恶意Google广告推送带有隐藏后门的假IP扫描软件

首页 > 清静研究 > 清静转达 > 清静简讯

恶意Google广告推送带有隐藏后门的假IP扫描软件

宣布时间 2024-04-19

1. 恶意Google广告推送带有隐藏后门的假IP扫描软件

4月18日，新的 Google 恶意广告运动正在使用一组模拟正当 IP 扫描软件的域来提供一个以前未知的名为MadMxShell 的后门。威胁行为者使用误植手艺注册了多个相似的域名，并使用 Google Ads 将这些域名推至针对特定搜索要害字的搜索引擎效果的顶部，从而引诱受害者会见这些网站。据称，2023 年 11 月至 2024 年 3 月时代注册的域名多达 45 个，这些网站伪装成端口扫描和 IT 治理软件，如 Advanced IP Scanner、Angry IP Scanner、IP 扫描仪 PRTG 和 ManageEngine。虽然这并不是威胁行为者第一次使用恶意广告手艺通过相似的网站提供恶意软件服务，但这一生长标记着交付工具首次被用来撒播重大的 Windows 后门。

https://thehackernews.com/2024/04/malicious-google-ads-pushing-fake-ip.html

2. 攻击者使用OpenMetadata在Kubernetes上举行挖矿

4月17日，Microsoft Threat Intelligence 发明了针对运行盛行开源元数据平台 OpenMetadata 的 Kubernetes 集群的新攻击运动。攻击者正在使用一系列最近披露的要害误差来会见事情负载并装置加密钱币挖掘恶意软件。该攻击使用了 1.3.1 之前的 OpenMetadata 版本中保存的多个清静误差（CVE-2024-28255、CVE-2024-28847、CVE-2024-28253、CVE-2024-28848、CVE-2024-28254）。乐成使用该误差将付与攻击者远程执行代码的能力，从而使他们能够完全控制受影响的系统。攻击通常从网络犯法分子扫描运行易受攻击的 OpenMetadata 实例的袒露于互联网的 Kubernetes 事情负载最先。一旦识别出目的，攻击者就会使用这些误差来控制托管 OpenMetadata 的容器。

https://securityonline.info/attackers-exploit-critical-openmetadata-flaws-for-cryptomining-on-kubernetes/

3. SoumniBot 恶意软件使用 Android 误差来绕过检测

4月17日，一种名为“SoumniBot”的新 Android 银行恶意软件通过使用 Android 清单提取息争析历程中的弱点，使用一种不太常见的混淆要领。该要领使 SoumniBot 能够规避 Android 手机中的标准清静步伐并执行信息窃取操作。该恶意软件由卡巴斯基研究职员发明并剖析，他们提供了该恶意软件使用 Android 例程剖析和提取 APK 清单的要领的手艺细节。清单文件（“AndroidManifest.xml”）位于每个应用程序的根目录中，包括有关组件（服务、广播吸收器、内容提供程序）、权限和应用程序数据的详细信息。虽然恶意 APK 可以使用 Zimperium 的种种压缩技巧来愚弄清静工具并逃避剖析，但卡巴斯基剖析师发明 SoumniBot 使用三种差别的要领来绕过剖析器检查，其中涉及使用清单文件的压缩和巨细。

https://www.bleepingcomputer.com/news/security/soumnibot-malware-exploits-android-bugs-to-evade-detection/

4. FIN7 针对美国汽车制造商的 IT 员工提倡网络垂纶攻击

4月17日，出于经济念头的威胁组织 FIN7 针对一家美国大型汽车制造商，向 IT 部分的员工发送鱼叉式网络垂纶电子邮件，以使用 Anunak 后门熏染系统。据黑莓研究职员称，这次攻击爆发在去年底，并且依赖于非外地二进制文件、剧本和库 (LoLBas)。威胁行为者将重点放在具有高级权限的目的上，通过冒充正当高级 IP 扫描器工具的恶意 URL 链接来引诱他们。黑莓高度确信此次攻击是由 FIN7 提倡的，由于该攻击使用了奇异的 PowerShell 剧本，该剧本使用了敌手的署名“PowerTrash”混淆的 shellcode 挪用程序，该剧本首次泛起在 2022 年的一次运动中。在此之前，FIN7 被发明以袒露的Veeam 备份和Microsoft Exchange服务器为目的，并将Black Basta和Clop 勒索软件负载安排到企业网络上。

https://www.bleepingcomputer.com/news/security/fin7-targets-american-automakers-it-staff-in-phishing-attacks/

5. 与俄罗斯有关的Sandworm 攻击军器库中的新后门Kapeka

4月17日，除了微软于 2024 年 2 月 14 日宣布的关于发明一个名为 KnuckleTouch 的新后门的简短形貌之外，现在公众对 Kapeka 后门的相识险些为零。微软将 KnuckleTouch 后门归罪于 SeaShell Blizzard，这是其对 Sandworm 的名称。Microsoft 尚未对此恶意软件举行剖析，但 WithSecure 确信 KnuckleTouch 就是 Kapeka。微软和 WithSecure 以为该恶意软件自 2022 年以来一直在使用，但除了 WithSecure 剖析之外，人们对 Kapeka 知之甚少。WithSecure 迄今为止只发明了两个野外样本�Ｋ剂康侥拷竦牡卦嫡�，受害者学也批注其起源于俄罗斯：爱沙尼亚和乌克兰。这种有限的遥测可能是由于该恶意软件尚未普遍使用，也可能是由于 Kapeka 同心协力坚持隐秘。

https://www.securityweek.com/kapeka-a-new-backdoor-in-sandworms-arsenal-of-aggression/

6. Visa针对金融机构的JSOutProx日益增添的威胁发出通告

4月17日，Visa 最近宣布了关于特殊危险的JSOutProx 恶意软件运动显着增添的严重清静警报。这种远程会见木马 ( RAT ) 以其对金融机构及其客户的重大攻击能力而著名，特殊是针对南亚和东南亚、中东和非洲地区。JSOutProx 于 2019 年 12 月首次被发明，是一种高度混淆的 JavaScript 后门，使网络犯法分子能够执行大宗恶意运动。其中包括运行 shell 下令、下载特另外有害负载、执行文件、捕获屏幕截图以及完全控制受熏染装备的键盘和鼠标。随着时间的推移，JSOutProx 一直生长，增强了其规避手艺以阻止检测并增强了其破损能力。JSOutProx 的初始有用负载支持基本但要害的功效，使攻击者能够对受熏染的系统举行相当大的控制。

https://securityboulevard.com/2024/04/jsoutprox-malware-variant-targeting-financial-orgs-warns-visa/#google_vignette

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究