恶意软件Blank Grabber针对Python开发人员窃取信息

首页 > 宁静研究 > 宁静通报 > 宁静简讯

恶意软件Blank Grabber针对Python开发人员窃取信息

宣布时间 2024-01-16

1. 恶意软件Blank Grabber针对Python开发人员窃取信息

1月14日，Imperva 威胁研究团队最近在 PyPI 中发现了一个名为“sellpass-sdk”的恶意软件包，该软件包是“Blank Grabber”信息窃取恶意软件的流传者。在发生一系列类似事件之后，这一发现标志着 Python 开发的网络宁静领域泛起了令人担忧的趋势。该恶意软件包模仿合法软件包“sellpass”，接纳种种计谋来建立可信度。其中包罗使用相似的作者姓名以及创建多个版本以使其看起来得到积极维护。这种诡计导致该软件包被多次下载，凸显出此类恶意软件可以轻松渗透系统。一旦安装，“Blank Grabber”就会体现出有害行为。它能够阻止受熏染设惫亓来电和消息，防止受害者收到重要警报。该恶意软件执行了庞大的数据泄露和系统入侵计谋。这一事件清楚地提醒人们保持网络宁静警惕的重要性�？⑷嗽焙陀没Ф急匦虢魃餍惺�，尤其是从 PyPI 等存储库获取软件包时。

2. Phemedrone Stealer利用CVE-2023-36025规避检测

1月14日，在最近的一项发现中，趋势科技的网络宁静研究人员发现对 CVE-2023-36025 的积极利用，导致先前未知的恶意软件变体（称为 Phemedrone Stealer）的流传。Phemedrone Stealer 是一种隐形恶意软件，主要针对网络浏览器、加密货币钱包和消息应用法式，包罗Telegram、Steam 和 Discord 等流行平台。这种多方面的恶意软件不仅仅是窃取数据；它还捕捉屏幕截图并收集要害系统信息，例如硬件详细信息、位置和操作系统细节。被盗数据通过 Telegram 或其命令和控制服务器谨慎地传输给攻击者。Phemedrone Stealer 的与众差异之处在于其开源性质，用 C# 编写，并在 GitHub 和 Telegram 上积极维护。Phemedrone Stealer 乐成的泉源在于它利用了 CVE-2023-36025，这是一个影响Microsoft Windows Defender SmartScreen 的漏洞。此漏洞是由于缺乏对 Internet 快捷方式 (.url) 文件的检查和相关提示而导致的，威胁行为者利用这些文件来制作恶意 .url 文件。这些文件下载并执行恶意脚本，有效绕过 Windows Defender SmartScreen 警告和检查。微软于 2023 年 11 月 14 日修补了此漏洞，但攻击利用的泛起促使网络宁静和基础设施宁静局 (CISA) 将其纳入已知利用漏洞 (KEV) 列表中。

3. 研究团队称2023年勒索软件团伙已攻击近5200个企业

1月12日，Rapid7 的一篇博客文章中体现，2023 年将有近 5,200 个组织遭受勒索软件攻击，并从其管理的检测和响应团队的果然披露和事件数据中进行了研究。Rapid7 威胁分析高级总监 Christiaan Beek 在陈诉中体现：“事实上，我们认为这个数字实际上更高，因为它没有考虑到许多可能未被陈诉的攻击。”Rapid7 没有提供 2022 年的数据，但其他公司的研究得出结论，勒索软件攻击的数量正在上升。BlackFog 的数据显示，2023 年下半年的勒索软件攻击数量是2022 年下半年的两倍。虽然勒索软件活动仍然很高，但用于这些攻击的奇特勒索软件家族的数量减少了一半以上，从2022年的95个新家族减少到2023年的43个。比克体现，这表明当前的勒索软件系列和模型正在满足威胁行为者的目标。AlphV 是去年最活跃的威胁组织。2023 年接下来的4个最活跃的勒索软件组织包罗：BianLian；Clop；LockBit 3.0和Play。

4. 凌驾100个以色列组织遭到黑客攻击且大量数据泄露

1月15日，一个名为 Cyber Toufan 的黑客组织据称受到某国支持，声称通过数据删除和偷窃行动入侵了 100 多个以色列组织。这是因该地域日益紧张的政治局势而提倡的全面袭击行动的一部门。宁静研究人员已追踪到凌驾 100 起与 Cyber Toufan 运营相关的攻击，其特点是窃取大量数据（包罗个人信息）并在网络上流传。该黑客组织在其 Telegram 频道上泄露了 59 个组织的数据。然而，该组织在针对托管服务提供商 (MSP) 的攻击中可能已经危害了另外 40 多个组织。该组织泄露的数据包罗服务器的完整磁盘映像、仍然有效且正在使用的 SSL 证书、SQL 转储、CRM，甚至 WordPress 备份。受害者包罗以色列国家档案馆；以色列创新局；以色列住房中心；以色列自然和公园管理局；特拉维夫学院；以色列卫生部；福利和社会事务部、以色列证券管理局；Allot、MAX Security & Intelligence、Radware 和丰田以色列公司等。

5. 研究团队披露Sandworm针对丹麦和乌克兰能源的攻击

1月15日，在网络宁静领域，能源行业仍然是容易受到庞大网络攻击的要害领域。Forescout Vedere Labs 最近的威胁简报揭示了针对丹麦和乌克兰这一领域的两次差异网络攻击，并将其归因于 Sandworm，这是一个以高级连续威胁 (APT) 闻名的俄罗斯军事威胁组织。Forescout Vedere Labs的陈诉对丹麦能源基础设施的两次独立攻击浪潮进行了全面分析。SektorCERT的初法式查结果丹麦要害基础设施计算机紧急响应小组 (CERT) 指出了两次差异的攻击。然而，韦代雷实验室的分析提出了差异的说法。这些攻击的一个值得注意的方面是使用“靠地生存”(LotL) 技术。虽然纷歧定比定制恶意软件更快，但 LotL 提供了隐秘优势，使攻击者能够制止检测并利用现有系统。这种要领凸显了攻击者不停变化的计谋以及对强大防御机制的需求。

6. Balada Injector用Popup Builder攻击WordPress网站

1月15日，Sucuri 研究人员陈诉称，9月份有凌驾 17,000 个 WordPress 网站易受到 Balada Injector的攻击。Balada Injector是一个自 2017 年以来一直活跃的恶意软件家族。该恶意软件支持多种攻击向量和持久性机制。该恶意代码最初由 AV 公司 Doctor Web 于 2022 年 12 月发现。Sucurity 陈诉称，12 月 13 日， Balada Injector 活动开始使用旧版本的 Popup Builder（CVE-2023-6000，CVSS 评分 8.8）熏染网站。威胁行为者使用了最近注册（12 月 13 日）的域名 specialcraftbox[.]com。截至撰写本文时， PublicWWW 在 7100 多个网站上检测到注入。

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究