伊朗黑客组织OilRig对伊拉克政府提倡恶意软件攻击

首页 > 清静研究 > 清静转达 > 清静简讯

伊朗黑客组织OilRig对伊拉克政府提倡恶意软件攻击

宣布时间 2024-09-14

1. 伊朗黑客组织OilRig对伊拉克政府提倡恶意软件攻击

9月12日，伊拉克政府网络近期成为伊朗支持的网络组织OilRig（亦称APT34等）的全心策划攻击目的。据网络清静公司Check Point剖析，此次攻击针对伊拉克总理办公室及外交部等要害部分，使用新恶意软件Veaty和Spearal，通过伪装文档和社会工程学手段渗透网络。OilRig自2014年起在中东地区活跃，善于网络垂纶和定制后门攻击，此次也不破例，展示了其奇异的下令与控制机制，包括自界说DNS隧道和基于被熏染电子邮件的C2通道。攻击链通过诱骗性文件启动，执行PowerShell或Pyinstaller剧本，删除痕迹并安排恶意软件。Spearal使用DNS隧道通讯，Veaty则通过特定邮箱下载并执行下令。别的，还发明与SSH隧道后门和IIS服务器后门相关的运动，批注攻击者手段多样且手艺先进。Check Point强调，此次行动凸显了伊朗威胁行为者在地区内的一连和集中起劲，以及其在开发专门C2机制上的蓄意投入。

https://thehackernews.com/2024/09/iranian-cyber-group-oilrig-targets.html

2. TrickMo银行木马新变种曝光：增强威胁，窃取隐私

9月12日，Cleafy 威胁情报团队最近揭破了TrickMo银行木马的一个新型变种，这一变种不但继续并强化了其前身针对Android装备银行凭证的古板威胁能力，还引入了屏幕录制、键盘纪录及远程控制等高级功效，极大地扩展了其攻击规模和破损力。TrickMo作为TrickBot家族的一员，自2019年首次被发明以来，一连进化，现已成为金融诓骗和小我私家隐私清静的重大隐患。新变种不但能阻挡一次性密码(OTP)绕过双因素认证(2FA)，更通过直接控制受害者装备执行装备诓骗(ODF)，无视最严密的银行清静防护。尤为严重的是，Cleafy发明该变种还从受熏染装备中窃取敏感数据，并将这些数据存储在无�；さ南铝钣肟刂�(C2)服务器上，导致数据泄露危害激增，任何第三方都能容易获取这些数据。被盗数据凌驾 12 GB，包括小我私家身份证件、财务信息，甚至受害者的私密照片。TrickMo通过滥用Android的辅助功效服务，实现无声无息的权限提升与攻击执行，进一步加剧了其威胁的隐藏性和危害性。

https://securityonline.info/beware-the-new-trickmo-banking-trojan-enhanced-features-increased-danger/

3. 网络威胁新动向：正当Python库成攻击利器

9月12日，清静研究职员Mertens近期宣布了一份报告，展现了网络威胁领域的一项严肃趋势：网络犯法分子正日益巧妙地使用正当的Python库执行恶意运动。这些库，如pyWinhook、psutil、win32gui和pyperclip，原本用于软件开发和自动化，却被犯法分子滥用以实验键盘纪录、系统监控、剪贴板挟制等恶意行为。Mertens指出，PyPi.org等重大库生态系统的保存，为恶意软件开发者提供了富厚的资源。只管这些库自己无害，但它们的强盛功效被不法分子使用，以逃避检测，实现代码注入、数据泄露等目的。例如，discord库被重新包装为C2平台，ftplib、dropbox等工具则成为数据泄露的爪牙。更令人担心的是，攻击者还接纳Python混淆手艺，如marshal和py_compile，进一步模糊恶意代码，增添逆向工程的难度。这种战略使得恶意软件更难被清静剖析师察觉，从而加剧了网络清静防御的重大性。

https://securityonline.info/cybersecurity-alert-python-libraries-exploited-for-malicious-intent/

4. 西雅图港遭Rhysida勒索软件攻击

9月13日，西雅图港作为羁系西雅图地区海港与机场的主要政府机构，近期确认其系统在已往三周内遭遇了Rhysida勒索软件团伙的恶意攻击。该攻击始于8月，迫使口岸紧迫隔离部分要害系统以阻止影响，直接滋扰了西雅图-塔科马国际机场的航班预订与登机流程，导致航班延误。三周后，口岸官朴直式指认Rhysida为幕后元凶，并声明自事发后系统未再受新的未授权运动扰乱，机场及口岸设施仍属清静。此次攻击中，Rhysida团伙乐成渗透口岸盘算机系统，加密要害数据，导致包括行李处置惩罚、自助服务、Wi-Fi网络、信息显示等多个服务中止。只管口岸迅速响应，恢复了大部分系统，但仍在全力修复如官方网站、访客通行证服务等要害功效。值得注重的是，口岸坚决拒绝支付赎金，彰显了其维护公共资金清静、不向犯法妥协的态度。Rhysida作为一种新兴的勒索软件即服务（RaaS），自今年5月活跃以来，已多次对全球多个领域提倡攻击。，CISA与FBI等机构已发出忠言，提醒各行业增强网络清静防护，配合抵御勒索软件的损害。

https://www.bleepingcomputer.com/news/security/port-of-seattle-says-rhysida-ransomware-was-behind-august-attack/

5. Ivanti CSA高危误差遭使用，联邦机构限期修补

9月13日，Ivanti确认其云服务装备（CSA）解决计划中保存高危误差CVE-2024-8190，该误差已遭攻击者使用。早先，Ivanti报告称未发明客户受影响，但随后确认少数客户已中招。该误差允许远程认证的治理员通过下令注入在CSA 4.6版本上执行远程代码。Ivanti建议接纳特定设置降低危害，并检查治理用户权限及系统日志以检测攻击实验。同时，公司鞭策客户从已终止支持的CSA 4.6.x升级到CSA 5.0版本，或至少更新至CSA 4.6的Patch 519。别的，美国网络清静和基础设施清静局（CISA）已将CVE-2024-8190加入其已知被使用误差目录，要求联邦机构在10月4日前修复。CISA强调此类误差春联邦企业组成重大威胁。Ivanti在全球拥有普遍的相助同伴网络，其产品和服务被凌驾40,000家公司用于系统治理，此次事务再次凸显了实时修复清静误差的主要性。

https://www.bleepingcomputer.com/news/security/ivanti-warns-high-severity-csa-flaw-is-now-exploited-in-attacks/

6. Trojan Ajina.Banker肆虐中亚：伪装正当应用窃取银行信息

9月13日，名为Trojan Ajina.Banker的新型Android恶意软件正肆虐中亚地区，以乌兹别克斯坦神话中的狠毒精灵命名，通过伪装成正当应用程序如银行服务和政府门户，使用Telegram等平台上的社交工程战略诱导用户下载并运行恶意文件。自2023年11月以来，已发明约1,400种变种，主要目的为乌兹别克斯坦用户，但攻击规模已扩散至多个国家。Ajina.Banker通过发送诱人优惠和促销信息的恶意链接，以及分享托管恶意软件的频道链接，使用用户的好奇心举行撒播。其外地化推广战略在区域社区中制造紧迫感，促使用户不经思索即点击链接。该恶意软件不但能网络金融应用信息、SIM卡详情，还能阻挡短信以获取2FA验证码，展现出高度顺应性和进化能力。值得注重的是，Ajina.Banker接纳同盟妄想模式运营，焦点团队与同盟网络相助，通太过享被盗资金激励分发和熏染链的扩大。面临这一威胁，专家建议坚持小心，阻止点击未经请求的新闻和下载链接，坚持使用官方应用市肆下载应用，并仔细检查应用权限。

https://hackread.com/android-malware-ajina-banker-steal-2fa-codes-telegram/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究