AgentTesla基于无文件 .NET 的代码注入进行流传

首页 > 宁静研究 > 宁静通报 > 宁静简讯

AgentTesla基于无文件 .NET 的代码注入进行流传

宣布时间 2024-04-30

1. AgentTesla基于无文件 .NET 的代码注入进行流传

4月29日，最近的恶意软件活动使用 Word 文档中的 VBA 宏来下载并执行 64 位 Rust 二进制文件。该二进制文件接纳无文件注入技术将恶意 AgentTesla 有效负载加载到其内存空间中。该恶意软件利用 CLR 托管（一种本机进程执行 .NET 代码的机制）来实现此目的，而且动态加载 .NET 运行时库，从而允许恶意软件在不将文件写入光盘的情况下进行操作。该恶意软件通过修补“EtwEventWrite”API 来禁用 Windows 事件跟踪 (ETW)，然后从特定 URL 下载包罗 AgenetTesla 有效负载的 shellcode。然后使用“EnumSystemLocalesA”API 执行 shellcode。

https://gbhackers.com/clr-hosting-used-by-agenttesla/

2. 针对 USPS 的网络钓鱼活动与 USPS 自己一样多

4月26日，Akamai 研究人员发现了大量极有可能的恶意活动和声称与美国邮政服务 (USPS) 相关的域名。Akamai 研究人员将五个月的合法域名 usps[.]com 的 DNS 流量与非法组合抢注域名的 DNS 流量进行了比力。恶意域与 usps[.]com 的总查询计数几乎相同，即使仅计算包罗明确 USPS 缩写词的域也是如此。尽管在此分析中，USPS 赢得了这 5 个月期间总查询量的 51%，但我们过滤数据的方式表明，恶意流量明显凌驾了现实世界中的合法流量。我们看到恶意行为者接纳了两种差异的要领：他们要么将流量疏散到许多差异的域名，要么仅使用几个域，每个域都有大量流量。这可能是出于混淆目的：运营商和其他托管提供商意识到这些诈骗的普遍存在，并正在警惕地实验识别和删除这些页面�？悸堑较庑┢值墓刈⑺�，他们的结果和我们的视察更令人担忧。

https://www.akamai.com/blog/security-research/phishing-usps-malicious-domains-traffic-equal-to-legitimate-traffic

3. 谷歌浏览器的新后量子加密技术可能会破坏 TLS 连接

4月28日，一些 Google Chrome 用户陈诉在 Chrome 124 上周宣布后，在默认启用新的抗量子 X25519Kyber768 封装机制的情况下，连接到网站、服务器和防火墙时泛起问题。谷歌已测试量子宁静 TLS 密钥封装机制，现已在最新的 Chrome 版本中为所有用户启用。新版本利用用于 TLS 1.3 和 QUIC 连接的 Kyber768 抗量子密钥协商算法来�；� Chrome TLS 流量免受量子密码分析。这些错误不是由 Google Chrome 中的错误引起的，而是由 Web 服务器未能正确实现传输层宁静性 (TLS) 以及无法处置用于后量子加密的较大 ClientHello 消息引起的。如果不支持 X25519Kyber768，这会导致他们拒绝使用 Kyber768 抗量子密钥协商算法的连接，而不是切换到经典加密。

https://www.bleepingcomputer.com/news/security/google-chromes-new-post-quantum-cryptography-may-break-tls-connections/

4. Kotak Mahindra 银行被禁止应用法式注册新客户

4月28日，印度储蓄银行已实施对 Kotak Mahindra 银行的禁令，禁止通过在线服务和应用法式注册新客户。该措施是在IT系统管理中发现重大缺陷后接纳的，这些缺陷包罗IT资产管理、更新和变换、用户访问、供应商相关风险、数据宁静、数据泄露预防计谋和灾难恢复计谋。Kotak Mahindra Bank 为凌驾 4100 万客户提供服务，管理着凌驾 5000 亿美元的资产，该银行在 2022/2023 财年年度陈诉中体现，该银行一直致力于加强宁静措施。然而，央行认为这些努力不够。历时两年的检查显示，该行未能充实解决IT风险和信息宁静管理问题。此外，该银行还经历了影响客户的技术故障，引发了人们对其保持运营弹性与其增长率保持一致的能力的担忧。

https://meterpreter.org/rbi-cracks-down-on-kotak-mahindra-online-banking-halt/

5. 黑客声称已渗透白俄罗斯的主要宁静部门

4月28日，白俄罗斯黑客组织声称已渗透到该国主要克格勃宁静机构的网络，并访问了该组织 8600 多名员工的人事档案，该组织仍以其苏联名称命名。为了支持其说法，白俄罗斯网络游击队在消息应用法式 Telegram 的页面上宣布了该网站管理员、数据库和服务器日志的列表。网络游击队在过去四年中对白俄罗斯官方媒体进行了数次大规模攻击，并在 2022 年对白俄罗斯铁路进行了 3 次黑客攻击，劫持了交通灯和控制系统的控制权。

https://www.securityweek.com/hackers-claim-to-have-infiltrated-belarus-main-security-service/

6. 抓取Discord的6.2亿条信息的Spy.pet已关闭

4月29日，该网站自去年 11 月以来一直在窃取 Discord 用户的公共数据，并于上周被发现该平台包罗来自 14000 多台 Discord 服务器的近 6.2 亿用户的消息后被曝光。当 Spy.pet 被发现时，Discord 正在努力对任何违反其服务条款的人接纳行动，但无法透露更多信息。Discord已经禁用与Spy.pet 网站有关的帐户。Spy.pet 声称可以访问的 Discord 服务器数量上周开始下降，上周四降至零。到周五，Spy.pet 网站自己已经停止运营——尽管尚不清楚该网站是否因为 Discord 的行为而离线。

https://www.theregister.com/2024/04/29/infosec_in_brief/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究