全球70余组织遭Voldemort间谍软件攻击

首页 > 宁静研究 > 宁静通报 > 宁静简讯

全球70余组织遭Voldemort间谍软件攻击

宣布时间 2024-09-02

1. 全球70余组织遭Voldemort间谍软件攻击

9月1日，Proofpoint 研究人员揭露了一起庞大的间谍活动，该活动通过名为“Voldemort”的定制恶意软件，影响全球70多个组织。此恶意软件通过凌驾20,000封钓鱼邮件流传，特别是8月17日激增近6,000封，邮件伪装多国税务机关诱骗用户。攻击链利用Google AMP Cache URL、Cloudflare隧道、WebDAV共享及Python脚本等技术，巧妙引导用户下载并执行恶意LNK或ZIP文件。Voldemort的一大特点是利用Google表格进行命令与控制（C2），规避传统宁静检测，显示了高度的隐蔽性和创新性。其目标主要锁定在保险公司、航空航天、交通运输及大学等18个垂直行业，且精准定位受害者至其居住国，显示出深条理的间谍动机。此外，该恶意软件还接纳罕见的Windows .search-ms文件格式，伪装远程文件为当地文件，结合DLL劫持技术，进一步增加熏染乐成率。然而，攻击活动中也袒露出一些简陋之处，如使用简单的文件命名约定，使得该活动泛起出“弗兰肯斯坦视鸯合体”的特点，难以判断威胁行为者的真实技术水平。

https://securityonline.info/cyber-espionage-campaign-leverages-novel-tactics-and-voldemort-malware-to-target-global-organizations/https://securityonline.info/cyber-espionage-campaign-leverages-novel-tactics-and-voldemort-malware-to-target-global-organizations/

2. APT组织Citrine Sleet利用Chrome 0day部署FudModule rootkit

8月31日，与朝鲜有关联的APT组织Citrine Sleet（亦称AppleJeus、Labyrinth Chollima等）利用新修补的Google Chrome零日漏洞CVE-2024-7971，乐成部署了FudModule rootkit。该漏洞（CVSS评分8.8）影响特定版本的Chromium，允许攻击者在沙盒化的渲染器进程中执行远程代码。Citrine Sleet通过精心设计的钓鱼计谋，诱使受害者访问其控制的恶意域名，进而触发CVE-2024-7971漏洞，下载并执行包罗Windows沙盒逃逸漏洞（CVE-2024-38106）和FudModule rootkit的shellcode。FudModule rootkit接纳直接内核工具操作（DKOM）技术，从用户模式运行并改动内核，滋扰宁静机制，尽管在目标设备上未检测到后续恶意活动。值得注意的是，CVE-2024-38106虽已修复，但可能与Citrine Sleet的利用活动无直接关联，体现可能存在“漏洞碰撞”现象。Microsoft强调，组织应确保系统及时更新，部署具备全面网络攻击链可见性的宁静解决方案，并加强操作环境配置，以有效检测和阻止此类高级威胁。

https://securityaffairs.com/167848/breaking-news/north-korea-linked-apt-exploited-chrome-zero-day-cve-2024-7971.html

3. GitHub 遭滥用：数千条虚假修复评论分发Lumma Stealer恶意软件

8月31日，GitHub 平台近期遭遇了滥用，非法分子通过在项目评论中宣布虚假修复法式的方式，广泛分发 Lumma Stealer 信息窃取恶意软件。这一活动最初由teloxide rust库的孝敬者在Reddit上揭露，随后BleepingComputer深入视察发现，数千条类似评论已遍布GitHub多个项目，诱导用户下载并执行包罗恶意软件的文件。这些评论伪装成问题解决方案，诱骗用户从mediafire.com或bit.ly链接下载名为“fix.zip”的加密存档，并提示使用统一密码“changeme”解锁。三天内，此类推广恶意软件的评论数量激增至凌驾29,000条。下载的存档中包罗DLL文件和可执行文件x86_64-w64-ranlib.exe，经分析确认为Lumma Stealer，一种能够深入用户浏览器窃取敏感信息的高级信息窃取工具。此外，它还针对加密货币钱包和特定数名的文本文件进行搜索，收集可能包罗私钥和密码的数据。尽管GitHub迅速响应并删除了这些恶意评论，但已有用户受害。受影响用户需立即为所有账户更换唯一密码，并将加密货币转移至新钱包。

https://www.bleepingcomputer.com/news/security/github-comments-abused-to-push-password-stealing-malware-masked-as-fixes/

4. 庞大网络钓鱼攻击揭露：AsyncRAT与Infostealer联手威胁用户宁静

8月31日，eSentire 威胁响应部门（TRU）的研究人员揭露了一项庞大的网络钓鱼攻击，该攻击利用精心设计的熏染链分发 AsyncRAT 远程访问木马（RAT）及其信息窃取插件 Infostealer。攻击始于一封看似无害的钓鱼邮件，内含伪装成正常文件的恶意存档。执行后，这一存档触发了一系列庞大操作，包罗下载并执行混淆的 VBScript 和 PowerShell 脚本，最终部署 AsyncRAT 及其插件。攻击过程中，恶意软件通过下载看似无害的图像文件（实为 ZIP 存档）并解压出更多恶意脚本和可执行文件，在受害者系统中扎根。它利用计划任务维持持久性，每两分钟执行一次恶意代码，并通过进程空心化技术将 AsyncRAT 注入合法进程中以逃避检测。AsyncRAT 不仅为攻击者提供对受熏染系统的远程控制权，还搭载了 Infostealer 插件，该插件专门瞄准网络浏览器中的加密钱包扩展和2FA验证工具，旨在窃取包罗密码、凭据和加密货币钱包在内的名贵数据。eSentire TRU 呼吁用户保持高度警惕。

https://securityonline.info/evasive-phishing-campaign-delivers-asyncrat-and-infostealer/

5. People Data Labs1.7亿条敏感信息无密码袒露

8月30日，Cybernews研究团队近期发现了一项重大数据泄露事件，涉及凌驾1.7亿条敏感个人信息在互联网上果然袒露，数据内容详尽，包罗全名、联系方式、地址、教育配景及事情经历等。此次泄露的数据集标有“PDL”标识，指向旧金山的数据经纪公司People Data Labs（PDL），该公司自称拥有15亿个人档案数据库，服务于企业营销、销售及招聘等领域。尽管数据泄露源头尚未明确，但Elasticsearch服务器未设密码的严重宁静漏洞成为焦点，这种配置极易被黑客利用，迅速窃取数据，对个人隐私组成重大威胁，增加身份偷窃、欺诈及网络钓鱼风险。值得注意的是，PDL此前已发生过类似的数据泄露事故，同样因未�；さ腅lasticsearch服务器导致，涉及数据规模更为庞大。此次泄露的“Version 26.2”数据集可能与此前事件有关联，再次袒露了PDL在数据宁静方面的重大缺陷。

https://cybernews.com/security/people-data-labs-data-leak/

6. Roblox开发人员频遭攻击，伪造npm包流传恶意软件

9月2日，Roblox 开发人员成为一系列恶意攻击的目标，这些攻击通过伪造 npm 包，尤其是模仿流行的 noblox.js 库，企图窃取敏感数据和破坏系统。自今年初以来，多个名为 noblox.js 变种的软件包被确认为恶意，包罗 noblox.js-proxy-server 和 noblox-ts，它们通过品牌劫持、组合抢注和星号劫持等技术伪装成合法库，诱导开发者下载。这些恶意包如 noblox.js-async、noblox.js-thread 等，尽管下载量有限，却乐成欺骗了用户。此外，攻击者还接纳 starjacking 手法，将虚假软件包的源存储库标志为实际 noblox.js 库，增强信任度。这些恶意软件包内嵌的代码不仅窃取 Discord 令牌，还通过修改 Windows 注册表和更新防病毒排除列表来逃避检测和维持持久性。每当用户实验打开 Windows 设置应用时，恶意软件便会被激活。最终目标是部署 Quasar RAT，使攻击者能远程控制受熏染系统，并将收集到的信息通过 Discord webhook 发送至 C2 服务器。尽管已有措施清除这些恶意软件，但新软件包仍不停泛起，提醒开发人员需保持高度警惕。

https://thehackernews.com/2024/09/malicious-npm-packages-mimicking.html

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究