https://www.sonatype.com/blog/pypi-crypto-stealer-targets-windows-users-revives-malware-campaign
网络安全研究人员警告称,Python Package Index (PyPI) 存储库中发现了一个新的恶意Python包,该包作为更大范围的加密货币盗窃活动的一部分。该恶意包名为 pytoileur,截至撰写本文时已被下载316次。有趣的是,包的作者名为PhilipsPY,在PyPI维护者于2024年5月28日撤下之前的版本(1.0.1)后,上传了具有相同功能的新版本(1.0.2)。恶意代码嵌入在包的setup.py脚本中,允许它执行一个Base64编码的有效负载,该有效负载负责从外部服务器检索一个Windows二进制文件。检索到的二进制文件 Runtime.exe 通过利用Windows PowerShell和VBScript命令在系统上运行。一旦安装,该二进制文件会建立持久性并投放其他有效负载,包括间谍软件和能够收集来自Web浏览器和加密货币服务数据的盗窃软件。
https://blog.talosintelligence.com/lilacsquid/
一个名为LilacSquid的前所未有的网络间谍威胁行为者被发现自2021年以来一直对美国、欧洲和亚洲的各个行业进行有针对性的攻击,目的是窃取数据。研究人员在今天发布的一份新技术报告中表示:“这次活动旨在建立对受害者组织的长期访问,以便LilacSquid能够将感兴趣的数据转移到攻击者控制的服务器上。”受攻击的目标包括在美国为研究和工业部门开发软件的信息技术组织、欧洲的能源公司以及亚洲的制药行业,显示出广泛的受害者分布。攻击链已知利用公开的漏洞来入侵面向互联网的应用服务器,或使用被攻陷的远程桌面协议(RDP)凭据来交付混合的开源工具和定制的恶意软件。该活动的最显著特点是使用一个名为MeshAgent的开源远程管理工具,该工具作为传送一种名为PurpleInk的定制版本Quasar RAT的渠道。
https://blog.cloudflare.com/disrupting-flyingyeti-campaign-targeting-ukraine
研究人员已经采取措施破坏一个由俄罗斯支持的名为FlyingYeti的威胁行为者针对乌克兰长达一个月的网络钓鱼活动。研究人员在今天发布的一份新报告中表示:“FlyingYeti活动利用人们对失去住房和公共设施访问的担忧,通过债务主题诱饵引诱目标打开恶意文件。”一旦打开,这些文件将导致感染名为COOKBOX的PowerShell恶意软件,使FlyingYeti能够支持后续目标,例如安装其他负载并控制受害者的系统。FlyingYeti是该网络基础设施公司用来跟踪的一个活动集群名称,乌克兰计算机应急响应小组(CERT-UA)将其称为UAC-0149。此前由该网络安全机构披露的攻击活动涉及通过Signal即时消息应用发送恶意附件,以传送COOKBOX,这是一种基于PowerShell的恶意软件,能够加载并执行cmdlet。
一名被称为ShinyHunters的威胁行为者在最近复活的BreachForums黑客论坛上以50万美元的价格出售他们声称是5.6亿Ticketmaster客户的个人和财务信息。据称被盗的数据库最初在俄罗斯黑客论坛Exploit上出售,据称包含1.3TB的数据和客户的完整详细信息(即姓名、家庭和电子邮件地址、电话号码)、票务销售、订单和活动信息。这些数据库还包含客户的信用卡信息,包括散列的信用卡号码、卡号的最后四位数字、信用卡和认证类型以及到期日期,财务交易时间跨度从2012年至2024年。当被问及数据何时以及如何被盗时,威胁行为者表示“不能透露任何信息”。网络安全组织声称与一些据称入侵Ticketmaster的威胁行为者进行了交谈。他们表示,通过从一个托管服务提供商(MSP)转向,得以从公司的AWS实例中窃取数据。
https://www.akamai.com/blog/security-research/2024-redtail-cryptominer-pan-os-cve-exploit
RedTail加密货币挖矿恶意软件的背后威胁行为者已将最近披露的影响Palo Alto Networks防火墙的安全漏洞添加到其利用武器库中。该恶意软件的工具包中增加了PAN-OS漏洞,并且恶意软件本身也进行了更新,现已包含新的反分析技术。攻击者通过使用私有加密货币挖矿池来更好地控制挖矿结果,尽管这增加了操作和财务成本。Akamai发现的感染序列利用了一个现已修补的PAN-OS漏洞(CVE-2024-3400,CVSS评分:10.0),该漏洞可能允许未经身份验证的攻击者以root权限在防火墙上执行任意代码。成功利用该漏洞后,将执行命令以从外部域检索并运行bash shell脚本,进而根据CPU架构下载RedTail有效负载。
https://asec.ahnlab.com/en/66017/
网络犯罪分子通过在种子网站上推广的盗版微软Office版本向用户传播各种恶意软件。向用户传播的恶意软件包括远程访问木马(RAT)、加密货币矿工、恶意软件下载器、代理工具和反AV程序。研究人员发现,攻击者使用多种诱饵,包括微软Office、Windows和在韩国流行的Hangul文字处理器。这个破解的微软Office安装程序具有精心设计的界面,让用户可以选择要安装的版本、语言,以及是否使用32位或64位版本。
https://blog.lumen.com/the-pumpkin-eclipse/
一个名为“Pumpkin Eclipse”的恶意软件僵尸网络在2023年进行了一次神秘的破坏性事件,摧毁了60万台办公/家庭办公(SOHO)互联网路由器,导致客户的互联网连接中断。研究人员观察到,这次事件在2023年10月25日至10月27日期间,导致美国中西部多个州的互联网接入中断。这使得受感染设备的所有者别无选择,只能更换路由器。尽管此次事件规模庞大,但影响范围集中,仅影响了一家互联网服务提供商(ISP)和该公司使用的三种型号的路由器:ActionTec T3200s、ActionTec T3260s和Sagemcom F5380。这家特定的ISP服务于美国的脆弱社区,由于“Pumpkin Eclipse”事件,其运营的调制解调器数量减少了49%。
微软周四警告客户,Windows 11的2024年5月非安全预览更新导致任务栏崩溃和故障。本月的KB5037853可选更新于周四发布,修复了多个文件资源管理器问题和其他32个问题。今天,在推出这一累积更新的一天后,雷德蒙德在KB5037853支持文档中添加了一个新的已知问题,确认Windows 11 22H2和23H2用户可能会遇到任务栏问题。“安装此更新后,您可能会遇到使用任务栏的问题。您可能会注意到任务栏暂时出现故障、不响应、消失并自动重新出现,”公司表示。“此外,这个问题可能会在事件查看器中反映出来,在Windows日志下列出‘应用程序错误事件ID 1000’,显示‘Explorer.EXE’作为‘故障应用程序名称’,‘Taskbar.View.dll’作为‘故障模块名称’。”
知名电脑硬件制造商Cooler Master确认其于5月19日遭遇数据泄露,导致客户数据被窃取。Cooler Master是一个知名的电脑硬件制造商,产品涵盖散热设备、电脑机箱、电源和其他外设。一名自称'Ghostr'的攻击者称,他们在5月18日攻破了该公司的Fanzone网站,并下载了相关数据库。Cooler Master的Fanzone网站用于产品保修注册、申请RMA或提交支持票据,要求客户填写个人信息,如姓名、电子邮件地址、地址、电话号码、出生日期和住址。Ghostr表示,他们在Fanzone漏洞中下载了103 GB的数据,包括超过50万名客户的个人信息。攻击者还分享了数据样本,研究人员与多位被泄露的客户核实后确认,他们的信息是准确的,并且他们最近向Cooler Master请求支持或RMA。样本中的其他数据包括产品信息、员工信息以及与供应商的电子邮件信息。攻击者声称拥有部分信用卡信息,但研究人员在样本数据中未找到相关信息。
一个威胁组织声称在攻击云存储公司Snowflake的一名员工账户后窃取了该公司的用户数据。然而,Snowflake反驳了这些说法,称最近的入侵是由安全措施不力的客户账户造成的。据网络安全公司HudsonRock称,威胁行为者还使用Snowflake的云存储服务获取了其他知名公司的数据,包括Anheuser-Busch、StateFarm、三菱、Progressive、NeimanMarcus、Allstate和AdvanceAutoParts等。为了做到这一点,攻击者使用窃取的凭证登录Snowflake员工的ServiceNow帐户,从而绕过了Okta的安全身份验证流程。接下来,攻击者可以生成会话令牌来窃取属于Snowflake客户的数据。HudsonRock公司表示,一个凭证就可能导致数百家使用Snowflake存储数据的公司数据被泄露,威胁行为者甚至声称有超过400家公司受到影响。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。