越南威胁组织利用恶意软件对准数字营销专家

首页 > 安全钻研 > 安全传递 > 安全简讯

越南威胁组织利用恶意软件对准数字营销专家

颁布功夫 2024-10-22

1. 越南威胁组织利用恶意软件对准数字营销专家

10月20日，Cyble 钻研与谍报尝试室 (CRIL) 最近告发了一次针对数字营销专业人士，出格是 Facebook 和 Instagram 告白专家的复杂攻击活动。自 2022 年 7 月起，一个越南威胁组织一向在传布 Ducktail 和 Quasar RAT 等恶意软件，选取网络垂钓、沙盒逃避和特权升级技术。攻击始于蕴含假装成 PDF 的恶意 LNK 文件的网络垂钓邮件，这些文件会执行 PowerShell 号令，下载混合和编码过的剧本，通常托管在 Dropbox 等平台上。通过多沉反沙盒和反调试查抄，恶意软件确保仅在真实环境中运行。一旦确认指标，剧本将解密有效载荷，部署 Quasar RAT，使攻击者能齐全节造受害者系统，窃取数据和痛处。该组织使用 AES 加密、反调试技术和基于 .NET 的高级混合，逃避传统安全解决规划。此表，该组织不休改进战术，整合恶意软件即服务 (MaaS) 产品，提升业务领域。

https://securityonline.info/ducktail-quasar-rat-vietnamese-threat-actors-target-meta-ads-professionals/

2. Lumma Stealer：通过伪造CAPTCHA与CDN传布的持续信息窃取威胁

10月20日，Lumma Stealer 是一种通过恶意软件即服务（MaaS）提供的信息窃取恶意软件，专门窃取敏感数据如密码、浏览器信息和加密钱币钱包详情。攻击者已从传统的网络垂钓转向利用合法软件传布 Lumma Stealer，并通过伪造的 CAPTCHA 验证糊弄用户执行恶意载荷，使其成为一种持续威胁。Qualys威胁钻研部门（TRU）持续监控 Lumma Stealer 活动，并发现攻击者使用多阶段无文件技术传递最终载荷，增长了威胁的糊弄性和悠久性。攻击链从用户被沉定向到虚伪 CAPTCHA 网站起头，通过点击验证按钮触发 PowerShell 号令执行，下载并启动恶意软件下载法式。最终，恶意软件 Lumma Stealer（VectirFree.exe）通过过程挖空技术注入合法法式，逃避检测，并在系统中搜索加密钱币和密码有关的敏感文件和数据。Lumma Stealer 还会与号令和节造（C2）服务器通讯，以窃取被盗数据，并尝试使用特定顶级域名衔接到 C2 服务器域。威胁行为者使用内容分发网络（CDN）进行载荷传送，增长了威胁的复杂性。

https://blog.qualys.com/vulnerabilities-threat-research/2024/10/20/unmasking-lumma-stealer-analyzing-deceptive-tactics-with-fake-captcha

3. Roundcube缝隙遭黑客利用，网络垂钓攻击窃取用户凭证

10月21日，黑客利用现已建补的Roundcube缝隙CVE-2024-37383（CVSS评分6.1）提议了网络垂钓攻击，旨在从开源网络邮件软件中窃取用户凭证。Positive Technologies的钻研人员发现，这些攻击是通过一封蕴含暗藏附件和特定JavaScript代码的电子邮件进行的，该邮件试牟利用Roundcube Webmail中的缝隙。该缝隙影响1.5.7之前的版本和1.6.7之前的1.6.x版本，攻击者可通过SVG动画属性进行XSS攻击，该缝隙已在2024年5月颁布的更新中建复。攻击者通过诱骗用户打开特造邮件，在Web浏览器高低文中执行肆意JavaScript代码。在攻击中，JavaScript负载会保留一个空文档并从邮件服务器检索新闻，同时在Roundcube界面中创建一个虚伪的登录表单，捕获用户痛处并发送到恶意服务器。只管Roundcube Webmail可能不是使用最宽泛的电子邮件客户端，但由于当局机构普遍使用它，因而仍是黑客的沉要指标。目前钻研人员已颁布该缝隙的PoC利用代码，但无法将这次攻击与已知参加者联系起来。

https://securityaffairs.com/170055/hacking/roundcube-flaw-exploited-in-phishing-attack.html

4. Transak数据泄露事务影响超9.2万人

10月22日，加密支付处置商Transak近期遭逢数据泄露事务，一名员工的笔记本电脑被黑客入侵，导致超过92,000名用户的信息被泄露。只管该公司宣称没有财政敏感或关键信息泄露，但用户的姓名、生日、护照、驾照信息及自拍照等幼我信息均受影响。这次事务仅影响了Transak约1%的用户群，作为全球当先的加密钱币基础设施提供商之一，Transak为近600万用户提供服务，覆盖160个国度和美国46个州。Transak强调，作为一个非托管平台，用户资金安全未受影响，用户始终对自己的资产占有齐全节造权。然而，Stormous勒索软件团伙已认可这次偷窃行为，并宣称窃取了300GB的数据，蕴含当局宣告的身份证、财政报表等，打算销售或泄露数据以索取赎金。Transak已礼聘网络安全公司调查此事，并打算通过电子邮件联系受影响用户。同时，公司已通知英国信息专员办公室及欧盟和美国其他监管机构，并督促客户如有疑难请联系公司。

https://therecord.media/crypto-payment-services-data-breach

5. 塞浦路斯遭亲巴勒斯坦黑客组织协同网络攻击

10月22日，塞浦路斯近期遭逢了多个亲巴勒斯坦黑客组织提议的协同网络攻击，指标直指其关键基础设施和当局网站。只管大无数攻击未能成功，但仍对银杏注机场和当局网站等指标设施造成了临时中断。黑客组织在Telegram和暗网论坛上颁布申明，宣称将入侵塞浦路斯机构以“惩治”该国对以色列的支持。只管塞浦路斯在巴以矛盾中维持中立，但从来支持以色列军队，这成为黑客攻击的可能动机。受影响的服务蕴含当局门户网站、电力电信部门、重要银杏注石油公司和机场运营商等，无数汇报称遭逢了散布式回绝服务（DDoS）攻击，黑客还宣称已窃取敏感数据。然而，机场运营并未受影响，仅在线停车预约服务碰壁。塞浦路斯数字部暗示，当局中央在线门户网站仅短暂无法接见，其他部委或当局服务网站未受影响。最高网络官员乔治·迈克尔德斯呼吁公司做好筹备，迅快招架将来攻击并复原服务，同时暗示没有必要发急。

https://therecord.media/cyprus-critical-infrastructure-cyberattack-israel-palestine

6. WordPress网站频遭黑客攻击，恶意插件推送窃守信息软件

10月21日，WordPress网站近期频仍遭逢黑客攻击，攻击者通过装置恶意插件来推送窃守信息的恶意软件。自2023年起，ClearFake恶意活动已在受习染网站上显示虚伪的网络浏览器更新横幅，而2024年引入的ClickFix活动则假装成蕴含建复法式的软件谬误新闻，实则下载并装置窃守信息的恶意软件。这些活动变得越来越普遍，威胁行为者会入侵网站并显示蕴含Google Chrome、Google Meet会议、Facebook甚至验证码页面的虚伪谬误横幅。据GoDaddy汇报，ClearFake/ClickFix威胁行为者已入侵超过6000个WordPress网站并装置恶意插件来显示有关虚伪警报。这些恶意插件使用与合法插件类似的名称，如Wordfence Security和LiteSpeed Cache，或通用的虚构名称，一旦装置，就会将恶意JavaScript剧本注入网站的HTML中，进而加载ClearFake或ClickFix脚正本显示虚伪横幅。威胁行为者似乎在利用被盗的治理员痛处登录WordPress网站并以自动方式装置插件。WordPress运营人员该当即查抄已装置插件的列表，并删除任何未知插件，同时将所有治理员用户的密码沉置为唯一密码，以确保网站安全。

https://www.bleepingcomputer.com/news/security/over-6-000-wordpress-hacked-to-install-plugins-pushing-infostealers/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研