LATRODECTUS不停更新并分发ICEDID和其他恶意软件

首页 > 宁静研究 > 宁静通报 > 宁静简讯

LATRODECTUS不停更新并分发ICEDID和其他恶意软件

宣布时间 2024-05-22

1. LATRODECTUS不停更新并分发ICEDID和其他恶意软件

5月21日，LATRODECTUS于 2023 年 10 月由沃尔玛研究人员首次发现，是一种在网络犯罪分子中越来越流行的恶意软件加载法式。虽然这被认为是一个新的家族，但由于行为和生长相似性，LATRODECTUS 和ICEDID之间存在紧密联系，包罗下载和执行加密负载（如 ICEDID）的命令处置法式。Proofpoint 和 Team Cymru 基于这种联系，发现了ICEDID 和 LATRODECTUS 运营商使用的网络基础设施之间存在紧密联系。LATRODECTUS 提供了一系列全面的尺度功效，威胁行为者可以利用这些功效来部署更多的有效负载，在开端入侵后执行种种活动。代码库未经过混淆，仅包罗 11 个专注于枚举和执行的命令处置法式。这种类型的加载器代表了我们团队最近视察到的浪潮，例如PIKABOT，其中代码越发轻量级和直接，处置法式数量有限。

https://www.elastic.co/security-labs/spring-cleaning-with-latrodectus?&web_view=true

2. Kinsing攻击Apache Tomcat部署挖矿法式

5月20日，Kinsing 恶意软件以利用 Linux 云服务器上的漏洞部署后门和加密货币挖矿法式而闻名，最近将其目标扩展到包罗 Apache Tomcat 服务器。该恶意软件利用新颖的技术来逃避检测，将自身隐藏在看似无害的系统文件中，使其在受熏染的系统上持久存在，突出了 Kinsing 不停生长的计谋，并强调系统管理员需要对这些新兴威胁保持警惕。Kinsing 利用容器和服务器中的漏洞来部署后门和加密挖矿法式，视察结果显示多个服务器受到熏染，其中包罗具有严重缺陷的 Apache Tomcat。Tomcat 是一款可果然访问的静态内容开源服务器，由于其在互联网上的袒露而成为主要攻击目标，这使得 Kinsing 可以渗透到系统中并建立隐藏的后门以实现持久性，同时部署加密矿工来窃取计算资源以进行加密货币挖掘。

https://gbhackers.com/kinsing-malware-apache-tomcat-servers/

3. SEC要求金融组织需要在 30 天内披露数据泄露事件

5月21日，美国证券交易委员会（SEC）对 SP 规则进行了修改，要求金融公司在 30 天内陈诉数据泄露情况。这是�；は颜叩囊淮蠼�。这项新规定将于 2024 年 5 月 15 日生效，旨在加强和更新对消费者金融信息的�；�。自 2000 年推出以来，SEC 监管 SP要求经纪交易商、投资公司和持牌投资照料通过书面政策和法式�；た突Ъ锹己托畔�。该规则还解释了如何正确删除消费者陈诉信息，并要求隐私政策通知和选择退出选项。多年来，技术的进步使得数据泄露的可能性更大，这就是需要这些改变的原因。

https://gbhackers.com/financial-organizations-data-breach/

4. Git 远程代码执行漏洞CVE-2024-32002

5月21日，研究团队发现了一个严重的远程代码执行漏洞，该漏洞被指定为 CVE-2024-32002，严重水平为 9.0（严重）。这个特殊的漏洞存在于广泛使用的clone命令中。Git 上周宣布了一份宁静通告，其中指出了有关远程代码执行的问题。除此之外，该漏洞被描述为由于可以以特定方式起草的子�？槎嬖冢佣赡艿贾略冻檀胫葱�。不外这个漏洞已经被git修复，而且宣布了修补版本。凭据网络宁静新闻分享的陈诉，git 使用子�？椋庑┳幽？槭乔短自谄渌娲⒖庵械拇娲⒖�。每个子�？樵谥髂柯贾卸加幸桓鲋付ǖ哪柯悸肪叮媚柯悸肪痘岜桓僖匀繁Ｗ既芳锹几�。进一步视察发现，Windows（A/modules/x）和macOS（a/modules/x）的默认设置中存在不区分巨细写的文件系统。这两个路径的处置方式相同，这是远程代码执行背后的主要原因。

https://gbhackers.com/git-flaw-remote-code-execution/

5. Fluent Bit 严重缺陷影响所有主要云提供商

5月21日，可在拒绝服务和远程代码执行攻击中利用的要害 Fluent Bit 漏洞影响了所有主要云提供商和许多技术巨头。Fluent Bit 是一种非常流行的日志记录和指标解决方案，适用于 Windows、Linux 和 macOS，嵌入在主要 Kubernetes 刊行版中，包罗来自 Amazon AWS、Google GCP 和 Microsoft Azure 的刊行版。截至 2024 年 3 月，Fluent Bit 的下载和部署次数凌驾 130 亿次，较 2022 年 10 月报道的30 亿次下载量大幅增长。Fluent Bit 也被 Crowdstrike 和 Trend Micro 等网络宁静公司以及思科、VMware、英特尔、Adobe 和戴尔等许多科技公司使用。这个严重的内存损坏漏洞被跟踪为CVE-2024-4323，并被发现该漏洞的 Tenable 宁静研究人员称为Linguistic Lumberjack，它是在版本 2.0.7 中引入的，是由 Fluent Bit 的嵌入式 HTTP 服务器解析跟踪请求中的堆缓冲区溢出漏洞引起的。尽管未经身份验证的攻击者可以轻松利用该宁静漏洞来触发拒绝服务或远程捕捉敏感信息，但如果有适当的条件和足够的时间来创建可靠的漏洞，他们也可以使用它来获得远程代码执行。

https://www.bleepingcomputer.com/news/security/critical-fluent-bit-flaw-impacts-all-major-cloud-providers/

6. Antidot木马伪装成Google Play更新，窃取银行数据

5月22日，Cyble的研究人员发现了一种针对 Android 设备的新银行木马。这种庞大的恶意软件具有多种危险功效，包罗笼罩攻击、键盘记录和混淆技术。该木马凭据其源代码中的字符串命名为“Antidot”，以伪装成官方 Google Play 更新并支持多种语言而闻名，包罗英语、德语、法语、西班牙语、葡萄牙语、罗马尼亚语，甚至俄语。该恶意软件作为 Google Play 的更新进行分发，并以“新版本”的名称泛起在受害者的设备上。安装和首次启动后，用户会看到一个假页面，据称来自 Google Play，其中包罗完成更新所需操作的详细说明。

https://meterpreter.org/new-antidot-trojan-masquerades-as-google-play-update-steals-banking-data/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究