https://cyble.com/blog/fileless-pure-clipper-malware-italian-users-in-the-crosshairs/
近日,研究人员发现了一个由威胁行为者(TA)通过一个伪造的Tor项目网站进行的操作。该TA在这个操作中传播了Pure Clipper恶意软件。Clipper是一种用于窃取或操纵与加密货币相关的数据的恶意软件,特别是加密货币钱包地址。Clipper恶意软件通常通过监视用户的剪贴板来操作,剪贴板是临时存储复制信息的地方。当它检测到复制了一个加密货币钱包地址(例如,比特币或以太坊地址)时,它会用攻击者控制的地址替换该地址。因此,如果用户在进行加密货币交易时粘贴了被篡改的地址,资金就会被发送到攻击者的钱包,而不是预期的收件人。Pure Clipper是由同一名TA“PureCoder”创建的,他之前曾经使用PureLogs进行过多次针对意大利的攻击。PureCoder是这个软件背后的TA,他维护了一个网站,在那里他积极地广告和销售各种恶意软件程序,满足不同的网络犯罪操作。这些产品包括挖矿、信息窃取、VNC(虚拟网络计算)工具和加密器,突出了他们支持的广泛的网络威胁范围。
https://cyble.com/blog/israel-palestine-conflict-and-looming-threat-on-critical-infra/
2023年10月,以色列和巴勒斯坦之间的紧张局势再次升级,引发了一场全面的武装冲突。这两个国家自20世纪初以来就一直存在争端,自2008年以来发生了多次激烈的冲突。这场战争也引起了来自黑客活动分子和威胁行为者(TAs)的大量报复性攻击,这与2012年以来观察到的趋势相符。此外,网络攻击通常是现代战争中的辅助手段,这一趋势在2022年俄罗斯-乌克兰冲突爆发之前就已经出现。研究人员一直在收集特定的情报,以在黑客活动分子和不同威胁行为者发动的网络攻击的迷雾中捕捉奇特的发展。研究人员观察到了一些黑客活动分子和威胁行为者采用了不同的恶意技术,以利用关键基础设施的弱点并破坏其功能。对关键基础设施的攻击一直是传统上由国家支持的行为者和勒索软件组织采用的主要攻击方式。然而,俄罗斯-乌克兰和以色列-巴勒斯坦冲突的动态也将黑客活动分子组织纳入了这一威胁范围,从而增加了国家和为关键基础设施做出贡献的企业的担忧。
https://securelist.com/apt-trends-report-q3-2023/110752/
一种新的复杂威胁,被追踪为“TetrisPhantom”,一直在利用被感染的安全U盘,针对亚太地区的政府系统进行攻击。安全U盘在设备的加密部分存储文件,用于在系统之间安全地传输数据,包括那些在隔离环境中的系统。通过自定义软件,可以根据用户提供的密码解密U盘中的内容。这种软件之一是UTetris.exe,它被捆绑在U盘的未加密部分。安全研究人员发现了UTetris应用程序的恶意版本,它们被部署在安全U盘上,作为一场攻击活动的一部分,该活动已经持续了至少几年,并且针对亚太地区的政府机构。据研究人员报告,TetrisPhantom使用了各种工具、命令和恶意组件,表明这是一个复杂和资源充足的威胁组织。研究人员称这次攻击包括了复杂的工具和技术,包括基于虚拟化的软件混淆用于恶意组件、使用直接SCSI命令与U盘进行低级通信、通过连接安全U盘进行自我复制以传播到其他隔离系统以及向U盘上合法的访问管理程序注入代码,该程序充当新机器上恶意软件的加载器。
Chrome是一款流行的网络浏览器,它提供了许多功能和选项,以提高用户的网络体验和安全性。最近,谷歌正在准备测试一种新的“IP保护”功能,该功能可以通过使用代理服务器来掩盖用户的IP地址,从而增强用户的隐私。IP地址是一个唯一的数字标识符,它可以显示用户的网络位置和设备信息。一些网站和服务可能会收集和追踪用户的IP地址,以进行广告定向、分析或审查等目的。因此,隐藏或更改IP地址可以帮助用户避免这些潜在的隐私风险。“IP保护”功能将允许用户在浏览器设置中启用或禁用该功能,并在地址栏中显示一个图标,以指示该功能是否处于活动状态。当该功能启用时,用户的网络流量将通过谷歌提供的代理服务器传输,从而使用户的真实IP地址对网站和服务不可见。该功能类似于虚拟专用网络(VPN)或托管代理服务(HPS),但它只适用于Chrome浏览器,并且不会加密用户的流量。该功能目前仍处于开发阶段,并且只能在Chrome Canary版本中进行测试。谷歌尚未公布该功能的正式发布日期或可用区域。
https://cybernews.com/security/deepfake-african-union-chief-fari/
该报道称,黑客在通话过程中使用了深度伪造的视频篡改技术来冒充主席。同时,非洲联盟(AU)在一份声明中说,有人使用伪造的电子邮件地址要求与外国领导人通话。
https://www.securityweek.com/solarwinds-patches-high-severity-flaws-in-access-rights-manager/
企业软件供应商 SolarWinds 已针对其访问权限管理器 (ARM) 中的八个高严重性漏洞发布了补丁,其中包括三个无需身份验证即可利用的远程代码执行问题。
https://securityaffairs.com/152924/hacking/cisco-ios-xe-zero-day-cve-2023-20273.html
思科发现了第二个 IOS XE 零日漏洞,编号为 CVE-2023-20273,该漏洞在野外攻击中被积极利用。
在欧洲刑警组织等机构的协调下,欧洲多国对 Ragnar Locker 勒索软件组织的主要成员展开了突击行动。该组织的关键成员于 10 月 16 日在法国巴黎被捕,其在捷克的家遭到搜查。另外五名嫌疑人分别在西班牙和拉脱维亚接受询问。Ragnar Locker 的基础设施在荷兰、德国和瑞典查封,暗网上的数据泄露网站在瑞典被关闭。Ragnar Locker 自 2019 年 12 月以来一直很活跃,它攻击了世界各地的基础设施,因此被认为具有高威胁优先度。它采用了双重勒索策略,除了加密数据还通过窃取数据威胁泄露勒索受害者。它在 2020 年曾攻击了日本知名游戏公司 Capcom,最近攻击了葡萄牙国家航空公司和以色列的一家医院。
BlackCat/ALPHV 勒索软件最近开始使用一种名为 "Munchkin "的新工具,该工具可利用虚拟机在网络设备上隐秘地部署加密程序。
https://thehackernews.com/2023/10/sophisticated-mata-framework-strikes.html
卡巴斯基在本周发布的一份新的详尽报告中表示:攻击背后的行为者使用鱼叉式网络钓鱼邮件针对几名受害者,其中一些人通过互联网浏览器下载文件感染了Windows可执行恶意软件。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。