新发现的 RustDoor 恶意软件冒充 Visual Studio 更新

首页 > 宁静研究 > 宁静通报 > 宁静简讯

新发现的 RustDoor 恶意软件冒充 Visual Studio 更新

宣布时间 2024-02-22

1. 新发现的 RustDoor 恶意软件冒充 Visual Studio 更新

2月20日，新发现的 Apple macOS 后门名为 RustDoor，它通过庞大的恶意软件活动针对加密货币领域的多家公司。该恶意软件接纳 Rust 开发，可在基于 Intel 的架构和 ARM 架构上运行。Bitdefender 的研究人员至少从 2023 年 11 月起就一直在跟踪该恶意软件，发现它与与污名昭著的ALPHV/BlackCat 勒索软件团伙相关的 C2 服务器进行通信。RustDoor 主要作为 Visual Studio for Mac 的更新法式进行分发，具有差异的名称,如“zshrc2”、“Previewers”、“VisualStudioUpdater”、“VisualStudioUpdater_Patch”、“VisualStudioUpdating”、“visualstudioupdate”和“DO_NOT_RUN_ChromeUpdates”。熏染系统后，恶意软件与 C2 服务器通信以控制受熏染的系统、执行任务并窃取数据。

https://cyware.com/news/newly-discovered-rustdoor-malware-impersonates-visual-studio-update-148f6632/?web_view=true

2.Earth Preta 针对亚洲的攻击活动：DOPLUGS 恶意软件威胁

2月20日，Check Point 的深入威胁分析分析了高级连续威胁 (APT) 组织 Earth Preta 的连续行动。尽管其欧洲活动受到广泛监控，但不行否认的是，其对亚洲目标的高度关注。这一定制计谋的要害是一种名为 DOPLUGS 的定制恶意软件，它是最近一系列入侵中利用的要害工具。分析表明，这种定制的 PlugX 变体远非典型。Check Point 的研究人员认识到其奇特的属性，并将其命名为 DOPLUGS。与具有全套后门命令的传统 PlugX 恶意软件差异。有趣的是，Check Point 发现了能够利用“KillSomeOne”USB 蠕虫病毒的 DOPLUGS 变体（最初于 2020 年曝光）。这一增加的维度有助于在受熏染的网络中快速移动，凸显了威胁组织追求更广泛的渗透。

https://securityonline.info/earth-pretas-targeted-asian-campaigns-the-doplugs-malware-threat/

3.DNS 漏洞 KeyTrap 可导致互联网大范围的中断

2月21日，尽管它自 2000 年以来就一直存在，但研究人员最近才发现域名系统 (DNS) 宁静扩展中的一个基本设计缺陷，该缺陷在某些情况下可能会被利用来摧毁大范围的互联网。DNS 服务器将网站 URL 转换为 IP 地址，而且在大多数情况下不行见地承载所有互联网流量。这一发现背后的团队来自德国 ATHENE 国家应用网络宁静研究中心。他们将该宁静漏洞命名为“KeyTrap”，编号为CVE-2023-50387。凭据他们关于 KeyTrap DNS 错误的新陈诉，研究人员发现，使用 DNSSEC 扩展发送到 DNS 服务器实现来验证流量的单个数据包可能会迫使服务器进入解析循环，从而导致其消耗所有自己的计算能力。凭据该陈诉和 ISC 的说法，好消息是，到目前为止，还没有任何主动利用的证据。

https://www.darkreading.com/cloud-security/keytrap-dns-bug-threatens-widespread-internet-outages

4. Joomla 远程代码执行漏洞 CVE-2024-21726

2月20日，研究团队最近的一项发现袒露了流行的Joomla内容管理系统 (CMS)中的一个重要的宁静问题。此漏洞指定为CVE-2024-21726，为多种跨站脚本 (XSS) 攻击打开了大门，攻击者可以利用此权限窃取敏感数据、重定向网站流量、破坏网站或安装持久性恶意软件以进一步危害。Joomla 行动迅速，宣布了补丁版本（5.0.3、4.4.3、3.10.15-elts））�？稍黾� Web 应用法式防火墙 (WAF) 和定期恶意软件扫描，以增加针对攻击的特别屏障。强制执行“最小权限”计谋，仅向需要完全网站控制的人员授予管理访问权限。

https://securityonline.info/cve-2024-21726-patch-now-to-stop-joomla-remote-code-execution/

5. VMware 敦促用户卸载已弃用的增强型身份验证插件

2月21日，在发现严重宁静漏洞后，VMware 敦促用户卸载已弃用的增强型身份验证插件 (EAP)。该漏洞编号为CVE-2024-22245（CVSS 评分：9.6），被描述为任意身份验证中继错误。恶意行为者可能会欺骗在网络浏览器中安装了 EAP 的目标域用户，请求并转发任意 Active Directory 服务主体名称 (SPN) 的服务票证。EAP是一个软件包，旨在允许通过 Web 浏览器直接登录 vSphere 的管理界面和工具，自 2021 年 3 月起已弃用。默认情况下不包罗它，也不属于 vCenter Server、ESXi 或 Cloud Foundation。值得指出的是，这些缺陷仅影响已将 EAP 添加到 Microsoft Windows 系统以通过 vSphere Client 连接到 VMware vSphere 的用户。

https://thehackernews.com/2024/02/vmware-alert-uninstall-eap-now-critical.html

6. Linux 恶意软件活动 Migo 瞄准 Redis 进行挖矿

2月20日，宁静研究人员发现了针对流行数据存储系统 Redis 的庞大恶意软件活动。该活动被称为“Migo”，接纳新颖的计谋来破坏 Redis 服务器，最终目标是在 Linux 主机上挖掘加密货币。特别是，Cado 宁静实验室研究人员视察到，Migo 利用新的 Redis 系统弱化命令来利用数据存储进行加密劫持。与之前针对 Redis 的攻击差异，此活动引入了奇特的技术来危害系统的宁静。攻击的初始访问阶段涉及使用特定的 CLI 命令禁用 Redis 的种种配置选项。例如，攻击者关闭�；つＪ胶透北局欢恋裙πб源俳涠褚饣疃��；竦梅梦嗜ㄏ藓�，攻击者设置了一系列命令来执行从 Transfer.sh 和 Pastebin 等外部来源检索到的恶意负载。这些有效负载旨在在后台挖掘加密货币，同时保持不被发现。

https://www.infosecurity-magazine.com/news/linux-malware-migo-targets-redis/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究