网络犯罪分子利用ZIP串联文件计谋规避宁静检测

宣布时间 2024-11-11

1. 网络犯罪分子利用ZIP串联文件计谋规避宁静检测


11月7日 ,据Cyber Security News报道 ,网络犯罪分子正接纳一种庞大的ZIP串联文件计谋 ,专门攻击Windows用户。这种要领将多个ZIP文件合并为一个存档 ,利用差异ZIP阅读器处置方式的差异 ,使恶意内容更难被宁静软件检测。ZIP串联文件实际上包罗多其中心目录 ,每个目录指向差异的文件集 ,而某些阅读器可能只显示部门内容 ,从而隐藏恶意文件。例如 ,7zip通常只显示第一个存档的内容 ,而WinRAR能读取所有内容 ,包罗隐藏的恶意文件。Windows文件资源管理器在处置这种文件时也存在纷歧致性 ,导致检测威胁不行靠。已有攻击者通过发送伪装成发货通知的网络钓鱼电子邮件 ,利用此技术向受害者发送隐藏的特洛伊木马恶意软件。这种规避技术的乐成在于它能利用工具间的差异 ,许多宁静解决方案也依赖这些工具来扫描档案。因此 ,黑客越来越多地使用这种要领针对特定用户 ,同时逃避其他宁静工具的检测。网络宁静专家提醒用户应提高警惕 ,接纳多种宁静工具和要领来防范此类攻击。


https://cybersecuritynews.com/hackers-employ-zip-file-concatenation/#google_vignette


2. 英国冬季取暖补助诈骗频发 ,警方发出警告


11月9日 ,随着冬季的到来 ,英国老年居民成为诈骗分子的目标 ,他们通过虚假的“冬季取暖补助”和“生活费补助”短信实施诈骗。由于政府近期决定削减约1000万养老金领取者的冬季燃料补助 ,这种诈骗活动更具投机性。诈骗短信诱使居民访问非法域名 ,收集个人信息和付款信息。其中一条短信声称是“最后通知” ,提醒收件人在11月12日前回复以接收补助。该短信中的链接将用户引导至看似GOV.UK的网页 ,实际上是一个网络钓鱼页面 ,旨在诱骗用户交出个人信息和付款详情。网络宁静研究员已识别出约600个与此活动相关的唯一域名 ,证明了该活动的规模和威胁行为者的投入。英国警方已发出警告 ,提醒养老金领取者警惕此类诈骗短信 ,制止点击链接或提供个人信息和付款细节。人们可以向国家网络宁静中心、移动服务提供商或相关机构陈诉疑似诈骗行为。


https://www.bleepingcomputer.com/news/security/scammers-target-uk-senior-citizens-with-winter-fuel-payment-texts/


3. 恶意Python包“fabrice”窃取AWS凭据 ,已下载超3.7万次


11月9日 ,自2021年起 ,一个名为“fabrice”的恶意Python包在Python包索引(PyPI)中泛起 ,通过窃取Amazon Web Services凭据来攻击开发人员。该软件包利用了与合法且广受欢迎的SSH远程服务器管理包“fabric”名称相似的特点 ,已被下载凌驾37,000次。fabrice之所以恒久未被发现 ,部门原因是其部署了先进的扫描工具 ,而且追溯扫描的解决方案较少。该软件包凭据操作系统执行特定操作 ,在Linux上创建隐藏目录存储编码的shell脚本 ,在Windows上下载编码的有效负载并执行Python脚本以获取恶意可执行文件。无论使用什么操作系统 ,fabrice的主要目标都是使用boto3(Amazon Web Services的官方Python SDK)窃取AWS凭证。攻击者将窃取的密钥泄露给由巴黎的M247运营的VPN服务器 ,增加了追踪难度。为减轻此类风险 ,用户应检查从PyPI下载的软件包 ,并使用专门检测和阻止此类威胁的工具。管理员应考虑使用AWS身份和访问管理(IAM)来管理对资源的权限 ,以掩护AWS存储库免受未经授权的访问。


https://www.bleepingcomputer.com/news/security/malicious-pypi-package-with-37-000-downloads-steals-aws-keys/


4. Remcos RAT新变种使用高级技术熏染Windows系统


11月9日 ,Fortinet的FortiGuard实验室发现了一种新的Remcos RAT(远程访问木马)变种正在通过网络钓鱼活动流传 ,针对Microsoft Windows用户。该恶意软件利用CVE-2017-0199漏洞下载并执行HTA文件 ,该文件经过多层混淆处置 ,包罗JavaScript、VBScript、Base64编码等 ,最终下载并执行恶意可执行文件 ,部署Remcos RAT。该恶意软件具有多种持久性机制 ,如向量异常处置等高级反分析技术 ,使用哈希值识别API ,检测调试器的存在 ,并通过进程挖空技术逃避检测。为了保持对设备的控制 ,恶意代码在系统注册表中添加了新的自动运行项。为了掩护自己 ,用户应制止点击电子邮件中的链接或附件 ,使用宁静软件和防病毒软件 ,并保持软件更新最新补丁。


https://hackread.com/hackers-use-excel-files-remcos-rat-variant-windows/


5. Newpark Resources遭勒索软件攻击 ,信息系统和业务应用中断


11月8日 ,德克萨斯州油田供应商Newpark Resources在2024年10月29日遭受了一次勒索软件攻击 ,导致其部门信息系统和业务应用法式的访问被中断。该公司迅速启动了网络宁静应急计划 ,并在外部专家的协助下对事件进行了内部视察 ,以评估和停止威胁。尽管此次攻击对公司的信息系统和业务应用法式造成了影响 ,但Newpark Resources的制造和现场运营基本未受影响 ,仍继续执行既定的停机法式。目前 ,公司尚未确定此次勒索软件事件的全部成本和影响 ,但预计不会对财政状况或运营发生重大影响。Newpark Resources没有透露有关此次攻击的详细信息 ,包罗熏染其系统的恶意软件家族 ,同时也没有勒索软件组织声称对此次宁静漏洞卖力。未来 ,如果情况发生变化 ,该公司将更新相关信息披露。


https://securityaffairs.com/170696/cyber-crime/newpark-resources-ransomware-attack.html


6. Veeam VBR漏洞再遭利用 ,Frag勒索软件肆虐


11月8日 ,Veeam Backup & Replication (VBR) 软件的一个要害宁静漏洞(CVE-2024-40711)最近被利用来部署Frag勒索软件 ,此前该漏洞已被Akira和Fog勒索软件攻击者利用。该漏洞由不受信任数据反序列化弱点引起 ,可导致远程代码执行。Veeam在9月4日宣布了宁静更新 ,而watchTowr Labs和Code White在披露该漏洞时推迟分享更多细节 ,以制止被勒索软件团伙滥用。然而 ,Sophos X-Ops发现 ,这些延迟并未能阻止Akira和Fog勒索软件攻击 ,同一威胁活动集群也使用了该漏洞部署Frag勒索软件。Frag勒索软件团伙在攻击中大量使用受熏染系统上已有的合法软件(LOLBins) ,使得防御者难以检测到他们的活动。Veeam体现 ,全球有凌驾550,000名客户使用其产物 ,包罗全球2,000强榜单中约74%的公司 ,因此该漏洞的影响范围广泛。


https://www.bleepingcomputer.com/news/security/critical-veeam-rce-bug-now-used-in-frag-ransomware-attacks/