网络犯罪分子利用ZIP串联文件战术躲避安全检测

首页 > 安全钻研 > 安全传递 > 安全简讯

网络犯罪分子利用ZIP串联文件战术躲避安全检测

颁布功夫 2024-11-11

1. 网络犯罪分子利用ZIP串联文件战术躲避安全检测

11月7日，据Cyber Security News报路，网络犯罪分子正选取一种复杂的ZIP串联文件战术，专门攻击Windows用户。这种步骤将多个ZIP文件归并为一个存档，利用分歧ZIP阅读器处置方式的差距，使恶意内容更难被安全软件检测。ZIP串联文件现实上蕴含多个中心目录，每个目录指向分歧的文件集，而某些阅读器可能只显示部门内容，从而暗藏恶意文件。例如，7zip通常只显示第一个存档的内容，而WinRAR能读取所有内容，蕴含暗藏的恶意文件。Windows文件资源治理器在处置这种文件时也存在不一致性，导致检测威胁不成靠。已有攻击者通过发送假装成发货通知的网络垂钓电子邮件，利用此技术向受害者发送暗藏的特洛伊木马恶意软件。这种躲避技术的成功在于它能利用工具间的差距，很多安全解决规划也依赖这些工具来扫描档案。因而，黑客越来越多地使用这种步骤针对特定用户，同时逃避其他安全工具的检测。网络安全专家提醒用户应提高警惕，选取多种安全工具和步骤来防备此类攻击。

https://cybersecuritynews.com/hackers-employ-zip-file-concatenation/#google_vignette

2. 英国冬季取暖补助诳骗频发，警方发出忠告

11月9日，随着冬季的到来，英国老年居民成为诳骗分子的指标，他们通过虚伪的“冬季取暖补助”和“生涯费补助”短信执行诳骗。由于当局近期决定削减约1000万养老金领取者的冬季燃料补助，这侄嗫骗活动更具投契性。诳骗短信诱使居民接见犯法域名，网络幼我信息和付款信息。其中一条短信宣称是“最后通知”，提醒收件人在11月12日前回复以接管补助。该短信中的链接将用户疏导至看似GOV.UK的网页，现实上是一个网络垂钓页面，旨在诱骗用户交出幼我信息和付款详情。网络安全钻研员已鉴别出约600个与此活动有关的唯一域名，证了然该活动的规模和威胁行为者的投入。英国警方已发出忠告，提醒养老金领取者警惕此类诳骗短信，预防点击链接或提供幼我信息和付款细节。人们能够向国度网络安全中心、移动服务提供商或有关机构汇报疑似诳骗行为。

https://www.bleepingcomputer.com/news/security/scammers-target-uk-senior-citizens-with-winter-fuel-payment-texts/

3. 恶意Python包“fabrice”窃取AWS痛处，已下载超3.7万次

11月9日，自2021年起，一个名为“fabrice”的恶意Python包在Python包索引(PyPI)中出现，通过窃取Amazon Web Services痛处来攻击开发人员。该软件包利用了与合法且广受迎接的SSH远程服务器治理包“fabric”名称类似的特点，已被下载超过37,000次。fabrice之所以持久未被发现，部门原因是其部署了先进的扫描工具，并且追忆扫描的解决规划较少。该软件包凭据操作系统执行特定操作，在Linux上创建暗藏目录存储编码的shell剧本，在Windows高低载编码的有效负载并执行Python剧本以获取恶意可执行文件。无论使用什么操作系统，fabrice的重要指标都是使用boto3（Amazon Web Services的官方Python SDK）窃取AWS凭证。攻击者将窃取的密钥泄露给由巴黎的M247运营的VPN服务器，增长了追踪难度。为减轻此类风险，用户应查抄从PyPI下载的软件包，并使用专门检测和阻止此类威胁的工具。治理员应试虑使用AWS身份和接见治理(IAM)来治理对资源的权限，以�；WS存储库免受未经授权的接见。

https://www.bleepingcomputer.com/news/security/malicious-pypi-package-with-37-000-downloads-steals-aws-keys/

4. Remcos RAT新变种使用高级技术习染Windows系统

11月9日，Fortinet的FortiGuard尝试室发现了一种新的Remcos RAT（远程接见木马）变种在通过网络垂钓活动传布，针对Microsoft Windows用户。该恶意软件利用CVE-2017-0199缝隙下载并执行HTA文件，该文件经过多层混合处置，蕴含JavaScript、VBScript、Base64编码等，最终下载并执行恶意可执行文件，部署Remcos RAT。该恶意软件拥有多种悠久性机造，如向量异常处置等高级反分析技术，使用哈希值鉴别API，检测调试器的存在，并通过过程挖空技术逃避检测。为了维持对设备的节造，恶意代码在系统注册表中增长了新的自动运行项。为了�；ぷ约�，用户应预防点击电子邮件中的链接或附件，使用安全软件和防病毒软件，并维持软件更新最新补丁。

https://hackread.com/hackers-use-excel-files-remcos-rat-variant-windows/

5. Newpark Resources遭勒索软件攻击，信息系统和业务利用中断

11月8日，德克萨斯州油田供给商Newpark Resources在2024年10月29日遭逢了一次勒索软件攻击，导致其部门信息系统和业务利用法式的接见被中断。该公司迅快启动了网络安全应急打算，并在表部专家的协助下对事务进行了内部调查，以评估和遏造威胁。只管这次攻击对公司的信息系统和业务利用法式造成了影响，但Newpark Resources的造作和现场运营根基未受影响，仍持续执行既定的�；ㄊ�。目前，公司尚未确定这次勒索软件事务的全数成本和影响，但预计不会对财政情况或运营产生沉大影响。Newpark Resources没有泄漏有关这次攻击的具体信息，蕴含习染其系统的恶意软件家族，同时也没有勒索软件组织宣称对这次安全缝隙掌管。将来，若是情况产生变动，该公司将更新有关信息披露。

https://securityaffairs.com/170696/cyber-crime/newpark-resources-ransomware-attack.html

6. Veeam VBR缝隙再遭利用，Frag勒索软件肆虐

11月8日，Veeam Backup & Replication (VBR) 软件的一个关键安全缝隙（CVE-2024-40711）最近被利用来部署Frag勒索软件，此前该缝隙已被Akira和Fog勒索软件攻击者利用。该缝隙由不受信赖数据反序列化弱点引起，可导致远程代码执行。Veeam在9月4日颁布了安全更新，而watchTowr Labs和Code White在披露该缝隙时推迟分享更多细节，以预防被勒索软件团伙滥用。然而，Sophos X-Ops发现，这些延长并未能阻止Akira和Fog勒索软件攻击，统一威胁活动集群也使用了该缝隙部署Frag勒索软件。Frag勒索软件团伙在攻击中大量使用受习染系统上已有的合法软件（LOLBins），使得防御者难以检测到他们的活动。Veeam暗示，全球有超过550,000名客户使用其产品，蕴含全球2,000强榜单中约74%的公司，因而该缝隙的影响领域宽泛。

https://www.bleepingcomputer.com/news/security/critical-veeam-rce-bug-now-used-in-frag-ransomware-attacks/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研