1、黑客利用"黑神话悟空修改器"传播恶意代码

https://mp.weixin.qq.com/s/yArqTngBt-lGg4T7HEE0sw

近日，安天CERT通过网络安全监测发现利用“黑神话悟空修改器”传播恶意代码的活动，攻击者将自身的恶意代码程序与《黑神话：悟空》第三方修改器“风灵月影”捆绑在一起，再通过在社媒发布视频等方式引流，诱导玩家下载。玩家一旦下载了带有恶意代码的修改器版本，在运行修改器的同时，也将在后台自动运行恶意代码，导致计算机被控制，产生隐私泄露、经济损失等风险。

2、超过130家美国组织遭遇黑客电话钓鱼攻击

https://www.guidepointsecurity.com/blog/so-phish-ticated-attacks/

2024年8月29日，研究人员报告揭露了一场针对超过130家美国组织的复杂VPN钓鱼和电话钓鱼（vishing）攻击活动。攻击者伪装成公司IT支持人员，通过电话和短信诱使员工访问伪造的VPN登录页面，从而窃取其凭证。攻击者利用这些凭证进入公司网络后，扫描漏洞系统，扩展权限并部署勒索软件。这些假冒的登录页面模仿真实的VPN门户，甚至创建虚假的VPN组以提高可信度。一旦用户输入了凭证和多因素认证令牌，他们被重定向回真正的VPN门户，从而让用户放松警惕。

3、微软披露朝鲜APT利用Chrome零日漏洞窃取加密货币

https://www.microsoft.com/en-us/security/blog/2024/08/30/north-korean-threat-actor-citrine-sleet-exploiting-chromium-zero-day/

微软威胁情报团队近日确认，朝鲜黑客组织利用Chrome的一个远程代码执行漏洞（CVE-2024-7971）进行攻击，目标为加密货币行业。该漏洞涉及Chromium V8 JavaScript和WebAssembly引擎中的类型混淆缺陷，已于8月21日由谷歌修复。微软表示，攻击由与朝鲜政府相关的APT组织“Citrine Sleet”实施，该组织也被称为AppleJeus、Labyrinth Chollima等，此前曾针对金融机构和加密货币管理者展开行动。此次攻击首次发现于8月19日，黑客通过恶意域名引诱受害者触发远程代码执行漏洞，随后在受感染设备上部署此前被其他朝鲜APT使用的FudModule rootkit。

4、网络攻击者利用Google Sheets作为C2发起新型恶意软件活动

https://www.proofpoint.com/us/blog/threat-insight/malware-must-not-be-named-suspected-espionage-campaign-delivers-voldemort

研究人员发现了一场利用Google Sheets作为指挥控制（C2）机制的新型恶意软件活动。该活动于2024年8月5日首次由研究人员检测到，攻击者假扮欧洲、亚洲和美国的税务机关，目标锁定全球70多个组织，涉及金融、技术、政府、能源等多个行业。攻击者使用名为Voldemort的定制后门工具收集信息并投递恶意负载。受害者通过钓鱼邮件被引导至伪装的Google AMP缓存页面，随后被诱骗执行LNK文件，进而运行Python脚本以窃取系统信息。此后，恶意软件通过Google Sheets进行C2通信和数据窃取。研究表明，尽管此次活动具有APT特点，但也展示了网络犯罪的痕迹，目标可能是支持某种未明间谍行动的最终目的。

5、攻击者在GitHub项目中发布虚假评论传播窃密木马

https://www.bleepingcomputer.com/news/security/github-comments-abused-to-spread-lumma-stealer-malware-as-fake-fixes

攻击者正在利用GitHub进行恶意攻击活动，在GitHub项目中发布虚假评论以传播窃密木马Lumma Stealer。该攻击活动最初是由teloxide rust库的一位贡献者报告，该贡献者称在GitHub问题中收到了五条不同的评论，这些评论提供了虚假的修复程序，但实际上是在推送恶意软件。研究人员进一步调查发现在GitHub的各种项目中存在数千条类似的恶意评论。这些评论引导人们从指定URL处下载受密码保护的压缩包，其中包含一些DLL文件和一个可执行程序。研究人员发现所有相关压缩包使用的密码都是 “changeme”。经分析，攻击者在此次攻击活动中传播的是一种名为Lumma Stealer的窃密木马。

6、新Android间谍软件LianSpy针对俄罗斯用户

https://www.freebuf.com/news/408450.html

卡巴斯基研究人员发现了一种前所未见的Android间谍软件，该软件主要针对俄罗斯用户，并且可能会部署到其他地区。这个被称为“LianSpy”的恶意软件至少自2021年以来就一直活跃，但由于其“复杂的规避技术”，直到今年3月才被发现和分析。

7、新恶意软件伪装 Palo Alto VPN攻击中东用户

https://thehackernews.com/2024/08/new-malware-masquerades-as-palo-alto.html

网络安全研究人员披露了一项新的活动，该活动通过伪装成 Palo Alto Networks GlobalProtect虚拟专用网络 (VPN) 工具的恶意软件可能针对中东用户。趋势科技研究员 Mohamed Fahmy在一份技术报告中表示： “该恶意软件可以执行远程 PowerShell 命令、下载和窃取文件、加密通信并绕过沙盒解决方案，对目标组织构成重大威胁。”

8、研究人员披露传播Snake Keylogger的网络钓鱼活动

https://www.fortinet.com/blog/threat-research/deep-analysis-of-snake-keylogger-new-variant

研究人员最近发现了一起网络钓鱼活动，钓鱼邮件中附有一个恶意的Excel文档，用于传播Snake Keylogger。该Excel文档利用CVE-2017-0199漏洞下载107.hta文件，该文件中包含经过混淆处理的JavaScript代码，用于执行VBScript以及PowerShell代码，以下载、执行名为sahost.exe的恶意程序。sahost.exe是一种加载器，能够解密得到名为Tyrone.dll的模块并注入内存中执行。Tyrone.dll模块用于对sahost.exe进行重命名、创建计划任务以保持持久化、并将最终的Snake Keylogger恶意载荷注入至内存中执行。Snake Keylogger（又名“404 Keylogger”或“KrakenKeylogger”）是一种键盘记录器，具备多种窃密功能。一旦在受害者的计算机上执行，它能够窃取敏感数据，包括在浏览器和其他流行软件中保存的凭据、系统剪贴板内容和基本的设备信息。它还能够记录键盘输入并捕获屏幕截图。

9、研究人员在FlyCASS系统中发现SQL注入漏洞

https://www.bleepingcomputer.com/news/security/researchers-find-sql-injection-to-bypass-airport-tsa-security-checks

研究人员在FlyCASS系统中发现了一个安全漏洞，该漏洞允许未经授权的个人绕过机场安检并进入飞机驾驶舱。FlyCASS是一种基于Web的第三方服务，一些航空公司使用该系统来管理已知机组人员（KCM）计划和驾驶舱访问安全系统（CASS）。研究人员发现，FlyCASS的登录系统容易受到SQL注入的影响，该漏洞使攻击者能够通过输入恶意的SQL语句查询数据库内容。利用此漏洞，攻击者能够以管理员身份进行登录，并在系统内操纵员工数据。更严重的是，攻击者在登录该系统后，可以将任何人添加至KCM和CASS，从而跳过安检直接进入商用客机的驾驶舱。

10、新型网络攻击针对华语企业部署Cobalt Strike恶意软件

https://www.securonix.com/blog/from-cobalt-strike-to-mimikatz-slowtempest/

近日，研究人员发现一场针对华语企业的高度组织化网络攻击活动，攻击者通过钓鱼邮件感染Windows系统并部署Cobalt Strike恶意软件。该攻击行动代号为“SLOW#TEMPEST”，未归因于已知的威胁组织。攻击者利用恶意ZIP文件诱导用户解压并激活感染链，最终在被攻陷系统上部署后利用工具包。通过伪装的Windows快捷方式文件，攻击者实施了DLL侧加载技术，首次利用LicensingUI.exe执行恶意DLL，实现持久性访问。该攻击还通过Mimikatz工具获取凭据，利用RDP横向移动，并通过BloodHound工具对活动目录进行侦查，所有C2服务器均位于中国。研究人员指出，该攻击行动可能由经验丰富的威胁者策划，尽管目前尚未能确定具体责任方。

​

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。