Magnet Goblin 黑客组织利用漏洞部署 Nerbian RAT

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Magnet Goblin 黑客组织利用漏洞部署 Nerbian RAT

宣布时间 2024-03-12

1. Magnet Goblin 黑客组织利用漏洞部署 Nerbian RAT

3月11日，一个名为Magnet Goblin的出于经济动机的威胁行为者正在迅速将1day宁静漏洞纳入其武器库，以便伺机破坏边缘设备和面向公众的服务，并在受熏染的主机上部署恶意软件。对手提倡的攻击利用未修补的 Ivanti Connect Secure VPN、Magento、Qlik Sense 以及可能的 Apache ActiveMQ 服务器作为初始熏染媒介来获得未经授权的访问。据称该组织至少自 2022 年 1 月起就一直活跃。乐成利用此漏洞后，会部署一个名为 Nerbian RAT 的跨平台远程访问木马 (RAT)，该木马由 Proofpoint 于 2022 年 5 月首次披露，其简化变种为 MiniNerbian。Darktrace之前曾强调过 Linux 版本 Nerbian RAT 的使用。这两种病毒都允许执行从命令与控制 (C2) 服务器接收的任意命令，并泄露返回给它的结果。Magnet Goblin 使用的其他一些工具包罗WARPWIRE JavaScript 凭证窃取法式、基于 Go 的隧道软件 Ligolo，以及合法的远程桌面产物（例如 AnyDesk 和 ScreenConnect）。

https://thehackernews.com/2024/03/magnet-goblin-hacker-group-leveraging-1.html

2. 针对美国和欧洲企业的新 DoNex 勒索软件

3月11日，美国和欧洲各地的企业都处于高度戒备状态，因为一种被称为“DoNex”的新型勒索软件一直在积极危害企业并声称受害者。对于这种突发威胁，网络宁静专家加班加点地了解攻击的全部范围并制定对策。DoNex 勒索软件组织通过在其暗网门户（可通过 Onion 网络访问）上将多家公司列为受害者而闻名。该团伙的手段尤为阴险，接纳双重勒索手段。这不仅涉及文件加密，然后附加一个唯一的。VictimID 扩展，而且还会泄露敏感数据，将其作为人质，以向受害者施加特别压力，要求其支付赎金。受影响的公司在其系统上发现了名为 Readme.VictimID.txt 的勒索字条，该字条指示他们通过 Tox Messenger 与 DoNex 组织建立联系，Tox Messenger 是一种点对点即时消息服务，以其宁静和匿名功效而闻名。

https://gbhackers.com/donex-ransomware-observed/

3. 伪装成 Notion 安装法式的 MSIX 恶意软件

3月11日，伪装成 Notion 安装法式的 MSIX 恶意软件正在分发。分发网站看起来与实际的 Notion 主页相似。安装后，StartingScriptWrapper.ps1 和refresh.ps1 文件将在应用法式的路径内创建。StartingScriptWrapper.ps1 文件是一个合法文件，包罗 MS 签名，具有执行作为参数给出的 Powershell 脚本的功效。该文件允许在安装过程和执行特定 Powershell 脚本期间读取包内的 config.json 配置文件。此命令从 C2 服务器下载附加 Powershell 命令并执行它们。C2服务器目前没有正确响应，但分析团队在开端分析期间确认了LummaC2恶意软件的漫衍。在运行文件之前，用户应该检查文件是否来自官方网站的域，即使文件是使用合法证书签名的，也要检查签名作者。建议在执行 MSIX 文件时格外小心，因为多种恶意变体不仅会伪装 Notion，还会伪装 Slack、WinRar 和 Bandicam 等应用法式。

https://asec.ahnlab.com/en/62815/

4. 日本将 PyPI 供应链网络攻击归咎于朝鲜

3月11日，日本网络宁静官员警告称，朝鲜污名昭著的 Lazarus Group 黑客团队最近针对 Python 应用法式的 PyPI 软件存储库发动了供应链攻击。威胁加入者上传了名为“pycryptoenv”和“pycryptoconf”等受污染的包，其名称与合法的 Python 加密工具包“pycrypto”类似。被诱骗将恶意软件包下载到 Windows 计算机上的开发人员会熏染一种名为 Comebacker 的危险特洛伊木马。Gartner 高级总监兼分析师 Dale Gardner 将 Comebacker 描述为一种通用木马，用于投放勒索软件、窃取凭证和渗透开发流程。Comebacker 已被部署在与朝鲜有关的其他网络攻击中，包罗对 npm 软件开发存储库的攻击。

https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack

5. 黑客利用 WordPress 插件缺陷用恶意软件熏染 3300 个网站

3月10日，黑客利用 Popup Builder 插件过时版本中的漏洞入侵 WordPress 网站，用恶意代码熏染 3,300 多个网站。攻击中利用的缺陷被追踪为 CVE-2023-6000，这是一个影响 Popup Builder 版本 4.2.3 及更早版本的跨站点脚本 (XSS) 漏洞，最初于 2023 年 11 月披露。今年年初发现的 Balada Injector 活动利用该特定漏洞熏染了 6,700 多个网站，这表明许多网站管理员没有足够快地修补补丁。Sucuri 现在陈诉发现一个新的活动在过去三周内显着增加，针对的是 WordPress 插件上的相同漏洞。凭据 PublicWWW 的结果，在3,329 个 WordPress 网站中发现了与这一最新活动相关的代码注入，Sucuri 自己的扫描仪检测到了 1,170 个熏染。

https://www.bleepingcomputer.com/news/security/hackers-exploit-wordpress-plugin-flaw-to-infect-3-300-sites-with-malware/

6. 泽西岛金融服务委员会的数据泄露

3月7日，泽西岛金融服务委员会的数据泄露导致非果然姓名和地址的访问。该组织于 1 月 23 日确认其注册系统中检测到一个“漏洞”。该公司体现，此次泄密事件并未将任何个人与注册实体或所担任的角色联系起来，而且已单独写信给那些姓名和地址被泄露的人。开端法医审查发现泄漏是由于第三方提供的注册系统配置错误造成的。该组织体现：“我们对发生这种情况深感遗憾，目前正在进一法式查以确定这是如何发生的。”JFSC 体现正在与泽西岛信息专员办公室合作。卖力金融服务的副部长伊恩·戈斯特体现，此次泄露影响了系统中“有限数量的条目”。他增补道：“我对发生这一错误感应歉仄，我了解联合金融服务委员会正在进行最彻底的视察，以确保汲取教训，并革新和加强挂号册的设计。

https://www.bbc.com/news/articles/cnk5zyypw24o?&web_view=true

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究