TA453 利用新型 AnvilEcho 恶意软件攻击犹太驰名人物

首页 > 安全钻研 > 安全传递 > 安全简讯

TA453 利用新型 AnvilEcho 恶意软件攻击犹太驰名人物

颁布功夫 2024-08-22

1. TA453 利用新型 AnvilEcho 恶意软件攻击犹太驰名人物

8月20日，伊朗国度支持的威胁组织TA453针对犹太驰名人物提议了一系列精心策动的鱼叉式网络垂钓活动。此活动旨在传布名为AnvilEcho的新型谍报网络工具，该工具通过BlackSmith恶意软件工具包传布，并假装成合法约请以成立信赖。AnvilEcho作为一款壮大的PowerShell木马，具备系统窥伺、截屏、下载远程文件及敏感数据上传等职能，显著聚焦于谍报网络和泄露。此表，该活动利用社会工程学伎俩，如假意钻研机构发送虚伪约请和受密码�；さ奈牡盗唇�，诱导受害者点击恶意链接和下载病毒。与此同时，另一项发现揭示了一种新的基于Go说话的恶意软件Cyclops，可能作为Charming Kitten后门BellaCiao的后续产品，进一步批注攻击者正积极更新其兵器库。Cyclops旨在通过REST API反向隧路传输至C2服务器，节造指标机械，并已被用于攻击黎巴嫩和阿富汗的特定组织。此恶意软件的选择反映了Go说话在恶意软件开发者中的盛行，且其低检测率对安全解决规划组成挑战。

https://thehackernews.com/2024/08/iranian-cyber-group-ta453-targets.html

2. Xeon Sender云攻击工具，利用合法服务大举进行短信垂钓

8月19日，恶意行为者正利用名为Xeon Sender的云攻击工具，通过滥用合法云服务进行大规模的短信垂钓和垃圾邮件活动。这款工具利用多个软件即服务（SaaS）提供商的有效凭证，通过合法API接口发送垃圾信息，而不依赖任何固有弱点。SentinelOne安全钻研员指出，Xeon Sender及其变体如XeonV5和SVG Sender，利用蕴含亚马逊通知服务（SNS）在内的多个短信分发平台，通过Telegram和黑客论坛传布。最新版本的Xeon Sender在名为Orion Toolxhub的Telegram频路上颁布，该频路还提供其他黑客工具。Xeon Sender不仅限于短信发送，还具备验证账户凭证、天生电话号码及查抄号码有效性等职能。其基于Python的号令行界面允许用户轻松与API通讯，协调攻击。该工具固然源代码混乱，但有效降低了技术门槛，使得低技术攻击者也能利用。由于Xeon Sender使用特定供给商库进行API要求，检测难度增长，企业需选取综合伎俩，蕴含API日志分析和行为监控，以鉴别并防御此类攻击。

https://thehackernews.com/2024/08/xeon-sender-tool-exploits-cloud-apis.html

3. CERT-UA忠告：新型网络垂钓攻击利用Vermin集群传布恶意软件

8月21日，乌克兰推算机应急反映幼组（CERT-UA）近日发出忠告，指出一种新的网络垂钓攻击在活跃，该攻击利用恶意软件贪图习染用户设备，其背后威胁集群被象征为UAC-0020，又称Vermin。只管攻击的具体规模和领域尚不爽朗，但已知其通过假装成库尔斯克地域战俘照片的网络垂钓邮件提议，诱导用户点击链接下载ZIP文件。这些ZIP文件内含嵌有JavaScript代码的Microsoft CHM文件，该代码进一步触发混合的PowerShell剧本执行。一旦用户打开这些文件，不仅会装置已知间谍软件SPECTR的组件，还会引入名为FIRMACHAGENT的新恶意软件。FIRMACHAGENT的重要工作是网络SPECTR窃取的数据，并将其回传至远程服务器。SPECTR作为一款职能壮大的恶意软件，自2019年起便与Vermin组织有关联，且据信与卢甘斯克人民共和国（LPR）的安全机构有联系。SPECTR可能宽泛网络用户信息，蕴含但不限于即时通讯利用（Element、Signal、Skype、Telegram等）中的文件、屏幕截图、登录凭证及敏感数据。

https://thehackernews.com/2024/08/cert-ua-warns-of-new-vermin-linked.html

4. CannonDesign遭勒索软件Avos Locker攻击，1.3 万客户数据泄露

8月20日，驰名美国构筑设计公司CannonDesign近期向其重大的13,000余名客户群发送了数据泄露通知，揭示了2023岁首遭逢的沉大网络安全事务。该事务产生在1月19日至25日之间，黑客犯法侵入了公司系统并窃取了数据，只管公司迅快于1月25日发现并染指，但全面的调查工作直至2024年5月3日才告一段落。据传递，泄露的信息可能蕴含客户的敏感幼我资料，如姓名、地址、社会安全号码及驾驶牌照号，对此，CannonDesign决定为受害者提供为期24个月的信誉监控服务。这次数据泄露与Avos Locker勒索软件攻击缜密有关，该团伙于2023年2月公开宣称攻击了CannonDesign并把握5.7 TB 的被盗数据，蕴含公司和客户文件。在勒索未果后，数据被转交给了Dark Angels 勒索软件组织的数据泄露网站 Dunghill Leaks，该组织颁布了涉及客户详情、项目资料及公司内部信息等2TB 数据。2024 年 2 月，统一数据集在暗网中的黑客论坛上颁布，蕴含 ClubHydra，而数据集的一部门在 2024 年 7 月通过 torrent 在 Breached Forums 上分享。

https://www.bleepingcomputer.com/news/security/cannondesign-confirms-avos-locker-ransomware-data-breach/

5. Chrome垂危建补已遭黑客积极利用的零日缝隙CVE-2024-7971

8月21日，Google近期垂危颁布了Chrome浏览器的最新版本（128.0.6613.84/85），重要是为了应对一个已被黑客积极利用的零日缝隙CVE-2024-7971。这一高危缝隙存在于V8 JavaScript引擎中，具体阐发为类型混合问题，它允许攻击者在犯法接见用户设备时执行恶意代码，严沉威胁用户数据安全，可能导致数据泄露、犯法接见或恶意软件植入。鉴于该缝隙已在现实中遭到利用，这次更新显得尤为火急。除了针对CVE-2024-7971的建复表，Chrome 128版本还一并解决了蕴含CVE-2024-7964和CVE-2024-7965在内的多个高严沉性安全缝隙。所有Chrome用户被强烈建议当即手动查抄并更新至128.0.6613.84或更高版本。此表，对于依赖Chrome处置敏感数据的组织而言，迅快利用此更新并思考执行额表的安全防护措施（如利用沙盒隔离、强化网络分段等）变得尤为关键，以进一步降低CVE-2024-7971及其他潜在缝隙带来的安全风险。

https://securityonline.info/urgent-chrome-update-active-zero-day-exploit-detected-cve-2024-7971/

6. 朝鲜黑客UAT-5394部署新型恶意软件MoonPeak

8月21日，一种新型远程接见木马MoonPeak被告发为国度支持的朝鲜威胁活动集团的新工具。思科Talos将其与编号为UAT-5394的黑客组织联系起来，该组织在战术上与已知的Kimsuky国度行为者存在交集。MoonPeak作为Xeno RAT恶意软件的变种，被设计用于从云服务中检索恶意负载，具备加载插件、节造过程及与C2服务器通讯等职能。Talos分析指出，UAT-5394可能是Kimsuky的分支或朝鲜网络机构内另一选取类似战术的团队。这次活动显著特点是构建了新的基础设施，蕴含C2服务器、负载托管点和测试环境，以支持MoonPeak的持续迭代。钻研人员观察到，威胁行为者频仍更新服务器上的恶意文件，并网络习染日志，显示出高度的矫捷性和荫蔽性。值妥贴心的是，MoonPeak的进化与新基础设施的成立缜密相连，每次更新都引入更多混合技术，以故障分析和扭转通讯机造。这种设计确保了MoonPeak的特定版本仅与匹配的C2服务器协同工作，增长了防御难度。UAT-5394迅快构建新基础设施的能力批注，该组织正积极扩大活动领域，增设投放点和C2服务器。不外，目前尚不明显这次活动的指标。

https://thehackernews.com/2024/08/north-korean-hackers-deploy-new.html

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研