Magnet Goblin 黑客组织利用缝隙部署 Nerbian RAT

首页 > 安全钻研 > 安全传递 > 安全简讯

Magnet Goblin 黑客组织利用缝隙部署 Nerbian RAT

颁布功夫 2024-03-12

1. Magnet Goblin 黑客组织利用缝隙部署 Nerbian RAT

3月11日，一个名为Magnet Goblin的出于经济动机的威胁行为者在迅快将1day安全缝隙纳入其兵器库，以便伺机粉碎边缘设备和面向公家的服务，并在受习染的主机上部署恶意软件。敌手提议的攻击利用未建补的 Ivanti Connect Secure VPN、Magento、Qlik Sense 以及可能的 Apache ActiveMQ 服务器作为初始习染媒介来获得未经授权的接见。据称该组织至少自 2022 年 1 月起就一向活跃。成功利用此缝隙后，会部署一个名为 Nerbian RAT 的跨平台远程接见木马 (RAT)，该木马由 Proofpoint 于 2022 年 5 月初次披露，其简化变种为 MiniNerbian。Darktrace之前曾强调过 Linux 版本 Nerbian RAT 的使用。这两种病毒都允许执行从号令与节造 (C2) 服务器接管的肆意号令，并泄露返回给它的了局。Magnet Goblin 使用的其他一些工具蕴含WARPWIRE JavaScript 凭证窃取法式、基于 Go 的隧路软件 Ligolo，以及合法的远程桌面产品（例如 AnyDesk 和 ScreenConnect）。

https://thehackernews.com/2024/03/magnet-goblin-hacker-group-leveraging-1.html

2. 针对美国和欧洲企业的新 DoNex 勒索软件

3月11日，美国和欧洲各地的企业都处于高度警惕状态，由于一种被称为“DoNex”的新型勒索软件一向在积极风险企业并宣称受害者。对于这种突发威胁，网络安全专家加班加点地相识攻击的全数领域并造订对策。DoNex 勒索软件组织通过在其暗网门户（可通过 Onion 网络接见）大将多家公司列为受害者而闻名。该团伙的伎俩尤为阴险，选取双沉勒索伎俩。这不仅涉及文件加密，而后附加一个唯一的。VictimID 扩大，并且还会泄录感数据，将其作为人质，以向受害者施加额表压力，要求其支付赎金。受影响的公司在其系统上发现了名为 Readme.VictimID.txt 的勒索字条，该字条批示他们通过 Tox Messenger 与 DoNex 组织成立联系，Tox Messenger 是一种点对点即时新闻服务，以其安全和匿名职能而闻名。

https://gbhackers.com/donex-ransomware-observed/

3. 假装成 Notion 装置法式的 MSIX 恶意软件

3月11日，假装成 Notion 装置法式的 MSIX 恶意软件在分发。分发网站看起来与现实的 Notion 主页类似。装置后，StartingScriptWrapper.ps1 和refresh.ps1 文件将在利用法式的蹊径内创建。StartingScriptWrapper.ps1 文件是一个合法文件，蕴含 MS 署名，拥有执行作为参数给出的 Powershell 剧本的职能。该文件允许在装置过程和执行特定 Powershell 剧本期间读取包内的 config.json 配置文件。此号令从 C2 服务器下载附加 Powershell 号令并执行它们。C2服务器目前没有正确响应，但分析团队在初步分析期间确认了LummaC2恶意软件的散布。在运行文件之前，用户应该查抄文件是否来自官方网站的域，即便文件是使用合法证书署名的，也要查抄署名作者。建议在执行 MSIX 文件时格表幼心，由于多种恶意变体不仅会假装 Notion，还会假装 Slack、WinRar 和 Bandicam 蹬爪用法式。

https://asec.ahnlab.com/en/62815/

4. 日本将 PyPI 供给链网络攻击归罪于朝鲜

3月11日，日本网络安全官员忠告称，朝鲜臭名远扬的 Lazarus Group 黑客团队最近针对 Python 利用法式的 PyPI 软件存储库发起了供给链攻击。威胁参加者上传了名为“pycryptoenv”和“pycryptoconf”等受传染的包，其名称与合法的 Python 加密工具包“pycrypto”类似。被诱骗将恶意软件包下载到 Windows 推算机上的开发人员会习染一种名为 Comebacker 的危险特洛伊木马。Gartner 高级总监兼分析师 Dale Gardner 将 Comebacker 描述为一种通用木马，用于投放勒索软件、窃取凭证和渗入开发流程。Comebacker 已被部署在与朝鲜有关的其他网络攻击中，蕴含对 npm 软件开发存储库的攻击。

https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack

5. 黑客利用 WordPress 插件缺点用恶意软件习染 3300 个网站

3月10日，黑客利用 Popup Builder 插件过期版本中的缝隙入侵 WordPress 网站，用恶意代码习染 3,300 多个网站。攻击中利用的缺点被追踪为 CVE-2023-6000，这是一个影响 Popup Builder 版本 4.2.3 及更早版本的跨站点剧本 (XSS) 缝隙，最初于 2023 年 11 月披露。今年岁首发现的 Balada Injector 活动利用该特定缝隙习染了 6,700 多个网站，这批注很多网站治理员没有足够快地建补补丁。Sucuri 此刻汇报发现一个新的活动在从前三周内显着增长，针对的是 WordPress 插件上的一样缝隙。凭据 PublicWWW 的了局，在3,329 个 WordPress 网站中发现了与这一最新活动有关的代码注入，Sucuri 自己的扫描仪检测到了 1,170 个习染。

https://www.bleepingcomputer.com/news/security/hackers-exploit-wordpress-plugin-flaw-to-infect-3-300-sites-with-malware/

6. 泽西岛金融服务委员会的数据泄露

3月7日，泽西岛金融服务委员会的数据泄露导致非公开姓名和地址的接见。该组织于 1 月 23 日确认其注册系统中检测到一个“缝隙”。该公司暗示，这次泄密事务并未将任何幼我与注册实体或所担任的角色联系起来，并且已单独写信给那些姓名和地址被泄露的人。初步法医审查发现泄漏是由于第三方提供的注册系统配置谬误造成的。该组织暗示：“我们对产生这种情况深感遗憾，目前在进一措施查以确定这是若何产生的。”JFSC 暗示在与泽西岛信息专员办公室合作。掌管金融服务的副部长伊恩·戈斯特暗示，这次泄露影响了系统钟装有限数量的条款”。他补充路：“我对产生这一谬误感应抱愧，我相识结合金融服务委员会在进行最彻底的调查，以确保罗致教训，并改进和加强登记册的设计。

https://www.bbc.com/news/articles/cnk5zyypw24o?&web_view=true

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研