越南威胁组织使用恶意软件瞄准数字营销专家

首页 > 清静研究 > 清静转达 > 清静简讯

越南威胁组织使用恶意软件瞄准数字营销专家

宣布时间 2024-10-22

1. 越南威胁组织使用恶意软件瞄准数字营销专家

10月20日，Cyble 研究与情报实验室 (CRIL) 最近揭破了一次针对数字营销专业人士，特殊是 Facebook 和 Instagram 广告专家的重大攻击运动。自 2022 年 7 月起，一个越南威胁组织一直在撒播 Ducktail 和 Quasar RAT 等恶意软件，接纳网络垂纶、沙盒逃避和特权升级手艺。攻击始于包括伪装成 PDF 的恶意 LNK 文件的网络垂纶邮件，这些文件会执行 PowerShell 下令，下载混淆和编码过的剧本，通常托管在 Dropbox 等平台上。通过多重反沙盒和反调试检查，恶意软件确保仅在真真相形中运行。一旦确认目的，剧本将解密有用载荷，安排 Quasar RAT，使攻击者能完全控制受害者系统，窃取数据和凭证。该组织使用 AES 加密、反调试手艺和基于 .NET 的高级混淆，逃避古板清静解决计划。别的，该组织一直刷新战略，整合恶意软件即服务 (MaaS) 产品，提升营业规模。

https://securityonline.info/ducktail-quasar-rat-vietnamese-threat-actors-target-meta-ads-professionals/

2. Lumma Stealer：通过伪造CAPTCHA与CDN撒播的一连信息窃取威胁

10月20日，Lumma Stealer 是一种通过恶意软件即服务（MaaS）提供的信息窃取恶意软件，专门窃取敏感数据如密码、浏览器信息和加密钱币钱包详情。攻击者已从古板的网络垂纶转向使用正当软件撒播 Lumma Stealer，并通过伪造的 CAPTCHA 验证诱骗用户执行恶意载荷，使其成为一种一连威胁。Qualys威胁研究部分（TRU）一连监控 Lumma Stealer 运动，并发明攻击者使用多阶段无文件手艺转达最终载荷，增添了威胁的诱骗性和长期性。攻击链从用户被重定向到虚伪 CAPTCHA 网站最先，通过点击验证按钮触发 PowerShell 下令执行，下载并启动恶意软件下载程序。最终，恶意软件 Lumma Stealer（VectirFree.exe）通过历程挖空手艺注入正当程序，逃避检测，并在系统中搜索加密钱币和密码相关的敏感文件和数据。Lumma Stealer 还会与下令和控制（C2）服务器通讯，以窃取被盗数据，并实验使用特定顶级域名毗连到 C2 服务器域。威胁行为者使用内容分发网络（CDN）举行载荷传送，增添了威胁的重大性。

https://blog.qualys.com/vulnerabilities-threat-research/2024/10/20/unmasking-lumma-stealer-analyzing-deceptive-tactics-with-fake-captcha

3. Roundcube误差遭黑客使用，网络垂纶攻击窃取用户凭证

10月21日，黑客使用现已修补的Roundcube误差CVE-2024-37383（CVSS评分6.1）提倡了网络垂纶攻击，旨在从开源网络邮件软件中窃取用户凭证。Positive Technologies的研究职员发明，这些攻击是通过一封包括隐藏附件和特定JavaScript代码的电子邮件举行的，该邮件试图使用Roundcube Webmail中的误差。该误差影响1.5.7之前的版本和1.6.7之前的1.6.x版本，攻击者可通过SVG动画属性举行XSS攻击，该误差已在2024年5月宣布的更新中修复。攻击者通过诱骗用户翻开特制邮件，在Web浏览器上下文中执行恣意JavaScript代码。在攻击中，JavaScript负载会生涯一个空文档并从邮件服务器检索新闻，同时在Roundcube界面中建设一个虚伪的登录表单，捕获用户凭证并发送到恶意服务器。只管Roundcube Webmail可能不是使用最普遍的电子邮件客户端，但由于政府机构普遍使用它，因此仍是黑客的主要目的。现在研究职员已宣布该误差的PoC使用代码，但无法将此次攻击与已知加入者联系起来。

https://securityaffairs.com/170055/hacking/roundcube-flaw-exploited-in-phishing-attack.html

4. Transak数据泄露事务影响超9.2万人

10月22日，加密支付处置惩罚商Transak近期遭遇数据泄露事务，一名员工的条记本电脑被黑客入侵，导致凌驾92,000名用户的信息被泄露。只管该公司声称没有财务敏感或要害信息泄露，但用户的姓名、生日、护照、驾照信息及自照相等小我私家信息均受影响。此次事务仅影响了Transak约1%的用户群，作为全球领先的加密钱币基础设施提供商之一，Transak为近600万用户提供服务，笼罩160个国家和美国46个州。Transak强调，作为一个非托管平台，用户资金清静未受影响，用户始终对自己的资产拥有完全控制权。然而，Stormous勒索软件团伙已认可此次偷窃行为，并声称窃取了300GB的数据，包括政府揭晓的身份证、财务报表等，妄想出售或泄露数据以索取赎金。Transak已约请网络清静公司视察此事，并妄想通过电子邮件联系受影响用户。同时，公司已通知英国信息专员办公室及欧盟和美国其他羁系机构，并鞭策客户若有疑问请联系公司。

https://therecord.media/crypto-payment-services-data-breach

5. 塞浦路斯遭亲巴勒斯坦黑客组织协同网络攻击

10月22日，塞浦路斯近期遭受了多个亲巴勒斯坦黑客组织提倡的协同网络攻击，目的直指其要害基础设施和政府网站。只管大大都攻击未能乐成，但仍对银行、机场和政府网站等目的设施造成了暂时中止。黑客组织在Telegram和暗网论坛上宣布声明，声称将入侵塞浦路斯机构以“处分”该国对以色列的支持。只管塞浦路斯在巴以冲突中坚持中立，但向来支持以色列军队，这成为黑客攻击的可能念头。受影响的服务包括政府门户网站、电力电信部分、主要银行、石油公司和机场运营商等，大都报告称遭受了漫衍式拒绝服务（DDoS）攻击，黑客还声称已窃取敏感数据。然而，机场运营并未受影响，仅在线停车预订服务受阻。塞浦路斯数字部体现，政府中央在线门户网站仅短暂无法会见，其他部委或政府服务网站未受影响。最高网络官员乔治·迈克尔德斯呼吁公司做好准备，迅速抵御未来攻击并恢复服务，同时体现没有须要恐慌。

https://therecord.media/cyprus-critical-infrastructure-cyberattack-israel-palestine

6. WordPress网站频遭黑客攻击，恶意插件推送窃守信息软件

10月21日，WordPress网站近期频仍遭受黑客攻击，攻击者通过装置恶意插件来推送窃守信息的恶意软件。自2023年起，ClearFake恶意运动已在受熏染网站上显示虚伪的网络浏览器更新横幅，而2024年引入的ClickFix运动则伪装成包括修复程序的软件过失新闻，实则下载并装置窃守信息的恶意软件。这些运动变得越来越普遍，威胁行为者会入侵网站并显示包括Google Chrome、Google Meet聚会、Facebook甚至验证码页面的虚伪过失横幅。据GoDaddy报告，ClearFake/ClickFix威胁行为者已入侵凌驾6000个WordPress网站并装置恶意插件来显示相关虚伪警报。这些恶意插件使用与正当插件相似的名称，如Wordfence Security和LiteSpeed Cache，或通用的虚构名称，一旦装置，就会将恶意JavaScript剧本注入网站的HTML中，进而加载ClearFake或ClickFix脚原来显示虚伪横幅。威胁行为者似乎正在使用被盗的治理员凭证登录WordPress网站并以自动方法装置插件。WordPress运营职员应连忙检查已装置插件的列表，并删除任何未知插件，同时将所有治理员用户的密码重置为唯一密码，以确保网站清静。

https://www.bleepingcomputer.com/news/security/over-6-000-wordpress-hacked-to-install-plugins-pushing-infostealers/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究