Nitrogen伪装成 PuTTY 或 FileZilla 部署BlackCat

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Nitrogen伪装成 PuTTY 或 FileZilla 部署BlackCat

宣布时间 2024-04-11

1. Nitrogen伪装成 PuTTY 或 FileZilla 部署BlackCat

4月9日，最初的入侵是从通过 Google 搜索显示的恶意广告开始的。我们视察到了几个差异的广告客户帐户，这些帐户都陈诉给了谷歌。这些诱饵是 IT 管理员常用的实用法式，例如 PuTTY 和 FileZilla。Nitrogen 威胁行为者部署的恶意广告基础设施使用伪装页面，该页面可以重定向到诱饵网站或污名昭著的 Rick Astley 视频。如果活动尚未武器化或恶意服务器检测到无效流量（机器人、爬虫等），则可以激活到诱饵页面的重定向。该恶意广告链的最后一步包罗下载并运行恶意软件有效负载。Nitrogen 使用一种称为 DLL 旁加载的技术，通过该技术，合法且经过签名的可执行文件会启动 DLL。在本例中，setup.exe（来自 Python Software Foundation）侧载python311.dll (Nitrogen)。

https://www.malwarebytes.com/blog/threat-intelligence/2024/04/active-nitrogen-campaign-delivered-via-malicious-ads-for-putty-filezilla

2. 微软修复了 Windows 两个已经被利用的零日漏洞

4月9日，微软在 2024 年 4 月的补丁星期二期间修复了两个被积极利用的零日漏洞，尽管该公司最初未能对它们进行标志。第一个漏洞被跟踪为CVE-2024-26234，被描述为署理驱动法式欺骗漏洞，旨在跟踪使用有效的 Microsoft 硬件刊行商证书签名的恶意驱动法式，该恶意文件被“Catalog Thales”标志为“Catalog Authentication Client Service”，可能是试图冒充 Thales Group。第二个零日漏洞被追踪为CVE-2024-29988，被描述为由�；せ乒收先醯愕贾碌腟martScreen提示宁静功效绕过漏洞。CVE-2024-29988 是 CVE-2024-21412 缺陷的绕过要领，由趋势科技零日计划的 Peter Girnus 以及 Google 威胁分析小组 Dmitrij Lenz 和 Vlad Stolyarov 陈诉。

https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-two-windows-zero-days-exploited-in-malware-attacks/

3. 凌驾9.1万台 LG 智能电视容易受到黑客攻击

4月9日，Bitdefender 研究人员在智能电视上运行的 LG webOS 中发现了多个漏洞，这些漏洞可被用来绕过授权并获得设备的 root 访问权限。研究人员发现的漏洞影响 LG 电视上运行的 WebOS 版本 4 至 7。WebOS 在端口 3000/3001 (HTTP/HTTPS/WSS) 上运行一项服务，LG ThinkQ 智能手机应用法式使用该服务来控制电视。要设置该应用法式，用户必须在电视屏幕上输入 PIN 码。帐户处置法式中的错误使攻击者可以完全跳过 PIN 验证并创建特权用户配置文件。尽管该易受攻击的服务仅用于 LAN 访问，但通过查询 Shodan，他们发现了凌驾 91000 个将该服务袒露到互联网的设备。此时，袒露的设备数量减少至88000个。大多数面向互联网的设备位于韩国、美国、瑞典和芬兰等。

https://securityaffairs.com/161651/hacking/lg-smart-tvs-vulnerable.html

4. GHC-SCW称勒索软件团伙窃取了其53万人的健康数据

4月9日，威斯康星州中南部非营利性医疗服务提供商 Group Health Cooperative (GHC-SCW) 披露，勒索软件团伙于 1 月份侵入其网络，窃取了包罗凌驾 50 万人的个人和医疗信息的文件。然而，攻击者无法加密受熏染的设备，这使得 GHC-SCW 在外部网络事件响应专家的资助下�；て湎低�，并在隔离这些设备以停止漏洞后将其恢复在线。一月份勒索软件攻击期间被盗的健康数据包罗受影响个人的姓名、地址、电话号码、电子邮件地址、出生和/或死亡日期、社会宁静号码、会员号码以及医疗保险和/或医疗补助号码。尽管没有提供受影响人数的具体数字，但与美国卫生与公众服务部共享的其他信息显示，数据泄露影响了 533809 人。

https://www.bleepingcomputer.com/news/security/ghc-scw-ransomware-gang-stole-health-data-of-533-000-people/

5. BatBadBut Rust 漏洞使 Windows 系统面临攻击

4月10日，Rust 尺度库中的一个要害宁静漏洞可能会被利用来针对 Windows 用户并提倡命令注入攻击。该漏洞的编号为CVE-2024-24576，CVSS 评分为 10.0，表明严重水平最高。也就是说，它仅影响在 Windows 上使用不受信任的参数调用批处置文件的场景。Rust 宁静响应事情组在 2024 年 4 月 9 日宣布的通告中体现：在 Windows 上使用 Command API 调用批处置文件（带有 bat 和 cmd 扩展名）时，Rust 尺度库没有正确转义参数。能够控制通报给生成进程的参数的攻击者可以通过绕过转义来执行任意 shell 命令。该缺陷影响 1.77.2 之前的所有 Rust 版本。

https://thehackernews.com/2024/04/critical-batbadbut-rust-vulnerability.html

6. Medusa 团伙称对德克萨斯州某政府机构的攻击卖力

4月9日，塔兰特县评估区（Tarrant County Appraisal District）卖力确定沃斯堡地域用于税收目的的房地产，两周前向 Recorded Future News 证实，该县是勒索软件攻击的受害者。周一，Medusa 网络犯罪团伙声称对这起事件卖力，并威胁称，如果不支付 10 万美元的赎金，他们将在六天内果然近 218 GB 的数据。县官员没有回应有关是否支付赎金的置评请求，但他们于 4 月 3 日宣布警告称，黑客果然了约 300 人的数据。该组织于 2023 年首次泛起，其受害者名单迅速扩大。美杜莎因对丰田和加拿大两家最大银行的攻击而成为头条新闻。

https://therecord.media/tarrant-county-texas-ransomware-attack-medusa

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究