伊朗黑客组织OilRig对伊拉克当局提议恶意软件攻击

首页 > 安全钻研 > 安全传递 > 安全简讯

伊朗黑客组织OilRig对伊拉克当局提议恶意软件攻击

颁布功夫 2024-09-14

1. 伊朗黑客组织OilRig对伊拉克当局提议恶意软件攻击

9月12日，伊拉克当局网络近期成为伊朗支持的网络组织OilRig（亦称APT34等）的精心策动攻击指标。据网络安全公司Check Point分析，这次攻击针对伊拉克总理办公室及表交部等关键部门，利用新恶意软件Veaty和Spearal，通过假装文档和社会工程学伎俩渗入网络。OilRig自2014年起在中东地域活跃，善于网络垂钓和定造后门攻击，这次也不例表，展示了其怪异的号令与节造机造，蕴含自界说DNS隧路和基于被习染电子邮件的C2通路。攻击链通过糊弄性文件启动，执行PowerShell或Pyinstaller剧本，删除痕迹并部署恶意软件。Spearal利用DNS隧路通讯，Veaty则通过特定邮箱下载并执行号令。此表，还发现与SSH隧路后门和IIS服务器后门有关的活动，批注攻击者伎俩多样且技术先进。Check Point强调，这次行动凸显了伊朗威胁行为者在地域内的持续和集中致力，以及其在开发专门C2机造上的蓄意投入。

https://thehackernews.com/2024/09/iranian-cyber-group-oilrig-targets.html

2. TrickMo银行木马新变衷熵光：加强威胁，窃取隐衷

9月12日，Cleafy 威胁谍报团队最近告发了TrickMo银行木马的一个新型变种，这一变种不仅继承并强化了其前身针对Android设备银行凭证的传统威胁能力，还引入了屏幕录造、键盘纪录及远程节造等高级职能，极大地扩大了其攻击领域和粉碎力。TrickMo作为TrickBot家族的一员，自2019年初次被发现以来，持续进化，现已成为金融诓骗和幼我隐衷安全的沉大隐患。新变种不仅能拦截一次性密码(OTP)绕过双成分认证(2FA)，更通过直接节造受害者设备执行设备诓骗(ODF)，忽视最缜密的银行安全防护。尤为严沉的是，Cleafy发现该变种还从受习染设备中窃取敏感数据，并将这些数据存储在无�；さ暮帕钣虢谠�(C2)服务器上，导致数据泄露风险激增，任何第三方都能等闲获取这些数据。被盗数据超过 12 GB，蕴含幼我身份证件、财政信息，甚至受害者的私密照片。TrickMo通过滥用Android的辅助职能服务，实现无声无息的权限提升与攻击执行，进一步加剧了其威胁的荫蔽性微风险性。

https://securityonline.info/beware-the-new-trickmo-banking-trojan-enhanced-features-increased-danger/

3. 网络威胁新动向：合法Python库成攻击利器

9月12日，安全钻研人员Mertens近期颁布了一份汇报，揭示了网络威胁领域的一项严格趋向：网络犯罪分子正日益奇妙地利用合法的Python库执行恶意活动。这些库，如pyWinhook、psutil、win32gui和pyperclip，正本用于软件开发和自动化，却被犯罪分子滥用以执行键盘纪录、系统监控、剪贴板劫持等恶意行为。Mertens指出，PyPi.org等重大库生态系统的存在，为恶意软件开发者提供了丰硕的资源。只管这些库自身无害，但它们的壮大职能被犯法分子利用，以逃避检测，实现代码注入、数据泄露等主张。例如，discord库被沉新包装为C2平台，ftplib、dropbox等工具则成为数据泄露的爪牙。更令人忧郁的是，攻击者还选取Python混合技术，如marshal和py_compile，进一步吞吐恶意代码，增长逆向工程的难度。这种战术使得恶意软件更难被安全分析师觉察，从而加剧了网络安全防御的复杂性。

https://securityonline.info/cybersecurity-alert-python-libraries-exploited-for-malicious-intent/

4. 西雅图港遭Rhysida勒索软件攻击

9月13日，西雅图港作为监管西雅图地域海港与机场的沉要当局机构，近期确认其系统在从前三周内遭逢了Rhysida勒索软件团伙的恶意攻击。该攻击始于8月，迫使港口垂危隔离部门关键系统以遏造影响，直接滋扰了西雅图-塔科马国际机场的航班预约与登机流程，导致航班延误。三周后，港口官刚正式指认Rhysida为幕后罪魁，并申明自事发后系统未再受新的未授权活动侵扰，机场及港口设施仍属安全。这次攻击中，Rhysida团伙成功渗入港口推算机系统，加密关键数据，导致蕴含行李处置、自主服务、Wi-Fi网络、信息显示等多个服务中断。只管港口迅快响应，复原了大部门系统，但仍在全力建复如官方网站、访客通畅证服务等关键职能。值妥贴心的是，港口坚定回绝支付赎金，彰显了其守护公共资金安全、不向犯罪妥协的态度。Rhysida作为一种新兴的勒索软件即服务（RaaS），自今年5月活跃以来，已屡次对全球多个领域提议攻击。，CISA与FBI等机构已发出忠告，提醒各行业加强网络安全防护，共同招架勒索软件的侵害。

https://www.bleepingcomputer.com/news/security/port-of-seattle-says-rhysida-ransomware-was-behind-august-attack/

5. Ivanti CSA高危缝隙遭利用，联国机构期限建补

9月13日，Ivanti确认其云服务设备（CSA）解决规划中存在高危缝隙CVE-2024-8190，该缝隙已遭攻击者利用。起初，Ivanti汇报称未发现客户受影响，但随后确认少数客户已中招。该缝隙允许远程认证的治理员通过号令注入在CSA 4.6版本上执行远程代码。Ivanti建议选取特定配置降低风险，并查抄治理用户权限及系统日志以检测攻击尝试。同时，公司督促客户从已终止支持的CSA 4.6.x升级到CSA 5.0版本，或至少更新至CSA 4.6的Patch 519。此表，美国网络安全和基础设施安全局（CISA）已将CVE-2024-8190参与其已知被利用缝隙目录，要求联国机构在10月4日前建复。CISA强调此类缝隙春联国企业组成沉大威胁。Ivanti在全球占有宽泛的合作同伴网络，其产品和服务被超过40,000家公司用于系统治理，这次事务再次凸显了实时建复安全缝隙的沉要性。

https://www.bleepingcomputer.com/news/security/ivanti-warns-high-severity-csa-flaw-is-now-exploited-in-attacks/

6. Trojan Ajina.Banker肆虐中亚：假装合法利用窃取银行信息

9月13日，名为Trojan Ajina.Banker的新型Android恶意软件正肆虐中亚地域，以乌兹别克斯坦神话中的阴毒精灵定名，通过假装成合法利用法式如银行服务和当局门户，利用Telegram等平台上的社交工程战术诱导用户下载并运行恶意文件。自2023年11月以来，已发现约1,400种变种，重要指标为乌兹别克斯坦用户，但攻击领域已扩散至多个国度。Ajina.Banker通过发送诱人优惠和促销信息的恶意链接，以及分享托管恶意软件的频路链接，利用用户的好奇心进行传布。其本地化推广战术在区域社区中造作紧迫感，促使用户不经思虑即点击链接。该恶意软件不仅能网络金融利用信息、SIM卡详情，还能拦截短信以获取2FA验证码，展示出高度适应性和进化能力。值妥贴心的是，Ajina.Banker选取同盟打算模式运营，主题团队与同盟网络合作，通过度享被盗资金激励分发和习染链的扩大。面对这一威胁，专家建议维持警惕，预防点击未经要求的新闻和下载链接，对峙使用官方利用商店下载利用，并仔细查抄利用权限。

https://hackread.com/android-malware-ajina-banker-steal-2fa-codes-telegram/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研