全球70余组织遭Voldemort间谍软件攻击

首页 > 安全钻研 > 安全传递 > 安全简讯

全球70余组织遭Voldemort间谍软件攻击

颁布功夫 2024-09-02

1. 全球70余组织遭Voldemort间谍软件攻击

9月1日，Proofpoint 钻研人员告发了一路复杂的间谍活动，该活动通过名为“Voldemort”的定造恶意软件，影响全球70多个组织。此恶意软件通过超过20,000封垂钓邮件传布，出格是8月17日激增近6,000封，邮件假装多国税务机关诱骗用户。攻击链利用Google AMP Cache URL、Cloudflare隧路、WebDAV共享及Python剧本等技术，奇妙疏导用户下载并执行恶意LNK或ZIP文件。Voldemort的一大特点是利用Google表格进行号令与节造（C2），躲避传统安全检测，显示了高度的荫蔽性和创新性。其指标重要锁定在保险公司、航空航天、交通运输及大学等18个垂直行业，且精准定位受害者至其居住国，显示出深档次的间谍动机。此表，该恶意软件还选取罕见的Windows .search-ms文件体式，假装远程文件为本地文件，结合DLL劫持技术，进一步增长习染成功率。然而，攻击活动中也露出出一些简陋之处，如使用单一的文件定名约定，使得该活动出现出“弗兰肯斯坦式混合体”的特点，难以判断威胁行为者的真实技术水平。

https://securityonline.info/cyber-espionage-campaign-leverages-novel-tactics-and-voldemort-malware-to-target-global-organizations/https://securityonline.info/cyber-espionage-campaign-leverages-novel-tactics-and-voldemort-malware-to-target-global-organizations/

2. APT组织Citrine Sleet利用Chrome 0day部署FudModule rootkit

8月31日，与朝鲜有关联的APT组织Citrine Sleet（亦称AppleJeus、Labyrinth Chollima等）利用新建补的Google Chrome零日缝隙CVE-2024-7971，成功部署了FudModule rootkit。该缝隙（CVSS评分8.8）影响特定版本的Chromium，允许攻击者在沙盒化的渲染器过程中执行远程代码。Citrine Sleet通过精心设计的垂钓战术，诱使受害者接见其节造的恶意域名，进而触发CVE-2024-7971缝隙，下载并执行蕴含Windows沙盒逃逸缝隙（CVE-2024-38106）和FudModule rootkit的shellcode。FudModule rootkit选取直接内查对象操作（DKOM）技术，从用户模式运行并篡改内核，滋扰安全机造，只管在指标设备上未检测到后续恶意活动。值妥贴心的是，CVE-2024-38106虽已建复，但可能与Citrine Sleet的利用活动无直接关联，暗示可能存在“缝隙碰撞”景象。Microsoft强调，组织应确保系统实时更新，部署具备全面网络攻击链可见性的安全解决规划，并加强操作环境配置，以有效检测和阻止此类高级威胁。

https://securityaffairs.com/167848/breaking-news/north-korea-linked-apt-exploited-chrome-zero-day-cve-2024-7971.html

3. GitHub 遭滥用：数千条虚伪建复评论分发Lumma Stealer恶意软件

8月31日，GitHub 平台近期遭逢了滥用，犯法分子通过在项目评论中颁布虚伪建复法式的方式，宽泛分发 Lumma Stealer 信息窃取恶意软件。这一活动最初由teloxide rust库的贡献者在Reddit上告发，随后BleepingComputer深刻调查发现，数千条类似评论已遍布GitHub多个项目，诱导用户下载并执行蕴含恶意软件的文件。这些评论假装成问题解决规划，诱骗用户从mediafire.com或bit.ly链接下载名为“fix.zip”的加密存档，并提醒使用统一密码“changeme”解锁。三天内，此类推广恶意软件的评论数量激增至超过29,000条。下载的存档中蕴含DLL文件和可执行文件x86_64-w64-ranlib.exe，经分析确以为Lumma Stealer，一种可能深刻用户浏览器窃取敏感信息的高级信息窃取工具。此表，它还针对加密钱币钱包和特定数名的文本文件进行搜索，网络可能蕴含私钥和密码的数据。只管GitHub迅快响应并删除了这些恶意评论，但已有效户受害。受影响用户需当即为所有账户更换唯一密码，并将加密钱币转移至新钱包。

https://www.bleepingcomputer.com/news/security/github-comments-abused-to-push-password-stealing-malware-masked-as-fixes/

4. 复杂网络垂钓攻击告发：AsyncRAT与Infostealer联手威胁用户安全

8月31日，eSentire 威胁响应部门（TRU）的钻研人员告发了一项复杂的网络垂钓攻击，该攻击利用精心设计的习染链分发 AsyncRAT 远程接见木马（RAT）及其信息窃取插件 Infostealer。攻击始于一封看似无害的垂钓邮件，内含假装成正常文件的恶意存档。执行后，这一存档触发了一系列复杂操作，蕴含下载并执行混合的 VBScript 和 PowerShell 剧本，最终部署 AsyncRAT 及其插件。攻击过程中，恶意软件通过下载看似无害的图像文件（实为 ZIP 存档）并解压出更多恶意剧本和可执行文件，在受害者系统中扎根。它利用打算工作维持悠久性，每两分钟执行一次恶意代码，并通过过程空心化技术将 AsyncRAT 注入合法过程中以逃避检测。AsyncRAT 不仅为攻击者提供对受习染系统的远程节造权，还搭载了 Infostealer 插件，该插件专门对准网络浏览器中的加密钱包扩大和2FA验证工具，旨在窃取蕴含密码、痛处和加密钱币钱包在内的贵重数据。eSentire TRU 呼吁用户维持高度警惕。

https://securityonline.info/evasive-phishing-campaign-delivers-asyncrat-and-infostealer/

5. People Data Labs1.7亿条敏感信息无密码露出

8月30日，Cybernews钻研团队近期发现了一项沉大数据泄露事务，涉及超过1.7亿条敏感幼我信息在互联网上公开露出，数据内容详尽，蕴含全名、联系方式、地址、教育布景及工作经历等。这次泄露的数据集标佑装PDL”标识，指向旧金山的数据经纪公司People Data Labs（PDL），该公司自称占有15亿幼我档案数据库，服务于企业营销、销售及招聘等领域。只管数据泄露源头尚未明确，但Elasticsearch服务器未设密码的严沉安全缝隙成为焦点，这种配置极易被黑客利用，迅快窃取数据，对幼我隐衷组成沉大威胁，增长身份偷窃、诓骗及网络垂钓风险。值妥贴心的是，PDL此前已产生过类似的数据泄露变乱，同样因未�；さ腅lasticsearch服务器导致，涉及数据规模更为重大。这次泄露的“Version 26.2”数据集可能与此前事务有关联，再次露出了PDL在数据安全方面的沉大缺点。

https://cybernews.com/security/people-data-labs-data-leak/

6. Roblox开发人员频遭攻击，伪造npm包传布恶意软件

9月2日，Roblox 开发人员成为一系列恶意攻击的指标，这些攻击通过伪造 npm 包，尤其是仿照盛行的 noblox.js 库，贪图窃取敏感数据和粉碎系统。自今岁首以来，多个名为 noblox.js 变种的软件包被确以为恶意，蕴含 noblox.js-proxy-server 和 noblox-ts，它们通过品牌劫持、组合抢注和星号劫持等技术假装成合法库，诱导开发者下载。这些恶意包如 noblox.js-async、noblox.js-thread 等，只管下载量有限，却成功糊弄了用户。此表，攻击者还选取 starjacking 手法，将虚伪软件包的源存储库象征为现实 noblox.js 库，加强信赖度。这些恶意软件包内嵌的代码不仅窃取 Discord 令牌，还通过批改 Windows 注册表和更新防病毒排除列表来逃避检测和维持悠久性。每当用户尝试打开 Windows 设置利用时，恶意软件便会被激活。最终指标是部署 Quasar RAT，使攻击者能远程节造受习染系统，并将网络到的信息通过 Discord webhook 发送至 C2 服务器。只管已有措施断根这些恶意软件，但新软件包仍不休出现，提醒开发人员需维持高度警惕。

https://thehackernews.com/2024/09/malicious-npm-packages-mimicking.html

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研