CRON#TRAP网络垂钓活动：利用Linux虚构机习染Windows

首页 > 安全钻研 > 安全传递 > 安全简讯

CRON#TRAP网络垂钓活动：利用Linux虚构机习染Windows

颁布功夫 2024-11-06

1. CRON#TRAP网络垂钓活动：利用Linux虚构机习染Windows

11月4日，一项名为“CRON#TRAP”的新型网络垂钓活动利用Linux虚构机习染Windows系统，通过内置后门奥秘接见企业网络。该活动通过假装成“OneAmerica 调查”的网络垂钓电子邮件，发送一个蕴含285MB ZIP档案的大型文件，内含一个Windows快捷方式和QEMU虚构机利用法式。启动快捷方式后，会执行PowerShell号令，将下载的存档提取到指定文件夹，并在设备上设置和启动自界说QEMU Linux虚构机。该虚构机名为“PivotBox”，预装了后门，可确维悠久的C2通讯，使攻击者在后盾进行操作。由于QEMU是合法工具，Windows不会对其发出警报，安全工具也无法查抄虚构机内部的恶意法式。后门的主题是名为Chisel的网络隧路法式，通过HTTP和SSH传输数据，使攻击者即便在网络受防火墙�；な币材苡牒竺磐ㄑ�。为了预防QEMU滥用，建议监督从用户可接见文件夹执行的“qemu.exe”等过程，将QEMU和其他虚构化套件放入阻止列表中，并从系统BIOS中禁用或阻止关键设备上的虚构化。

https://www.bleepingcomputer.com/news/security/windows-infected-with-backdoored-linux-vms-in-new-phishing-attacks/

2. 黑客滥用DocuSign API创建虚伪发票假意驰名品牌进行诓骗

11月4日，DocuSign 是一个电子署名平台，支持以数字方式签署、发送和治理文档。Envelopes API旨在援手客户自动发送必要署名的文档、跟踪其状态并在署名后检索它们。威胁行为者在利用DocuSign的Envelopes API创建并分发看似真实的虚伪发票，假意驰名品牌如Norton和PayPal。他们使用合法的付费DocuSign账户，通过该API发送仿照驰名软件公司表观和感触的诓骗性发票，并诱导指标客户对文件进行电子署名以授权付款。这些发票的用度节造在现实领域内，以增长其合法性。据Wallarm安全钻研人员称，这种滥用行为已经持续了一段功夫，并已向DocuSign汇报�？突б苍贒ocuSign的社区论坛上屡次举报此类行为，但似乎难以得到有效解决。这些攻击是自动化的，大规模产生，使得平台很难忽视。DocuSign尚未对询问其反滥用措施及是否打算加强这些措施的问题作出评论。黑客从前也曾滥用API进行其他恶意活动，如验证用户电话号码、抓取客户信息以及将电子邮件地址链接到帐户等。

https://www.bleepingcomputer.com/news/security/docusigns-envelopes-api-abused-to-send-realistic-fake-invoices/

3. 新型Android银行恶意软件ToxicPanda习染超1500台设备

11月5日，Cleafy 钻研人员发现了一种名为 ToxicPanda 的新型 Android 银行恶意软件，已习染超过 1,500 台设备，重要指标为意大利、葡萄牙、西班牙和拉丁美洲的16家银行。该恶意软件与东南亚的 TgToxic 木马家族有类似之处，但代码差距显著。ToxicPanda 利用设备诓骗技术绕过银行安全措施，进行诓骗性资金转移。只管处于早期开发阶段，代码不齐全，但它已显示出壮大的诓骗能力。ToxicPanda 选取手动方式，允许攻击者轻松绕过银行的行为检测防御。它还能够接见手机相册，网络敏感信息，并通过硬编码域名衔接其号令和节造服务器。意大利是其重要指标，习染率高达 56.8%，葡萄牙、香港、西班牙和秘鲁等地也有习染。汇报指出，现代防病毒解决规划难以检测到此类相对单一的威胁，不足自动、实时的检测系统是一个重要问题。

https://securityaffairs.com/170605/malware/toxicpanda-android-malware-targets-italy.html

4. 国际刑警组织“协同二号行动”沉拳进攻网络犯罪

11月5日，国际刑警组织在2024年4月至8月期间，代号为“协同二号行动”的国际法律行动中，成功扣留了41名与勒索软件、网络垂钓和信息窃取等网络犯罪有关的嫌疑人，并粉碎了 22,000 个 IP 地址上运行的1,037台服务器和基础设施。这次行动涉及95个国度，得到了多家私营网络安全公司的谍报支持。行动中，约76%的恶意内容被删除，59台服务器被查封，43台电子设备被充公以获取更多证据。此表，当局还在调查另表65名涉嫌参加犯法活动的人。行动亮点蕴含香港和澳门警方关关了大量恶意服务器，蒙古进行了屡次房屋搜查并查获了一台服务器，马达加斯加确定了与恶意服务器有联系的幼我并查获了电子设备，爱沙尼亚则查获了超过80GB的服务器数据。国际刑警组织网络犯罪局局长暗示，网络犯罪的全球性要求全球应对，这次行动不仅粉碎了恶意基础设施，还预防了数十万潜在受害者沦为网络犯罪的就义品。

https://www.bleepingcomputer.com/news/security/interpol-disrupts-cybercrime-activity-on-22-000-ip-addresses-arrests-41/

5. 乌克兰责怪谷歌泄露军事基职地位，引发安全忧郁

11月6日，乌克兰责怪谷歌在其在线地图服务的最新更新中泄露了军事基地的地位，这些图像被俄罗斯人“积极传布”。乌克兰国度安全与国防委员会反虚伪信息部门掌管人暗示，谷歌尚未建复地图，只回应了乌克兰的官方函件并承诺更新。谷歌乌克兰公司回应称，有问题的卫星图像是一年前拍摄的，来自公开起源，并暗示器沉此类要求并与乌克兰官员维持沟通。乌克兰不安军事信息的公开可能危及防空系统等军事设备的地位，不仅可能危及乌克兰，还可能危及任何使用导弹拦截器的国度。乌克兰和俄罗斯都高度依赖卫星图像来网络谍报，但俄罗斯因造裁或路德问题而难以直接从贸易公司采办。谷歌已暂停了在俄罗斯的很多服务，但地图等部门服务仍可使用，但职能有限。

https://therecord.media/ukraine-google-locations-revealing-military

6. Snowflake数据窃取攻击嫌疑人在加拿大被捕

11月5日，加拿大当局扣留了一名涉嫌窃取云存储公司Snowflake客户数据的男子Alexander "Connor" Moucka（别名"Waifu"和"Judische"）。据彭博社和404 Media报路，该男子以165个组织为指标，窃取了数亿数据，这些组织全数是Snowflake的客户。Snowflake、Mandiant和CrowdStrike的结合调查发现，这名攻击者使用信息窃取恶意软件窃取了未能配置多成分身份验证（MFA）�；さ腟nowflake帐户的客户凭证。这些攻击始于2024年4月，与之有关的数据泄露影响了使用AT&T、Ticketmaster、Santander等多家服务的数亿幼我。其中，Ticketmaster的5.6亿客户和AT&T的约1.09亿客户的通话纪录被盗。Snowflake尔后颁发将对新账户强造执行MFA，并要求密码长度至少为14个字符。

https://www.bleepingcomputer.com/news/security/suspect-behind-snowflake-data-theft-attacks-arrested-in-canada/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研