网络犯罪分子利用ZIP串联文件计谋规避宁静检测

首页 > 宁静研究 > 宁静通报 > 宁静简讯

网络犯罪分子利用ZIP串联文件计谋规避宁静检测

宣布时间 2024-11-11

1. 网络犯罪分子利用ZIP串联文件计谋规避宁静检测

11月7日，据Cyber Security News报道，网络犯罪分子正接纳一种庞大的ZIP串联文件计谋，专门攻击Windows用户。这种要领将多个ZIP文件合并为一个存档，利用差异ZIP阅读器处置方式的差异，使恶意内容更难被宁静软件检测。ZIP串联文件实际上包罗多其中心目录，每个目录指向差异的文件集，而某些阅读器可能只显示部门内容，从而隐藏恶意文件。例如，7zip通常只显示第一个存档的内容，而WinRAR能读取所有内容，包罗隐藏的恶意文件。Windows文件资源管理器在处置这种文件时也存在纷歧致性，导致检测威胁不行靠。已有攻击者通过发送伪装成发货通知的网络钓鱼电子邮件，利用此技术向受害者发送隐藏的特洛伊木马恶意软件。这种规避技术的乐成在于它能利用工具间的差异，许多宁静解决方案也依赖这些工具来扫描档案。因此，黑客越来越多地使用这种要领针对特定用户，同时逃避其他宁静工具的检测。网络宁静专家提醒用户应提高警惕，接纳多种宁静工具和要领来防范此类攻击。

https://cybersecuritynews.com/hackers-employ-zip-file-concatenation/#google_vignette

2. 英国冬季取暖补助诈骗频发，警方发出警告

11月9日，随着冬季的到来，英国老年居民成为诈骗分子的目标，他们通过虚假的“冬季取暖补助”和“生活费补助”短信实施诈骗。由于政府近期决定削减约1000万养老金领取者的冬季燃料补助，这种诈骗活动更具投机性。诈骗短信诱使居民访问非法域名，收集个人信息和付款信息。其中一条短信声称是“最后通知”，提醒收件人在11月12日前回复以接收补助。该短信中的链接将用户引导至看似GOV.UK的网页，实际上是一个网络钓鱼页面，旨在诱骗用户交出个人信息和付款详情。网络宁静研究员已识别出约600个与此活动相关的唯一域名，证明了该活动的规模和威胁行为者的投入。英国警方已发出警告，提醒养老金领取者警惕此类诈骗短信，制止点击链接或提供个人信息和付款细节。人们可以向国家网络宁静中心、移动服务提供商或相关机构陈诉疑似诈骗行为。

https://www.bleepingcomputer.com/news/security/scammers-target-uk-senior-citizens-with-winter-fuel-payment-texts/

3. 恶意Python包“fabrice”窃取AWS凭据，已下载超3.7万次

11月9日，自2021年起，一个名为“fabrice”的恶意Python包在Python包索引(PyPI)中泛起，通过窃取Amazon Web Services凭据来攻击开发人员。该软件包利用了与合法且广受欢迎的SSH远程服务器管理包“fabric”名称相似的特点，已被下载凌驾37,000次。fabrice之所以恒久未被发现，部门原因是其部署了先进的扫描工具，而且追溯扫描的解决方案较少。该软件包凭据操作系统执行特定操作，在Linux上创建隐藏目录存储编码的shell脚本，在Windows上下载编码的有效负载并执行Python脚本以获取恶意可执行文件。无论使用什么操作系统，fabrice的主要目标都是使用boto3（Amazon Web Services的官方Python SDK）窃取AWS凭证。攻击者将窃取的密钥泄露给由巴黎的M247运营的VPN服务器，增加了追踪难度。为减轻此类风险，用户应检查从PyPI下载的软件包，并使用专门检测和阻止此类威胁的工具。管理员应考虑使用AWS身份和访问管理(IAM)来管理对资源的权限，以�；WS存储库免受未经授权的访问。

https://www.bleepingcomputer.com/news/security/malicious-pypi-package-with-37-000-downloads-steals-aws-keys/

4. Remcos RAT新变种使用高级技术熏染Windows系统

11月9日，Fortinet的FortiGuard实验室发现了一种新的Remcos RAT（远程访问木马）变种正在通过网络钓鱼活动流传，针对Microsoft Windows用户。该恶意软件利用CVE-2017-0199漏洞下载并执行HTA文件，该文件经过多层混淆处置，包罗JavaScript、VBScript、Base64编码等，最终下载并执行恶意可执行文件，部署Remcos RAT。该恶意软件具有多种持久性机制，如向量异常处置等高级反分析技术，使用哈希值识别API，检测调试器的存在，并通过进程挖空技术逃避检测。为了保持对设备的控制，恶意代码在系统注册表中添加了新的自动运行项。为了�；ぷ约�，用户应制止点击电子邮件中的链接或附件，使用宁静软件和防病毒软件，并保持软件更新最新补丁。

https://hackread.com/hackers-use-excel-files-remcos-rat-variant-windows/

5. Newpark Resources遭勒索软件攻击，信息系统和业务应用中断

11月8日，德克萨斯州油田供应商Newpark Resources在2024年10月29日遭受了一次勒索软件攻击，导致其部门信息系统和业务应用法式的访问被中断。该公司迅速启动了网络宁静应急计划，并在外部专家的协助下对事件进行了内部视察，以评估和停止威胁。尽管此次攻击对公司的信息系统和业务应用法式造成了影响，但Newpark Resources的制造和现场运营基本未受影响，仍继续执行既定的�；ㄊ�。目前，公司尚未确定此次勒索软件事件的全部成本和影响，但预计不会对财政状况或运营发生重大影响。Newpark Resources没有透露有关此次攻击的详细信息，包罗熏染其系统的恶意软件家族，同时也没有勒索软件组织声称对此次宁静漏洞卖力。未来，如果情况发生变化，该公司将更新相关信息披露。

https://securityaffairs.com/170696/cyber-crime/newpark-resources-ransomware-attack.html

6. Veeam VBR漏洞再遭利用，Frag勒索软件肆虐

11月8日，Veeam Backup & Replication (VBR) 软件的一个要害宁静漏洞（CVE-2024-40711）最近被利用来部署Frag勒索软件，此前该漏洞已被Akira和Fog勒索软件攻击者利用。该漏洞由不受信任数据反序列化弱点引起，可导致远程代码执行。Veeam在9月4日宣布了宁静更新，而watchTowr Labs和Code White在披露该漏洞时推迟分享更多细节，以制止被勒索软件团伙滥用。然而，Sophos X-Ops发现，这些延迟并未能阻止Akira和Fog勒索软件攻击，同一威胁活动集群也使用了该漏洞部署Frag勒索软件。Frag勒索软件团伙在攻击中大量使用受熏染系统上已有的合法软件（LOLBins），使得防御者难以检测到他们的活动。Veeam体现，全球有凌驾550,000名客户使用其产物，包罗全球2,000强榜单中约74%的公司，因此该漏洞的影响范围广泛。

https://www.bleepingcomputer.com/news/security/critical-veeam-rce-bug-now-used-in-frag-ransomware-attacks/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究