StrelaStealer攻击欧盟和美国的 100 多个组织或企业

首页 > 宁静研究 > 宁静通报 > 宁静简讯

StrelaStealer攻击欧盟和美国的 100 多个组织或企业

宣布时间 2024-03-25

1. StrelaStealer攻击欧盟和美国的 100 多个组织或企业

3月24日，在Unit 42最近的一份陈诉中Palo Alto Networks 的研究人员发现了一系列新的网络钓鱼攻击，旨在流传名为 StrelaStealer 的恶意软件。这一威胁已影响到欧盟和美国的 100 多个组织。这些攻击是通过带有启动 StrelaStealer DLL负载的附件的垃圾邮件来执行的。为了逃避检测，攻击者会定期更改初始电子邮件中附件的文件格式。StrelaStealer 于 2022 年 11 月首次检测到，旨在从流行的邮件客户端窃取电子邮件帐户数据，并将这些信息传输到攻击者控制下的服务器。自该恶意软件泛起以来，研究人员记录了两次部署该恶意软件的重大活动：一次于 2023 年 11 月，另一次于 2024 年 1 月。这些活动针对的行业包罗技术、金融、专业和执法服务、制造、能源、保险、建筑等。

https://meterpreter.org/strelastealer-attacks-hit-100-organizations/

2. Apple M 系列芯片微架构严重漏洞，可导致Mac 设备密钥泄露

3月24日，研究人员发现了 Apple M 系列芯片微架构中的一个严重漏洞，使犯罪分子能够从 Mac 设备（包罗计算机和条记本电脑）中提取密钥。问题的症结在于，该漏洞与芯片设计有本质联系，仅靠软件更新无法完全修复。该漏洞与数据内存预取功效相关，该功效通过预测未来的内存请求来优化信息处置。此功效可能会误解加密密钥，从而为通过专门攻击提取密钥铺平门路。一个国际研究团队设计了一种名为 GoFetch 的攻击，说明了无需设备管理权限即可提取密钥的可行性。这种攻击可以在专有的 M1 和 M2 芯片上执行，影响传统加密算法和反抗量子计算的算法。密钥提取过程从不到一小时到十小时不等，具体取决于加密密钥的类型和所接纳的算法。这表明该漏洞能够规避尺度加密防御机制。为了防范此漏洞，加密软件开发人员必须在其软件中实施特别的宁静机制，这可能会导致加密操作期间的性能下降。提议的�；ご胧┌奘萜帘魏徒χ米频矫挥� DMP 的处置器内核。研究人员还提出了一种恒久解决方案，涉及扩展硬件和软件交互，以便在要害操作期间停用 DMP。这可以资助阻止攻击，而不会显着影响整体性能。

https://meterpreter.org/unfixable-apple-chip-issue-secret-keys-vulnerable/

3. 微软将关闭针对俄罗斯企业的 50 项云服务的访问

3月23日，微软计划在 3 月底之前限制俄罗斯组织对 50 多种云产物的访问，这是欧盟监管机构去年 12 月对该国宣布的制裁要求的一部门。暂停最初定于 2024 年 3 月 20 日进行，但后来推迟到本月底，以便受影响的实体有更多时间来制定替代解决方案。有关即将暂停的消息最先由 Softline Group of Companies 报道，该公司是俄罗斯现存最大的 IT 服务提供商之一。微软的信中没有具体说明哪些服务将被取消，但塔斯社已经列出了 50 多种产物的清单，这些产物将在 3 月底停止提供。已明确，许可证失效影响俄罗斯从事建筑、设计、施工、制造、媒体、教育和娱乐、建筑信息模型（BIM）、计算机辅助设计（CAD）和计算机辅助制造的公司和组织（凸轮）。但是，没有宣布限制个人访问的计划，因此假设上述产物仍可供普通用户使用。

https://www.bleepingcomputer.com/news/microsoft/microsoft-to-shut-down-50-cloud-services-for-russian-businesses/

4. SIGN1 恶意软件活动已熏染 39000 多个 WORDPRESS 网站

3月23日，Sucuri 的 Sucurity 研究人员发现了一个名为 Sign1 的恶意软件活动，该活动在过去六个月内已经危害了 39,000 个 WordPress 网站。专家们发现，威胁行为者入侵了网站，植入恶意 JavaScript 注入，将访问者重定向到恶意网站。Sign1 背后的威胁加入者将恶意 JavaScript 注入合法插件和 HTML 小部件中。注入的代码包罗一个硬编码的数字数组，它使用 XOR 编码来获取新值。专家对 XOR 编码的 JavaScript 代码进行了解码，发现它用于执行远程服务器上托管的 JavaScript 文件。研究人员注意到，攻击者接纳动态更改的 URL，动态 JavaScript 代码的使用允许每 10 分钟更改一次 URL。该代码在访问者的浏览器中执行，导致网站访问者泛起不需要的重定向和广告。Sign1 活动最初由研究员Denis Sinegubko在 2023 年下半年发现，Sucuri 陈诉称，自 2023 年 7 月 31 日以来，威胁行为者利用了多达 15 个差异的域。

https://securityaffairs.com/160942/hacking/sign1-malware-campaign.html

5. 美国政府宣布针对公共部门的新 DDoS 攻击指南

3月22日，美国政府为公共部门实体宣布了新的漫衍式拒绝服务 (DDoS) 攻击指南，以资助防止要害服务中断。该文件旨在作为综合资源，解决联邦、州和地方政府机构在防御 DDoS 攻击方面面临的具体需求和挑战。该通报指出，DDoS 攻击是指大量受熏染的计算机向目标系统发送大量流量或请求，导致用户无法使用该攻击，这种攻击很难追踪和阻止。这种媒介通常被出于政治动机的攻击者使用，包罗黑客活动分子和民族国家团体，政府网站经常成为攻击目标。例如，自 2022 年 2 月克里姆林宫入侵该国以来，与俄罗斯和乌克兰有关的黑客经常使用 DDoS 攻击对方政府网站。2023 年 10 月，英国王室官方网站因 DDoS 事件而下线，俄罗斯黑客组织 Killnet 声称对此次攻击卖力。

https://www.infosecurity-magazine.com/news/us-ddos-attack-guidance-public/?&web_view=true

6. 俄罗斯黑客利用 WineLoader 恶意软件瞄准德国政党

3月23日，研究人员警告称，与俄罗斯对外情报局（SVR）有联系的黑客组织首次针对德国政党，将其焦点从典型的外交使团目标转移开。网络钓鱼攻击旨在部署名为 WineLoader 的后门恶意软件，该恶意软件允许威胁行为者远程访问受熏染的设备和网络。APT29（也称为 Midnight Blizzard、NOBELIUM、Cozy Bear）是一个俄罗斯间谍黑客组织。该黑客组织与许多网络攻击有关，包罗 2020 年 12 月污名昭著的SolarWinds 供应链攻击。这些年来，威胁行为者一直保持活跃，通常使用一系列网络钓鱼计谋或供应链妥协来针对政府、大使馆、高级官员和种种实体。APT29 最近的重点是云服务，破坏 Microsoft 系统并窃取 Exchange 帐户的数据，并破坏Hewlett Packard Enterprise使用的 MS Office 365 电子邮件环境。

https://www.bleepingcomputer.com/news/security/russian-hackers-target-german-political-parties-with-wineloader-malware/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究