RustDoor通过Justice AV Solutions JAVS Viewer进行传布

首页 > 安全钻研 > 安全传递 > 安全简讯

RustDoor通过Justice AV Solutions JAVS Viewer进行传布

颁布功夫 2024-05-27

1. RustDoor通过Justice AV Solutions JAVS Viewer进行传布

5月26日，Rapid7 的钻研人员忠告称，威胁行为者在 Justice AV Solutions JAVS Viewer 软件的装置法式中增长了后门。攻击者可能在从 JAVS 服务器分发的 JAVS Viewer v8.3.7 装置法式中注入后门。Justice AV Solutions (JAVS) 是一家总部位于美国的公司，为法庭环境和其他环境（蕴含监狱、议会和演讲室）提供数字视听录造解决规划。JAVS Viewer 在全球占有超过 10,000 个装置。钻研人员提供的后门允许攻击者齐全节造受习染的系统。Rapid7 专家建议沉新映像受影响的系统，沉置有关痛处，并装置最新版本的 JAVS Viewer（v8.3.8 或更高版本）。钻研人员把稳到，JAVS Viewer Setup 8.3.7.250-1.exe 的装置法式使用意表的 Authenticode 署名进行数字署名，并蕴含一个名为 fffmpeg.exe 的二进造文件。该二进造文件执行编码的 PowerShell 剧本，Rapid7 将 fffmpeg.exe 与GateDoor / Rustdoor恶意软件联系起来，该恶意软件已被安全公司 S2W 鉴别。

https://securityaffairs.com/163683/hacking/supplay-chain-attack-javs-viewer.html

2. SlashNext颁布2024年上半年网络垂钓情况汇报

5月24日，汇报称，从前六个月中恶意网络垂钓链接、贸易电子邮件入侵 (BEC)、二维码和基于附件的威胁增长了 341%。该数据来自 SlashNext 的年钟锥2024 年网络垂钓情况》汇报，该汇报还发现，在从前 12 个月中，恶意电子邮件和新闻威胁增长了 856%。自 2022 年 11 月推出 ChatGPT 以来，恶意网络垂钓新闻激增了 4151%。Keeper Security 首席执行官兼结合首创人 Darren Guccione 忠告称：不良行为者能够通过多种方式利用 ChatGPT，蕴含创建令人折服的网络垂钓电子邮件。这些工具不仅能够援手犯法分子创建可信的网络垂钓电子邮件或勒索软件攻击的恶意代码等内容，并且他们能够急剧轻松地实现这些操作。防御能力最弱的组织将出格容易受到攻击，由于攻击量可能会持续增长。汇报还发现，在从前六个月中，凭证窃取网络垂钓攻击增长了 217%，BEC 攻击增长了 29%�；� CAPTCHA 的攻击也在增长，攻击者使用 CloudFlare 的 CAPTCHA 来暗藏凭证网络表格。此表，网络犯罪分子在利用 Microsoft SharePoint、AWS 和 Salesforce 等可折服务来暗藏网络垂钓和恶意软件�；诙氲墓セ鞔丝陶妓卸褚獾缱佑始� 11%，通常集成到合法基础设施中。

https://www.infosecurity-magazine.com/news/341-rise-advanced-phishing-attacks/?&web_view=true

3. ShrinkLocker 劫持 BitLocker 针对企业提议攻击

5月25日，卡巴斯基尝试室的专家已经确定使用一种名为 ShrinkLocker 的新勒索软件法式对企业设备进行攻击，该法式利用了 BitLocker。BitLocker 是 Windows 中的一项安全职能，可通过加密�；な�。这些攻击的指标蕴含工业和造药公司以及当局机构。攻击者使用 VBScript 编写了一个恶意剧本。该剧本会查抄设备上装置的 Windows 版本并激活相应的 BitLocker 职能。ShrinkLocker 能够习染新旧版本的操作系统，最高可习染 Windows Server 2008。该剧本会批改操作系统的启动参数，而后尝试使用 BitLocker 加密硬盘分区。创建一个新的启动分区，以便稍后加载加密的推算机。攻击者还会删除用于�；� BitLocker 加密密钥的安全工具，阻止用户复原它们。随后，恶意剧本将受习染推算机上天生的系统信息和加密密钥发送到攻击者的服务器。而后，它会通过删除日志和各类可能有助于调查攻击的文件来“覆盖其踪影”。

https://meterpreter.org/new-ransomware-threat-shrinklocker-hijacks-bitlocker-for-corporate-attacks/

4. APT36利用Linux间谍软件攻击印度的国防组织

5月25日，一个与巴基斯坦利益相符的、出于政治动机的黑客组织正与印度军方同步烧毁 Windows 操作系统，并将沉点放在为 Linux 编码的恶意软件上。该网络间谍组织利用电子邮件作为鱼叉式网络垂钓攻击的载体，还利用 Telegram、Discord、Slack 和 Google Drive 等盛行网络服务来存储和分发钓饵和恶意软件。每次攻击的机遇都是有战术性的，这批注黑客在发起每次攻击时都进行了具体的规划，并有特定的指标。自钻研人员起头跟踪 APT36 行动以来，该组织初次使用 ISO 映像作为攻击媒介。在印度当局颁发招标采办战斗机和升级数十架苏霍伊 30MKI 战斗机之际，该组织还在鱼叉式网络垂钓电子邮件中使用 ISO 映像来攻击印度空军官员。黑莓称，该间谍组织仿照印度国防和战术智库及当局机构的网站域名，诱骗受害者下载恶意钓饵文件。这些组织蕴含位于新德里的独立智库陆战钻研中心、印度推算机应急响应幼组和陆军福利教育协会。

https://www.bankinfosecurity.com/pakistani-aligned-apt36-targets-indian-defense-organizations-a-25296?&web_view=true

5. 假冒 Pegasus 间谍软件病毒充溢即时通讯平台和暗网

5月25日，CloudSEK 发现，假冒 Pegasus 间谍软件的源代码在表层网络、暗网和即时通讯平台上销售。继苹果公司最近发出有关“雇佣型间谍软件”攻击的忠告后，云安全提供商 CloudSEK 对明网和暗网中与间谍软件有关的威胁进行了调查。该公司分析了约莫 25,000 条 Telegram 帖子，发现很多帖子宣称销售 Pegasus 的真实源代码。Pegasus 是由以色列公司 NSO Group 贸易化的间谍软件。这些帖子大多遵循提供犯法服务的通用模板，其中时时提到 Pegasus 和 NSO 工具。通过与 150 多名潜在卖家互动，钻研人员深刻相识了各类样本和指标，蕴含所谓的 Pegasus 源代码、现场演示、文件结构和快照。在分析了来自暗网源的 15 个源代码样本和 30 多个指标后，CloudSEK 发现险些所有样本都是诓骗性的且无效的。威胁行为者创建了自己的工具和剧本，并以 Pegasus 的名义分发，利用其恶名获取经济利益。这一趋向在多个地下论坛中也有所体现，犯罪者在这些论坛上营销和分发样本，利

用 Pegasus 的名义获取金钱利益，并在地表网络代码共享平台上传布与 Pegasus 虚伪关联的随机天生的源代码。

https://www.infosecurity-magazine.com/news/fake-pegasus-spyware-dark-web/

6. Cencora数据泄露导致11家造药公司的美国患者信息被泄露

5月25日，全球一些最大的造药公司披露了数据泄露事务，原因是 2024 年 2 月对其造药和贸易服务合作同伴 Cencora 提议的网络攻击。Cencora（前身为 AmerisourceBergen）是一家专门从事药品分销、专业药房、征询和临床试验支持的医药服务提供商。该公司总部位于宾夕法尼亚州，业务遍及 50 个国度，占有 46,000 名员工，2023 年营收为 2620 亿美元。2024 年 2 月，Cencora 在向美国证券买卖委员会提交的 8-K 表格中披露了数据泄露事务，称未经授权的各方接见了其信息系统并窃取了幼我数据。其时，该公司选择不分享有关该事务及其对客户的潜在影响的任何其他信息。此表，没有任何勒索软件组织认可对这次攻击掌管。今天，加州总检察长办公室颁布了美国一些最大的造药公司在从前几天提交的多份数据泄露通知样本，这些公司均将其数据泄露归罪于 2 月份的 Cencora 事务。数据泄露通知忠告称，Cencora 的内部调查于 2024 年 4 月 10 日实现，调查证实以下信息已被泄露：全名、地址、健全诊断、药物和处方。信中指出，截至目前，没有证据批注窃取的信息已在互联网上公开披露或被用于诓骗主张。为了应对受影响幼我面对的较高风险，Cencora 将通过 Experian 为受助者提供两年的免费身份�；ず托庞嗫胤�，受助者能够使用这些服务直到 2024 年 8 月 30 日。

https://www.bleepingcomputer.com/news/security/cencora-data-breach-exposes-us-patient-info-from-11-drug-companies/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研