DINODASRAT LINUX 变种针对全球用户

首页 > 宁静研究 > 宁静通报 > 宁静简讯

DINODASRAT LINUX 变种针对全球用户

宣布时间 2024-04-02

1. DINODASRAT LINUX 变种针对全球用户

3月31日,卡巴斯基实验室的研究人员发现了 Linux 版本的多平台后门 DinodasRAT，该后门被用于针对中国、土耳其和乌兹别克斯坦。DinodasRAT（又名 XDealer）是用 C++ 编写的，支持广泛的功效来监视用户并从目标系统窃取敏感数据。ESET 研究人员陈诉称，Windows 版本的 DinodasRAT 被用于针对圭亚那政府实体的攻击。ESET 于 2023 年 10 月首次发现新的 Linux 版本的 DinodasRAT，但专家认为它自 2022 年以来就一直活跃。2024 年 3 月，趋势科技研究人员在视察与中国相关的 APT Earth Lusca活动时发现了由被追踪为 Earth Krahang 的威胁行为者提倡的庞大活动。该活动至少从 2022 年初开始似乎就很活跃，主要针对政府组织。自 2023 年起，Earth Krahang 转移到另一个后门（ TeamT5命名为 XDealer ， ESET 命名为DinodasRAT ）。相比RESHELL，XDealer提供了更全面的后门功效。此外，我们发现威胁行为者同时使用 Windows 和 Linux 版本的 XDealer 来针对差异的系统。

https://securityaffairs.com/161255/malware/linux-variant-dinodasrat-backdoor.html

2. 全球密码喷洒活动针对 VPN 系统可导致系统锁定

3月31日,思科已宣布关于针对全球企业使用的远程访问 VPN (RAVPN) 系统的广泛密码喷洒活动的严重警告。这种攻击激增的目的是用通用密码淹没 VPN 登录，可能会锁定合法用户并扰乱远程事情。密码喷洒活动会影响种种 VPN 提供商，而不仅仅是思科。依赖远程访问的企业需要保持高度警惕。这些攻击的后果不仅仅是未经授权的访问；它们有可能锁定帐户并引发类似拒绝服务 (DoS) 的情况，从而破坏数字操作的无缝流程并损害宁静通信的完整性。该活动凸显了远程访问解决方案所面临的连续威胁。组织必须优先考虑强大的身份验证、警惕的监控和强大的事件响应计划，以领先于不停变化的攻击要领。

https://securityonline.info/global-password-spraying-campaign-targets-vpn-systems-causing-lockouts/

3. 木马化 npm 软件包瞄准加密货币钱包

3月31日,Phylum 研究团队袒露了一个伪装成合法工具包的恶意npm 包。该软件包名为“vue2util”，偷偷地执行了一项庞大的计划，旨在从毫无戒心的加密货币钱包中窃取 USDT 代币。“vue2util”看起来像是尺度实用函数的集合。然而，它隐藏了一个险恶的有效负载，当导入到项目中时，该有效负载会从远程服务器加载恶意脚本。加载的脚本以币安智能链的用户为目标，搜索持有 USDT 加密货币的钱包。恶意软件利用 ERC20 合约（管理 USDT）的审批流程。它允许自己无限制地访问受害者持有的 USDT，无需进一步授权。为了增加乐成的机会，恶意软件巧妙地将其执行链接到用户网页上标志为“buy_btn”的按钮。只需单击一下，受害者就会在不知不觉中触发令牌偷窃。

https://securityonline.info/trojanized-npm-package-targets-cryptocurrency-wallets-steals-usdt/

4. 研究团队发现使用 Google Ads 跟踪功效分发恶意软件

4月1日,AhnLab 宁静情报中心 (ASEC) 最近检测到使用 Google Ads 跟踪功效分发的恶意软件变种。已确认的案例表明，该恶意软件是通过伪装成 Notion 和 Slack 等流行群件的安装法式来流传的。一旦恶意软件安装并执行，它就会从攻击者的服务器下载恶意文件和有效负载。此类恶意软件以安装法式形式分发，通常为 Inno Setup 安装法式或 Nullsoft 脚本安装系统 (NSIS) 安装法式。其中，Notion_software_x64_.exe文件直到最近用户在Google上用要害字“notion”搜索时才泛起。攻击者使用 Google Ads 跟踪来诱骗用户认为他们正在访问合法网站。Google Ads 跟踪允许广告客户插入外部门析网站地址，以收集和使用访问者的访问相关数据来计算广告流量。Google Ads 跟踪最初用于分析网站流量。但是，该特定广告不包罗外部静态站点，而是包罗恶意代码分发站点。

目前攻击者的广告已被删除。

https://asec.ahnlab.com/en/63477/

5. 黑客使用 Microsoft OneNote 来筹谋网络攻击

4月1日,该活动在网络宁静专家的关注下，展示了网络威胁的新趋势，即利用常用的办公应用法式未经授权访问企业网络。pr0xylife 首先在其 GitHub 存储库上记录了该恶意活动。它揭露了针对制造、技术、能源、零售、保险和其他几个行业的公司的广泛电子邮件网络钓鱼操作。这些电子邮件包罗声称是“宁静消息”的 OneNote 附件，这是一种欺骗收件人打开文件的幌子。该活动强调了网络威胁不停演变的情况，攻击者利用对常用应用法式的信任来绕过传统的宁静措施。使用 Microsoft OneNote 文件流传恶意软件代表着向更具缔造性的攻击媒介的转变，因此需要重新评估网络宁静计谋以防范此类威胁。

https://gbhackers.com/microsoft-onenote-orchestrate/

6. TeamCity 修补了 26 个漏洞并保密详细信息

4月1日,在 JetBrains 的连续集成和交付 (CI/CD) TeamCity 最近的软件更新中，解决了 26 个宁静问题。然而，该公司选择不透露有关已发现漏洞的任何细节，引发了专业界的激烈讨论。TeamCity 2024.03 版本更新旨在�；び没馐芮痹谕�，但完全没有有关 26 个漏洞的详细信息，着实让宁静专家感应惊讶。该公司缺乏透明度，特别是在 Rapid7 的专家批评 JetBrains 不够开放的事件之后，一直受到特别批评。JetBrains 声称，保留详细信息只是为了�；な褂镁砂� TeamCity 的客户，尽管这在业界并未得到广泛接受。尽管如此，该公司的意图还是可以理解的。对于想要攻击软件供应链的犯罪分子来说，TeamCity 仍然是一个有吸引力的目标。历史表明，此类攻击可能会发生严重后果，正如 SolarWinds 的案例所示。

https://meterpreter.org/teamcity-patches-26-vulnerabilities-keeps-details-secret/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究