定搜索关键字的搜索引擎了局的顶部，从而引诱受害者接见这些网站。据称，2023 年 11 月至 2024 年 3 月期间注册的域名多达 45 个，这些网站假装成端口扫描和 IT 治理软件，如 Advanced IP Scanner、Angry IP Scanner、IP 扫描仪 PRTG 和 ManageEngine。固然这并不是威胁行为者第一次利用恶意告白技术通过类似的网站提供恶意软件服务，但这一发展标志取交付工具初次被用来传布复杂的 Windows 后门。

https://thehackernews.com/2024/04/malicious-google-ads-pushing-fake-ip.html

2. 攻击者利用OpenMetadata在Kubernetes上进行挖矿

4月17日，Microsoft Threat Intelligence 发现了针对运行盛行开源元数据平台 OpenMetadata 的 Kubernetes 集群的新攻击活动。攻击者在利用一系列最近披露的关键缝隙来接见工作负载并装置加密钱币挖掘恶意软件。该攻击利用了 1.3.1 之前的 OpenMetadata 版本中存在的多个安全缝隙（CVE-2024-28255、CVE-2024-28847、CVE-2024-28253、CVE-2024-28848、CVE-2024-28254）。成功利用该缝隙将赋予攻击者远程执行代码的能力，从而使他们可能齐全节造受影响的系统。攻击通常从网络犯罪分子扫描运行易受攻击的 OpenMetadata 事俘的露出于互联网的 Kubernetes 工作负载起头。一旦鉴别出指标，攻击者就会利用这些缝隙来节造托管 OpenMetadata 的容器。

https://securityonline.info/attackers-exploit-critical-openmetadata-flaws-for-cryptomining-on-kubernetes/

3. SoumniBot 恶意软件利用 Android 缝隙来绕过检测

4月17日，一种名为“SoumniBot”的新 Android 银行恶意软件通过利用 Android 清单提取和解析过程中的弱点，使用一种不太常见的混合步骤。该步骤使 SoumniBot 可能躲避 Android 手机中的尺度安全措施并执行信息窃取操作。该恶意软件由卡巴斯基钻研人员发现并分析，他们提供了该恶意软件利用 Android 例程解析和提取 APK 清单的步骤的技术细节。清单文件（“AndroidManifest.xml”）位于每个利用法式的根目录中，蕴含有关组件（服务、广播接管器、内容提供法式）、权限和利用法式数据的具体信息。固然恶意 APK 能够使用 Zimperium 的各类压缩技巧来愚弄安全工具并逃避分析，但卡巴斯基分析师发现 SoumniBot 使用三种分歧的步骤来绕过解析器查抄，其中涉及把持清单文件的压缩和大幼。

https://www.bleepingcomputer.com/news/security/soumnibot-malware-exploits-android-bugs-to-evade-detection/

4. FIN7 针对美国汽车造作商的 IT 员工提议网络垂钓攻击

4月17日，出于经济动机的威胁组织 FIN7 针对一家美国大型汽车造作商，向 IT 部门的员工发送鱼叉式网络垂钓电子邮件，以利用 Anunak 后门习染系统。据黑莓钻研人员称，这次攻击产生在去年底，并且依赖于非本地二进造文件、剧本和库 (LoLBas)。威胁行为者将沉点放在拥有高级权限的指标上，通过假意合法高级 IP 扫描器工具的恶意 URL 链接来引诱他们。黑莓高度确信这次攻击是由 FIN7 提议的，由于该攻击使用了怪异的 PowerShell 剧本，该剧本使用了敌手的署名“PowerTrash”混合的 shellcode 挪用法式，该剧本初次呈此刻 2022 年的一次活动中。在此之前，FIN7 被发现以露出的Veeam 备份和Microsoft Exchange服务器为指标，并将Black Basta和Clop 勒索软件负载部署到企业网络上。

https://www.bleepingcomputer.com/news/security/fin7-targets-american-automakers-it-staff-in-phishing-attacks/

5. 与俄罗斯有关的Sandworm 攻击军械库中的新后门Kapeka

4月17日，除了微软于 2024 年 2 月 14 日颁布的关于发现一个名为 KnuckleTouch 的新后门的简短描述之表，目前公家对 Kapeka 后门的相识险些为零。微软将 KnuckleTouch 后门归罪于 SeaShell Blizzard，这是其对 Sandworm 的名称。Microsoft 尚未对此恶意软件进行分析，但 WithSecure 确信 KnuckleTouch 就是 Kapeka。微软和 WithSecure 以为该恶意软件自 2022 年以来一向在使用，但除了 WithSecure 分析之表，人们对 Kapeka 知之甚少。WithSecure 迄今为止只发现了两个野表样本�Ｋ伎嫉降鼻暗牡卦嫡�，受害者学也批注其发源于俄罗斯：爱沙尼亚和乌克兰。这种有限的遥测可能是由于该恶意软件尚未宽泛使用，也可能是由于 Kapeka 群策群力维持隐秘。

https://www.securityweek.com/kapeka-a-new-backdoor-in-sandworms-arsenal-of-aggression/

6. Visa针对金融机构的JSOutProx日益增长的威胁发出公告

4月17日，Visa 最近颁布了关于出格危险的JSOutProx 恶意软件活动显着增长的严沉安全警报。这种远程接见木马 ( RAT ) 以其对金融机构及其客户的复杂攻击能力而闻名，出格是针对南亚和东南亚、中东和非洲地域。JSOutProx 于 2019 年 12 月初次被发现，是一种高度混合的 JavaScript 后门，使网络犯罪分子可能执行大量恶意活动。其中蕴含运行 shell 号令、下载额表的有害负载、执行文件、捕获屏幕截图以及齐全节造受习染设备的键盘和鼠标。随着功夫的推移，JSOutProx 不休发展，加强了其躲避技术以预防检测并加强了其粉碎能力。JSOutProx 的初始有效负载支持根基但关键的职能，使攻击者可能对受习染的系统进行相当大的节造。

https://securityboulevard.com/2024/04/jsoutprox-malware-variant-targeting-financial-orgs-warns-visa/#google_vignette

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研