Magnet Goblin 黑客组织使用误差安排 Nerbian RAT

首页 > 清静研究 > 清静转达 > 清静简讯

Magnet Goblin 黑客组织使用误差安排 Nerbian RAT

宣布时间 2024-03-12

1. Magnet Goblin 黑客组织使用误差安排 Nerbian RAT

3月11日，一个名为Magnet Goblin的出于经济念头的威胁行为者正在迅速将1day清静误差纳入其武器库，以便伺机破损边沿装备和面向公众的服务，并在受熏染的主机上安排恶意软件。敌手提倡的攻击使用未修补的 Ivanti Connect Secure VPN、Magento、Qlik Sense 以及可能的 Apache ActiveMQ 服务器作为初始熏染前言来获得未经授权的会见。据称该组织至少自 2022 年 1 月起就一直活跃。乐成使用此误差后，会安排一个名为 Nerbian RAT 的跨平台远程会见木马 (RAT)，该木马由 Proofpoint 于 2022 年 5 月首次披露，其简化变种为 MiniNerbian。Darktrace之前曾强调过 Linux 版本 Nerbian RAT 的使用。这两种病毒都允许执行从下令与控制 (C2) 服务器吸收的恣意下令，并泄露返回给它的效果。Magnet Goblin 使用的其他一些工具包括WARPWIRE JavaScript 凭证窃取程序、基于 Go 的隧道软件 Ligolo，以及正当的远程桌面产品（例如 AnyDesk 和 ScreenConnect）。

https://thehackernews.com/2024/03/magnet-goblin-hacker-group-leveraging-1.html

2. 针对美国和欧洲企业的新 DoNex 勒索软件

3月11日，美国和欧洲各地的企业都处于高度警备状态，由于一种被称为“DoNex”的新型勒索软件一直在起劲危害企业并声称受害者。关于这种突发威胁，网络清静专家加班加点地相识攻击的所有规模并制订对策。DoNex 勒索软件组织通过在其暗网门户（可通过 Onion 网络会见）上将多家公司列为受害者而著名。该团伙的手段尤为阴险，接纳双重勒索手段。这不但涉及文件加密，然后附加一个唯一的。VictimID 扩展，并且还会泄露敏感数据，将其作为人质，以向受害者施加特殊压力，要求其支付赎金。受影响的公司在其系统上发明了名为 Readme.VictimID.txt 的勒索字条，该字条指示他们通过 Tox Messenger 与 DoNex 组织建设联系，Tox Messenger 是一种点对点即时新闻服务，以其清静和匿名功效而著名。

https://gbhackers.com/donex-ransomware-observed/

3. 伪装成 Notion 装置程序的 MSIX 恶意软件

3月11日，伪装成 Notion 装置程序的 MSIX 恶意软件正在分发。分发网站看起来与现实的 Notion 主页相似。装置后，StartingScriptWrapper.ps1 和refresh.ps1 文件将在应用程序的路径内建设。StartingScriptWrapper.ps1 文件是一个正当文件，包括 MS 署名，具有执行作为参数给出的 Powershell 剧本的功效。该文件允许在装置历程和执行特定 Powershell 剧本时代读取包内的 config.json 设置文件。此下令从 C2 服务器下载附加 Powershell 下令并执行它们。C2服务器现在没有准确响应，但剖析团队在起源剖析时代确认了LummaC2恶意软件的漫衍。在运行文件之前，用户应该检查文件是否来自官方网站的域，纵然文件是使用正当证书署名的，也要检查署名作者。建议在执行 MSIX 文件时格外小心，由于多种恶意变体不但会伪装 Notion，还会伪装 Slack、WinRar 和 Bandicam 等应用程序。

https://asec.ahnlab.com/en/62815/

4. 日本将 PyPI 供应链网络攻击归罪于朝鲜

3月11日，日本网络清静官员忠言称，朝鲜污名昭著的 Lazarus Group 黑客团队最近针对 Python 应用程序的 PyPI 软件存储库发动了供应链攻击。威胁加入者上传了名为“pycryptoenv”和“pycryptoconf”等受污染的包，其名称与正当的 Python 加密工具包“pycrypto”类似。被诱骗将恶意软件包下载到 Windows 盘算机上的开发职员会熏染一种名为 Comebacker 的危险特洛伊木马。Gartner 高级总监兼剖析师 Dale Gardner 将 Comebacker 形貌为一种通用木马，用于投放勒索软件、窃取凭证和渗透开发流程。Comebacker 已被安排在与朝鲜有关的其他网络攻击中，包括对 npm 软件开发存储库的攻击。

https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack

5. 黑客使用 WordPress 插件缺陷用恶意软件熏染 3300 个网站

3月10日，黑客使用 Popup Builder 插件过时版本中的误差入侵 WordPress 网站，用恶意代码熏染 3,300 多个网站。攻击中使用的缺陷被追踪为 CVE-2023-6000，这是一个影响 Popup Builder 版本 4.2.3 及更早版本的跨站点剧本 (XSS) 误差，最初于 2023 年 11 月披露。今年年头发明的 Balada Injector 运动使用该特定误差熏染了 6,700 多个网站，这批注许多网站治理员没有足够快地修补补丁。Sucuri 现在报告发明一个新的运动在已往三周内显着增添，针对的是 WordPress 插件上的相同误差。凭证 PublicWWW 的效果，在3,329 个 WordPress 网站中发明了与这一最新运动相关的代码注入，Sucuri 自己的扫描仪检测到了 1,170 个熏染。

https://www.bleepingcomputer.com/news/security/hackers-exploit-wordpress-plugin-flaw-to-infect-3-300-sites-with-malware/

6. 泽西岛金融服务委员会的数据泄露

3月7日，泽西岛金融服务委员会的数据泄露导致非果真姓名和地点的会见。该组织于 1 月 23 日确认其注册系统中检测到一个“误差”。该公司体现，此次泄密事务并未将任何小我私家与注册实体或所担当的角色联系起来，并且已单独写信给那些姓名和地点被泄露的人。起源法医审查发明走漏是由于第三方提供的注册系统设置过失造成的。该组织体现：“我们对爆发这种情形深感遗憾，现在正在进一程序查以确定这是怎样爆发的。”JFSC 体现正在与泽西岛信息专员办公室相助。认真金融服务的副部长伊恩·戈斯特体现，此次泄露影响了系统中“有限数目的条目”。他增补道：“我对爆发这一过失感应歉仄，我相识团结金融服务委员会正在举行最彻底的视察，以确保罗致教训，并刷新和增强挂号册的设计。

https://www.bbc.com/news/articles/cnk5zyypw24o?&web_view=true

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究