恶意Google广告推送带有隐藏后门的假IP扫描软件

首页 > 宁静研究 > 宁静通报 > 宁静简讯

恶意Google广告推送带有隐藏后门的假IP扫描软件

宣布时间 2024-04-19

1. 恶意Google广告推送带有隐藏后门的假IP扫描软件

4月18日，新的 Google 恶意广告活动正在利用一组模仿合法 IP 扫描软件的域来提供一个以前未知的名为MadMxShell 的后门。威胁行为者使用误植技术注册了多个相似的域名，并利用 Google Ads 将这些域名推至针对特定搜索要害字的搜索引擎结果的顶部，从而引诱受害者访问这些网站。据称，2023 年 11 月至 2024 年 3 月期间注册的域名多达 45 个，这些网站伪装成端口扫描和 IT 管理软件，如 Advanced IP Scanner、Angry IP Scanner、IP 扫描仪 PRTG 和 ManageEngine。虽然这并不是威胁行为者第一次利用恶意广告技术通过相似的网站提供恶意软件服务，但这一生长标志着交付工具首次被用来流传庞大的 Windows 后门。

https://thehackernews.com/2024/04/malicious-google-ads-pushing-fake-ip.html

2. 攻击者利用OpenMetadata在Kubernetes上进行挖矿

4月17日，Microsoft Threat Intelligence 发现了针对运行流行开源元数据平台 OpenMetadata 的 Kubernetes 集群的新攻击活动。攻击者正在利用一系列最近披露的要害漏洞来访问事情负载并安装加密货币挖掘恶意软件。该攻击利用了 1.3.1 之前的 OpenMetadata 版本中存在的多个宁静漏洞（CVE-2024-28255、CVE-2024-28847、CVE-2024-28253、CVE-2024-28848、CVE-2024-28254）。乐成利用该漏洞将赋予攻击者远程执行代码的能力，从而使他们能够完全控制受影响的系统。攻击通常从网络犯罪分子扫描运行易受攻击的 OpenMetadata 实例的袒露于互联网的 Kubernetes 事情负载开始。一旦识别出目标，攻击者就会利用这些漏洞来控制托管 OpenMetadata 的容器。

https://securityonline.info/attackers-exploit-critical-openmetadata-flaws-for-cryptomining-on-kubernetes/

3. SoumniBot 恶意软件利用 Android 漏洞来绕过检测

4月17日，一种名为“SoumniBot”的新 Android 银行恶意软件通过利用 Android 清单提取和解析过程中的弱点，使用一种不太常见的混淆要领。该要领使 SoumniBot 能够规避 Android 手机中的尺度宁静措施并执行信息窃取操作。该恶意软件由卡巴斯基研究人员发现并分析，他们提供了该恶意软件利用 Android 例程解析和提取 APK 清单的要领的技术细节。清单文件（“AndroidManifest.xml”）位于每个应用法式的根目录中，包罗有关组件（服务、广播接收器、内容提供法式）、权限和应用法式数据的详细信息。虽然恶意 APK 可以使用 Zimperium 的种种压缩技巧来愚弄宁静工具并逃避分析，但卡巴斯基分析师发现 SoumniBot 使用三种差异的要领来绕过解析器检查，其中涉及利用清单文件的压缩和巨细。

https://www.bleepingcomputer.com/news/security/soumnibot-malware-exploits-android-bugs-to-evade-detection/

4. FIN7 针对美国汽车制造商的 IT 员工提倡网络钓鱼攻击

4月17日，出于经济动机的威胁组织 FIN7 针对一家美国大型汽车制造商，向 IT 部门的员工发送鱼叉式网络钓鱼电子邮件，以利用 Anunak 后门熏染系统。据黑莓研究人员称，这次攻击发生在去年底，而且依赖于非当地二进制文件、脚本和库 (LoLBas)。威胁行为者将重点放在具有高级权限的目标上，通过冒充合法高级 IP 扫描器工具的恶意 URL 链接来引诱他们。黑莓高度确信此次攻击是由 FIN7 提倡的，因为该攻击使用了奇特的 PowerShell 脚本，该脚本使用了对手的签名“PowerTrash”混淆的 shellcode 调用法式，该脚本首次泛起在 2022 年的一次活动中。在此之前，FIN7 被发现以袒露的Veeam 备份和Microsoft Exchange服务器为目标，并将Black Basta和Clop 勒索软件负载部署到企业网络上。

https://www.bleepingcomputer.com/news/security/fin7-targets-american-automakers-it-staff-in-phishing-attacks/

5. 与俄罗斯有关的Sandworm 攻击军火库中的新后门Kapeka

4月17日，除了微软于 2024 年 2 月 14 日宣布的关于发现一个名为 KnuckleTouch 的新后门的简短描述之外，目前公众对 Kapeka 后门的了解几乎为零。微软将 KnuckleTouch 后门归咎于 SeaShell Blizzard，这是其对 Sandworm 的名称。Microsoft 尚未对此恶意软件进行分析，但 WithSecure 确信 KnuckleTouch 就是 Kapeka。微软和 WithSecure 认为该恶意软件自 2022 年以来一直在使用，但除了 WithSecure 分析之外，人们对 Kapeka 知之甚少。WithSecure 迄今为止只发现了两个野外样本�？悸堑降鼻暗牡卦嫡�，受害者学也表明其起源于俄罗斯：爱沙尼亚和乌克兰。这种有限的遥测可能是因为该恶意软件尚未广泛使用，也可能是因为 Kapeka 齐心协力保持隐秘。

https://www.securityweek.com/kapeka-a-new-backdoor-in-sandworms-arsenal-of-aggression/

6. Visa针对金融机构的JSOutProx日益增加的威胁发出通告

4月17日，Visa 最近宣布了关于特别危险的JSOutProx 恶意软件活动显着增加的严重宁静警报。这种远程访问木马 ( RAT ) 以其对金融机构及其客户的庞大攻击能力而闻名，特别是针对南亚和东南亚、中东和非洲地域。JSOutProx 于 2019 年 12 月首次被发现，是一种高度混淆的 JavaScript 后门，使网络犯罪分子能够执行大量恶意活动。其中包罗运行 shell 命令、下载特别的有害负载、执行文件、捕捉屏幕截图以及完全控制受熏染设备的键盘和鼠标。随着时间的推移，JSOutProx 不停生长，增强了其规避技术以制止检测并增强了其破坏能力。JSOutProx 的初始有效负载支持基本但要害的功效，使攻击者能够对受熏染的系统进行相当大的控制。

https://securityboulevard.com/2024/04/jsoutprox-malware-variant-targeting-financial-orgs-warns-visa/#google_vignette

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究