CRON#TRAP网络钓鱼活动：利用Linux虚拟机熏染Windows

首页 > 宁静研究 > 宁静通报 > 宁静简讯

CRON#TRAP网络钓鱼活动：利用Linux虚拟机熏染Windows

宣布时间 2024-11-06

1. CRON#TRAP网络钓鱼活动：利用Linux虚拟机熏染Windows

11月4日，一项名为“CRON#TRAP”的新型网络钓鱼活动利用Linux虚拟机熏染Windows系统，通过内置后门秘密访问企业网络。该活动通过伪装成“OneAmerica 视察”的网络钓鱼电子邮件，发送一个包罗285MB ZIP档案的大型文件，内含一个Windows快捷方式和QEMU虚拟机应用法式。启动快捷方式后，会执行PowerShell命令，将下载的存档提取到指定文件夹，并在设备上设置和启动自界说QEMU Linux虚拟机。该虚拟机名为“PivotBox”，预装了后门，可确保持久的C2通信，使攻击者在后台进行操作。由于QEMU是合法工具，Windows不会对其发出警报，宁静工具也无法检查虚拟机内部的恶意法式。后门的核心是名为Chisel的网络隧道法式，通过HTTP和SSH传输数据，使攻击者即使在网络受防火墙�；な币材苡牒竺磐ㄐ�。为了防止QEMU滥用，建议监视从用户可访问文件夹执行的“qemu.exe”等进程，将QEMU和其他虚拟化套件放入阻止列表中，并从系统BIOS中禁用或阻止要害设惫亓虚拟化。

https://www.bleepingcomputer.com/news/security/windows-infected-with-backdoored-linux-vms-in-new-phishing-attacks/

2. 黑客滥用DocuSign API创建虚假发票冒充知名品牌进行欺诈

11月4日，DocuSign 是一个电子签名平台，支持以数字方式签署、发送和管理文档。Envelopes API旨在资助客户自动发送需要签名的文档、跟踪其状态并在签名后检索它们。威胁行为者正在利用DocuSign的Envelopes API创建并分发看似真实的虚假发票，冒充知名品牌如Norton和PayPal。他们使用合法的付费DocuSign账户，通过该API发送模仿知名软件公司外观和感受的欺诈性发票，并诱导目标客户对文件进行电子签名以授权付款。这些发票的用度控制在现实范围内，以增加其合法性。据Wallarm宁静研究人员称，这种滥用行为已经连续了一段时间，并已向DocuSign陈诉�？突б苍贒ocuSign的社区论坛上多次举报此类行为，但似乎难以得到有效解决。这些攻击是自动化的，大规模发生，使得平台很难忽视。DocuSign尚未对询问其反滥用措施及是否计划加强这些措施的问题作出评论。黑客过去也曾滥用API进行其他恶意活动，如验证用户电话号码、抓取客户信息以及将电子邮件地址链接到帐户等。

https://www.bleepingcomputer.com/news/security/docusigns-envelopes-api-abused-to-send-realistic-fake-invoices/

3. 新型Android银行恶意软件ToxicPanda熏染超1500台设备

11月5日，Cleafy 研究人员发现了一种名为 ToxicPanda 的新型 Android 银行恶意软件，已熏染凌驾 1,500 台设备，主要目标为意大利、葡萄牙、西班牙和拉丁美洲的16家银行。该恶意软件与东南亚的 TgToxic 木马家族有相似之处，但代码差异显著。ToxicPanda 利用设备欺诈技术绕过银行宁静措施，进行欺诈性资金转移。尽管处于早期开发阶段，代码不完整，但它已显示出强大的欺诈能力。ToxicPanda 接纳手动方式，允许攻击者轻松绕过银行的行为检测防御。它还可以访问手机相册，收集敏感信息，并通过硬编码域名连接其命令和控制服务器。意大利是其主要目标，熏染率高达 56.8%，葡萄牙、香港、西班牙和秘鲁等地也有熏染。陈诉指出，今世防病毒解决方案难以检测到此类相对简单的威胁，缺乏主动、实时的检测系统是一个主要问题。

https://securityaffairs.com/170605/malware/toxicpanda-android-malware-targets-italy.html

4. 国际刑警组织“协同二号行动”重拳攻击网络犯罪

11月5日，国际刑警组织在2024年4月至8月期间，代号为“协同二号行动”的国际执法行动中，乐成逮捕了41名与勒索软件、网络钓鱼和信息窃取等网络犯罪相关的嫌疑人，并摧毁了 22,000 个 IP 地址上运行的1,037台服务器和基础设施。此次行动涉及95个国家，得到了多家私营网络宁静公司的情报支持。行动中，约76%的恶意内容被删除，59台服务器被查封，43台电子设备被没收以获取更多证据。此外，政府还在视察另外65名涉嫌加入非法活动的人。行动亮点包罗香港和澳门警方关闭了大量恶意服务器，蒙古进行了多次衡宇搜查并查获了一台服务器，马达加斯加确定了与恶意服务器有联系的个人并查获了电子设备，爱沙尼亚则查获了凌驾80GB的服务器数据。国际刑警组织网络犯罪局局长体现，网络犯罪的全球性要求全球应对，此次行动不仅摧毁了恶意基础设施，还防止了数十万潜在受害者沦为网络犯罪的牺牲品。

https://www.bleepingcomputer.com/news/security/interpol-disrupts-cybercrime-activity-on-22-000-ip-addresses-arrests-41/

5. 乌克兰指责谷歌泄露军事基职位置，引发宁静担忧

11月6日，乌克兰指责谷歌在其在线地图服务的最新更新中泄露了军事基地的位置，这些图像被俄罗斯人“积极流传”。乌克兰国家宁静与国防委员会反虚假信息部门卖力人体现，谷歌尚未修复地图，只回应了乌克兰的官方信件并允许更新。谷歌乌克兰公司回应称，有问题的卫星图像是一年前拍摄的，来自果然来源，并体现重视此类请求并与乌克兰官员保持相同。乌克兰担忧军事信息的果然可能危及防空系统等军事装备的位置，不仅可能危及乌克兰，还可能危及任何使用导弹拦截器的国家。乌克兰和俄罗斯都高度依赖卫星图像来收集情报，但俄罗斯因制裁或道德问题而难以直接从商业公司购置。谷歌已暂停了在俄罗斯的许多服务，但地图等部门服务仍可使用，但功效有限。

https://therecord.media/ukraine-google-locations-revealing-military

6. Snowflake数据窃取攻击嫌疑人在加拿大被捕

11月5日，加拿大政府逮捕了一名涉嫌窃取云存储公司Snowflake客户数据的男子Alexander "Connor" Moucka（又名"Waifu"和"Judische"）。据彭博社和404 Media报道，该男子以165个组织为目标，窃取了数亿数据，这些组织全部是Snowflake的客户。Snowflake、Mandiant和CrowdStrike的联合视察发现，这名攻击者使用信息窃取恶意软件窃取了未能配置多因素身份验证（MFA）�；さ腟nowflake帐户的客户凭证。这些攻击始于2024年4月，与之相关的数据泄露影响了使用AT&T、Ticketmaster、Santander等多家服务的数亿个人。其中，Ticketmaster的5.6亿客户和AT&T的约1.09亿客户的通话记录被盗。Snowflake今后宣布将对新账户强制实施MFA，并要求密码长度至少为14个字符。

https://www.bleepingcomputer.com/news/security/suspect-behind-snowflake-data-theft-attacks-arrested-in-canada/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究