PipeMagic木马利用伪造ChatGPT利用法式攻击沙特阿拉伯

首页 > 安全钻研 > 安全传递 > 安全简讯

PipeMagic木马利用伪造ChatGPT利用法式攻击沙特阿拉伯

颁布功夫 2024-10-17

1. PipeMagic木马利用伪造ChatGPT利用法式攻击沙特阿拉伯

10月15日，卡巴斯基全球钻研与分析团队（GReAT）近期披露了一项新的网络攻击活动，该活动利用一种名为PipeMagic的复杂后门木马进行传布，其地理指标已从亚洲扩大到沙特阿拉伯。这次攻击中，网络犯罪分子选取了一款用Rust开发的伪造ChatGPT利用法式作为初始习染媒介，该法式利用常见的Rust库来躲避初步检测，但在执行时仅显示空缺屏幕，并暗藏一个蕴含恶意负载的加密数据数组。在后续阶段，恶意软件会选取名称哈希算法定位关键的Windows API函数，以分配内存、加载PipeMagic后门、配置设置并启动恶意软件。PipeMagic木马拥有怪异的职能，可能天生一个16字节的随机数组，用于成立定名管路以实现荫蔽通讯和号令执行，其号令和节造（C2）服务器被托管在Microsoft Azure上。

https://securityonline.info/pipemagic-trojan-exploits-fake-chatgpt-app-to-target-saudi-arabian-organizations/

2. ErrorFather活动利用未被发现Cerberus银行木马进行复杂攻击

10月15日，网络安全提供商Cyble汇报了一项新的复杂恶意活动，该活动在使用未被发现的Cerberus Android银行木马负载。Cyble发现了15个假意Chrome和Play Store利用的恶意样本，这些样本选取多阶段投放器部署银行木马负载，并利用了Cerberus银行木马。Cerberus是一种能够窃取银行利用法式登录痛处、信誉卡具体信息和其他幼我信息的恶意法式，自2019年出现以来已成为最驰名的银行木马之一。只管其源代码在2020年泄露，导致出现了新的变种如Alien和ERMAC，但Cerberus及其分支仍在不休被沉新利用。这次ErrorFather活动中，威胁行为者对恶意软件进行了轻微批改，但重要基于原始的Cerberus代码，选取了复杂的习染链，使检测和删除工作变得复杂。最终的有效载荷选取键盘纪录、覆盖攻击、VNC和域天生算法(DGA)来执行恶意活动。Cyble建议用户仅从官方利用商店下载软件，使用驰名防病毒和互联网安全软件包，使用强密码和多成分身份验证，启用生物鉴别安全职能，并确保Android设备上启用了Google Play Protect。

https://www.infosecurity-magazine.com/news/cerberus-android-banking-trojan/

3. CISA忠告SolarWinds WHD软件严沉安全缝隙正被积极利用

10月16日，美国网络安全和基础设施安全局（CISA）颁发，已将影响SolarWinds Web Help Desk (WHD) 软件的严沉安全缝隙CVE-2024-28987（CVSS评分9.1）增长到其已知被利用缝隙（KEV）目录中，并指出已有证据批注该缝隙在被自动利用。此缝隙与硬编码凭证有关，可能使远程未经身份验证的用户获得接见权限并进行数据批改。SolarWinds在2024年8月下旬初次公开了该缝隙详情，随后网络安全公司Horizon3.ai进一步提供了技术细节。安全钻研员扎克·汉利指出，该缝隙能让攻击者远程读取和批改援手台票证中的敏感信息，如沉置密码请乞征服务帐户痛处。只管目前尚不明显该缝隙的具体利用情况和利用者身份，但这一发现紧随CISA两个月前将统一软件中的另一高危缝隙（CVE-2024-28986，CVSS评分9.8）纳入KEV目录之后。鉴于此，联国民事行政部门（FCEB）机构需在2024年11月5日前利用最新建复法式（版本12.8.3 Hotfix 2或更高），以确保网络安全。

https://thehackernews.com/2024/10/cisa-warns-of-active-exploitation-in.html

4. 黑客利用EDRSilencer红队工具绕过安全防护进行攻击

10月15日，钻研人员近日发现了一种名为EDRSilencer的红队操作工具，该工具可能鉴别安全工具并将其向治理节造台发出的警报静音，从而援手攻击者逃避检测。EDRSilencer是一个开源工具，受MdSec NightHawk FireBlock启发而开发，可检测运行中的端点检测和响应（EDR）过程，并使用Windows过滤平台（WFP）监控、阻止或批改网络流量。通过自界说规定，攻击者能够粉碎EDR工具与其治理服务器之间的数据互换，阻止警报和遥测汇报的发送。在最新版本中，EDRSilencer可检测并阻止16种现代EDR工具。趋向科技等网络安全公司对EDRSilencer进行了测试，发现一些受影响的EDR工具可能仍能发送汇报，但EDRSilencer允许攻击者扩大指标过程列表以涵盖各类安全工具。这使得恶意软件或其他恶意活动可能仍未被发现，增长了攻击成功的可能性。趋向科技建议将EDRSilencer作为恶意软件进行检测，并执行多档次的安全节造来防备此类攻击。

https://www.bleepingcomputer.com/news/security/edrsilencer-red-team-tool-used-in-attacks-to-bypass-security/

5. OwlTing因AWS S3存储桶配置谬误，露出765,000用户敏感数据

10月15日，区块链技术公司OwlTing因配置谬误的亚马逊S3存储桶，意暴露出了765,000名用户的敏感数据，重要影响台湾的酒店客人。泄露的数据蕴含全名、电话号码、电子邮件地址以及酒店预约详情等幼我信息。OwlTing成立于2010年，是一家服务于全球游览、食品安全、酒店、媒体和其他电子商务领域并提供驰名区块链解决规划的台湾公司。OwlTing确认了数据泄露，但宣称不涉及敏感数据，然而Cybernews钻研人员忠告说，这些信息可能导致身份偷窃和诓骗。泄露的数据对网络犯罪分子来说极度有价值，可能被用于鱼叉式网络垂钓、语音垂钓、短信垂钓等攻击。Cybernews建议采取一系列措施来缓解亚马逊S3存储桶露出的风险，蕴含限度公开接见、监控接见日志、启用服务器端加密等。

https://cybernews.com/security/taiwan-visitors-exposed-in-massive-data-leak-owlting/

6. 朝鲜黑客组织ScarCruft利用IE零日缝隙提议攻击

10月16日，朝鲜黑客组织ScarCruft（又称APT37或RedEyes）于5月提议大规模攻击，利用Internet Explorer的零日缝隙CVE-2024-39178，通过特造的Toast弹出告白习染指标设备，植入RokRAT恶意软件以窃取数据。该缝隙为类型混合缝隙，ASEC和NCSC发现后迅快通知微软，微软于8月颁布安全更新建复。钻研人员指出，这次攻击的缝隙与ScarCruft从前使用的CVE-2022-41128缝隙类似，仅增长三行代码以绕过旧建复。ScarCruft入侵韩国告白公司服务器，在盛行免费软件中推送含恶意iframe的Toast告白，当由Internet Explorer渲染时，触发远程代码执行。RokRAT变种每30分钟将特定文件传输至Yandex云事俘，同时执行键盘纪录、监督剪贴板更改和屏幕截图捕获。攻击通过四步过程注入“explorer.exe”过程以逃避检测，若检测到Avast或Symantec防病毒软件，则将恶意软件注入随机可执行文件中。通过在Windows启动时增长最终有效负载并注册到系统调度法式中，实现悠久性习染。

https://www.bleepingcomputer.com/news/security/malicious-ads-exploited-internet-explorer-zero-day-to-drop-malware/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研