TA453 利用新型 AnvilEcho 恶意软件攻击犹太知名人物

首页 > 宁静研究 > 宁静通报 > 宁静简讯

TA453 利用新型 AnvilEcho 恶意软件攻击犹太知名人物

宣布时间 2024-08-22

1. TA453 利用新型 AnvilEcho 恶意软件攻击犹太知名人物

8月20日，伊朗国家支持的威胁组织TA453针对犹太知名人物提倡了一系列精心筹谋的鱼叉式网络钓鱼活动。此活动旨在流传名为AnvilEcho的新型情报收集工具，该工具通过BlackSmith恶意软件工具包流传，并伪装成合法邀请以建立信任。AnvilEcho作为一款强大的PowerShell木马，具备系统侦察、截屏、下载远程文件及敏感数据上传等功效，明显聚焦于情报收集和泄露。此外，该活动利用社会工程学手段，如冒充研究机构发送虚假邀请和受密码�；さ奈牡盗唇�，诱导受害者点击恶意链接和下载病毒。与此同时，另一项发现揭示了一种新的基于Go语言的恶意软件Cyclops，可能作为Charming Kitten后门BellaCiao的后续产物，进一步表明攻击者正积极更新其武器库。Cyclops旨在通过REST API反向隧道传输至C2服务器，控制目标机器，并已被用于攻击黎巴嫩和阿富汗的特定组织。此恶意软件的选择反映了Go语言在恶意软件开发者中的流行，且其低检测率对宁静解决方案组成挑战。

https://thehackernews.com/2024/08/iranian-cyber-group-ta453-targets.html

2. Xeon Sender云攻击工具，利用合法服务放肆进行短信钓鱼

8月19日，恶意行为者正利用名为Xeon Sender的云攻击工具，通过滥用合法云服务进行大规模的短信钓鱼和垃圾邮件活动。这款工具利用多个软件即服务（SaaS）提供商的有效凭证，通过合法API接口发送垃圾信息，而不依赖任何固有弱点。SentinelOne宁静研究员指出，Xeon Sender及其变体如XeonV5和SVG Sender，利用包罗亚马逊通知服务（SNS）在内的多个短信分发平台，通过Telegram和黑客论坛流传。最新版本的Xeon Sender在名为Orion Toolxhub的Telegram频道上宣布，该频道还提供其他黑客工具。Xeon Sender不仅限于短信发送，还具备验证账户凭证、生成电话号码及检查号码有效性等功效。其基于Python的命令行界面允许用户轻松与API通信，协调攻击。该工具虽然源代码混乱，但有效降低了技术门槛，使得低技能攻击者也能利用。由于Xeon Sender使用特定供应商库进行API请求，检测难度增加，企业需接纳综合手段，包罗API日志分析和行为监控，以识别并防御此类攻击。

https://thehackernews.com/2024/08/xeon-sender-tool-exploits-cloud-apis.html

3. CERT-UA警告：新型网络钓鱼攻击利用Vermin集群流传恶意软件

8月21日，乌克兰计算机应急反映小组（CERT-UA）近日发出警告，指出一种新的网络钓鱼攻击正在活跃，该攻击利用恶意软件企图熏染用户设备，其背后威胁集群被标志为UAC-0020，又称Vermin。尽管攻击的具体规模和范围尚不明朗，但已知其通过伪装成库尔斯克地域战俘照片的网络钓鱼邮件提倡，诱导用户点击链接下载ZIP文件。这些ZIP文件内含嵌有JavaScript代码的Microsoft CHM文件，该代码进一步触发混淆的PowerShell脚本执行。一旦用户打开这些文件，不仅会安装已知间谍软件SPECTR的组件，还会引入名为FIRMACHAGENT的新恶意软件。FIRMACHAGENT的主要任务是搜集SPECTR窃取的数据，并将其回传至远程服务器。SPECTR作为一款功效强大的恶意软件，自2019年起便与Vermin组织相关联，且据信与卢甘斯克人民共和国（LPR）的宁静机构有联系。SPECTR能够广泛收集用户信息，包罗但不限于即时通讯应用（Element、Signal、Skype、Telegram等）中的文件、屏幕截图、登录凭证及敏感数据。

https://thehackernews.com/2024/08/cert-ua-warns-of-new-vermin-linked.html

4. CannonDesign遭勒索软件Avos Locker攻击，1.3 万客户数据泄露

8月20日，知名美国建筑设计公司CannonDesign近期向其庞大的13,000余名客户群发送了数据泄露通知，揭示了2023年初遭遇的重大网络宁静事件。该事件发生在1月19日至25日之间，黑客非法侵入了公司系统并窃取了数据，尽管公司迅速于1月25日发现并介入，但全面的视察事情直至2024年5月3日才告一段落。据通报，泄露的信息可能包罗客户的敏感个人资料，如姓名、地址、社会宁静号码及驾驶执照号，对此，CannonDesign决定为受害者提供为期24个月的信用监控服务。此次数据泄露与Avos Locker勒索软件攻击紧密相关，该团伙于2023年2月果然宣称攻击了CannonDesign并掌握5.7 TB 的被盗数据，包罗公司和客户文件。在勒索未果后，数据被转交给了Dark Angels 勒索软件组织的数据泄露网站 Dunghill Leaks，该组织宣布了涉及客户详情、项目资料及公司内部信息等2TB 数据。2024 年 2 月，同一数据集在暗网中的黑客论坛上宣布，包罗 ClubHydra，而数据集的一部门在 2024 年 7 月通过 torrent 在 Breached Forums 上分享。

https://www.bleepingcomputer.com/news/security/cannondesign-confirms-avos-locker-ransomware-data-breach/

5. Chrome紧急修补已遭黑客积极利用的零日漏洞CVE-2024-7971

8月21日，Google近期紧急宣布了Chrome浏览器的最新版本（128.0.6613.84/85），主要是为了应对一个已被黑客积极利用的零日漏洞CVE-2024-7971。这一高危漏洞存在于V8 JavaScript引擎中，具体体现为类型混淆问题，它允许攻击者在非法访问用户设备时执行恶意代码，严重威胁用户数据宁静，可能导致数据泄露、非法访问或恶意软件植入。鉴于该漏洞已在现实中遭到利用，此次更新显得尤为迫切。除了针对CVE-2024-7971的修复外，Chrome 128版本还一并解决了包罗CVE-2024-7964和CVE-2024-7965在内的多个高严重性宁静漏洞。所有Chrome用户被强烈建议立即手动检查并更新至128.0.6613.84或更高版本。此外，对于依赖Chrome处置敏感数据的组织而言，迅速应用此更新并考虑实施特别的宁静防护措施（如应用沙盒隔离、强化网络分段等）变得尤为要害，以进一步降低CVE-2024-7971及其他潜在漏洞带来的宁静风险。

https://securityonline.info/urgent-chrome-update-active-zero-day-exploit-detected-cve-2024-7971/

6. 朝鲜黑客UAT-5394部署新型恶意软件MoonPeak

8月21日，一种新型远程访问木马MoonPeak被揭露为国家支持的朝鲜威胁活动集团的新工具。思科Talos将其与编号为UAT-5394的黑客组织联系起来，该组织在战术上与已知的Kimsuky国家行为者存在交集。MoonPeak作为Xeno RAT恶意软件的变种，被设计用于从云服务中检索恶意负载，具备加载插件、控制进程及与C2服务器通信等功效。Talos分析指出，UAT-5394可能是Kimsuky的分支或朝鲜网络机构内另一接纳相似战术的团队。此次活动显著特点是构建了新的基础设施，包罗C2服务器、负载托管点和测试环境，以支持MoonPeak的连续迭代。研究人员视察到，威胁行为者频繁更新服务器上的恶意文件，并收集熏染日志，显示出高度的灵活性和隐蔽性。值得注意的是，MoonPeak的进化与新基础设施的建立紧密相连，每次更新都引入更多混淆技术，以阻碍分析和改变通信机制。这种设计确保了MoonPeak的特定版本仅与匹配的C2服务器协同事情，增加了防御难度。UAT-5394迅速构建新基础设施的能力表明，该组织正积极扩大活动范围，增设投放点和C2服务器。不外，目前尚不清楚此次活动的目标。

https://thehackernews.com/2024/08/north-korean-hackers-deploy-new.html

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究