PipeMagic木马使用伪造ChatGPT应用程序攻击沙特阿拉伯

首页 > 清静研究 > 清静转达 > 清静简讯

PipeMagic木马使用伪造ChatGPT应用程序攻击沙特阿拉伯

宣布时间 2024-10-17

1. PipeMagic木马使用伪造ChatGPT应用程序攻击沙特阿拉伯

10月15日，卡巴斯基全球研究与剖析团队（GReAT）近期披露了一项新的网络攻击运动，该运动使用一种名为PipeMagic的重大后门木马举行撒播，其地理目的已从亚洲扩展到沙特阿拉伯。此次攻击中，网络犯法分子接纳了一款用Rust开发的伪造ChatGPT应用程序作为初始熏染前言，该程序使用常见的Rust库来规避起源检测，但在执行时仅显示空缺屏幕，并隐藏一个包括恶意负载的加密数据数组。在后续阶段，恶意软件会接纳名称哈希算法定位要害的Windows API函数，以分派内存、加载PipeMagic后门、设置设置并启动恶意软件。PipeMagic木马具有奇异的功效，能够天生一个16字节的随机数组，用于建设命名管道以实现隐藏通讯和下令执行，其下令和控制（C2）服务器被托管在Microsoft Azure上。

https://securityonline.info/pipemagic-trojan-exploits-fake-chatgpt-app-to-target-saudi-arabian-organizations/

2. ErrorFather运动使用未被发明Cerberus银行木马举行重大攻击

10月15日，网络清静提供商Cyble报告了一项新的重大恶意运动，该运动正在使用未被发明的Cerberus Android银行木马负载。Cyble发明了15个冒充Chrome和Play Store应用的恶意样本，这些样本接纳多阶段投放器安排银行木马负载，并使用了Cerberus银行木马。Cerberus是一种可以窃取银行应用程序登录凭证、信用卡详细信息和其他小我私家信息的恶意程序，自2019年泛起以来已成为最著名的银行木马之一。只管其源代码在2020年泄露，导致泛起了新的变种如Alien和ERMAC，但Cerberus及其分支仍在一直被重新使用。此次ErrorFather运动中，威胁行为者对恶意软件举行了稍微修改，但主要基于原始的Cerberus代码，接纳了重大的熏染链，使检测和删除事情变得重大。最终的有用载荷接纳键盘纪录、笼罩攻击、VNC和域天生算法(DGA)来执行恶意运动。Cyble建议用户仅从官方应用市肆下载软件，使用着名防病毒和互联网清静软件包，使用强密码和多因素身份验证，启用生物识别清静功效，并确保Android装备上启用了Google Play Protect。

https://www.infosecurity-magazine.com/news/cerberus-android-banking-trojan/

3. CISA忠言SolarWinds WHD软件严重清静误差正被起劲使用

10月16日，美国网络清静和基础设施清静局（CISA）宣布，已将影响SolarWinds Web Help Desk (WHD) 软件的严重清静误差CVE-2024-28987（CVSS评分9.1）添加到其已知被使用误差（KEV）目录中，并指出已有证据批注该误差正在被自动使用。此误差与硬编码凭证相关，可能使远程未经身份验证的用户获得会见权限并举行数据修改。SolarWinds在2024年8月下旬首次果真了该误差详情，随后网络清静公司Horizon3.ai进一步提供了手艺细节。清静研究员扎克·汉利指出，该误差能让攻击者远程读取和修改资助台票证中的敏感信息，如重置密码请求和服务帐户凭证。只管现在尚不清晰该误差的详细使用情形和使用者身份，但这一发明紧随CISA两个月前将统一软件中的另一高危误差（CVE-2024-28986，CVSS评分9.8）纳入KEV目录之后。鉴于此，联邦民事行政部分（FCEB）机构需在2024年11月5日前应用最新修复程序（版本12.8.3 Hotfix 2或更高），以确保网络清静。

https://thehackernews.com/2024/10/cisa-warns-of-active-exploitation-in.html

4. 黑客使用EDRSilencer红队工具绕过清静防护举行攻击

10月15日，研究职员克日发明了一种名为EDRSilencer的红队操作工具，该工具能够识别清静工具并将其向治理控制台发出的警报静音，从而资助攻击者逃避检测。EDRSilencer是一个开源工具，受MdSec NightHawk FireBlock启发而开发，可检测运行中的端点检测和响应（EDR）历程，并使用Windows过滤平台（WFP）监控、阻止或修改网络流量。通过自界说规则，攻击者可以破损EDR工具与其治理服务器之间的数据交流，阻止警报和遥测报告的发送。在最新版本中，EDRSilencer可检测并阻止16种现代EDR工具。趋势科技等网络清静公司对EDRSilencer举行了测试，发明一些受影响的EDR工具可能仍能发送报告，但EDRSilencer允许攻击者扩展目的历程列表以涵盖种种清静工具。这使得恶意软件或其他恶意运动可能仍未被发明，增添了攻击乐成的可能性。趋势科技建议将EDRSilencer作为恶意软件举行检测，并实验多条理的清静控制来提防此类攻击。

https://www.bleepingcomputer.com/news/security/edrsilencer-red-team-tool-used-in-attacks-to-bypass-security/

5. OwlTing因AWS S3存储桶设置过失，袒露765,000用户敏感数据

10月15日，区块链手艺公司OwlTing因设置过失的亚马逊S3存储桶，意外袒露了765,000名用户的敏感数据，主要影响台湾的旅馆客人。泄露的数据包括全名、电话号码、电子邮件地点以及旅馆预订详情等小我私家信息。OwlTing建设于2010年，是一家服务于全球旅游、食物清静、旅馆、媒体和其他电子商务领域并提供着名区块链解决计划的台湾公司。OwlTing确认了数据泄露，但声称不涉及敏感数据，然而Cybernews研究职员忠言说，这些信息可能导致身份偷窃和诓骗。泄露的数据对网络犯法分子来说很是有价值，可能被用于鱼叉式网络垂纶、语音垂纶、短信垂纶等攻击。Cybernews建议接纳一系列步伐来缓解亚马逊S3存储桶袒露的危害，包括限制果真会见、监控会见日志、启用服务器端加密等。

https://cybernews.com/security/taiwan-visitors-exposed-in-massive-data-leak-owlting/

6. 朝鲜黑客组织ScarCruft使用IE零日误差提倡攻击

10月16日，朝鲜黑客组织ScarCruft（又称APT37或RedEyes）于5月提倡大规模攻击，使用Internet Explorer的零日误差CVE-2024-39178，通过特制的Toast弹出广告熏染目的装备，植入RokRAT恶意软件以窃取数据。该误差为类型混淆误差，ASEC和NCSC发明后迅速通知微软，微软于8月宣布清静更新修复。研究职员指出，此次攻击的误差与ScarCruft已往使用的CVE-2022-41128误差相似，仅增添三行代码以绕过旧修复。ScarCruft入侵韩国广告公司服务器，在盛行免费软件中推送含恶意iframe的Toast广告，当由Internet Explorer渲染时，触发远程代码执行。RokRAT变种每30分钟将特定文件传输至Yandex云实例，同时执行键盘纪录、监视剪贴板更改和屏幕截图捕获。攻击通过四步历程注入“explorer.exe”历程以逃避检测，若检测到Avast或Symantec防病毒软件，则将恶意软件注入随机可执行文件中。通过在Windows启动时添加最终有用负载并注册到系统调理程序中，实现长期性熏染。

https://www.bleepingcomputer.com/news/security/malicious-ads-exploited-internet-explorer-zero-day-to-drop-malware/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究