研究人员针对巴基斯坦黑客组织Transparent Tribe的间谍软件攻击行动提出警告,指出这些黑客针对新版安卓操作系统调整恶意程序CapraRAT,导致使用者难以察觉受害
去年9月资安业者SentinelOne揭露巴基斯坦黑客组织Transparent Tribe的间谍软件攻击行动CapraTube,当时他们发现对方利用伪装成YouTube安装程序的木马CapraRAT,针对安卓用户而来。如今研究人员发现,这些黑客的手法出现显著的变化。
他们近期发现新一批的木马程序CapraRAT的APK文件,黑客声称提供名为Crazy Games的游戏、冒牌的短视频软件TikTok,以及武器信息(Weapons)、色情视频(Sexy Videos)。这些木马程序都通过WebView组件呈现特定网页内容。
研究人员发现对方针对新版的Android 13、14操作系统进行调整,新版的CapraRAT能在这些平台正常运作,相较之下,去年的版本则会不断出现兼容性警告的对话框,很有可能让用户起疑而察觉有异。
印度软件开发业者遭遇供应链攻击,旗下产品安装档被植入窃资软件
资安业者Rapid7揭露针对印度软件开发业者Conceptworld的攻击行动,对方窜改该公司推出的便笺应用程序Notezilla、剪贴板管理程序RecentX、文件拷贝工具Copywhiz安装程序,一旦用户下载、运行安装,电脑就有可能下载并运行额外的恶意酬载,他们24日向Conceptworld通报此事,该公司于12小时内完成处理,重新上架正常的安装程序。但究竟黑客如何窜改该公司网站上的文件,目前仍不得而知。
研究人员比对合法及被窜改的文件指出,这些被加料的安装文件,内含的恶意软件能够窃取浏览器帐密数据、加密货币钱包信息,并侧录剪贴板内容、用户键盘输入的内容,而且,还能下载并运行其他的恶意酬载。
木马程序Orcinius通过假造的VBA代码进行散布
黑客借由带有巨集的Office文件散布恶意程序的情况很常见,但最近一起攻击行动当中,对方利用了罕见的手法「VBA stomping」来回避侦测,而引起研究人员的关注。
资安业者SonicWall揭露名为Orcinius的RAT木马程序,黑客通过多阶段感染的手法,滥用云端文件共用服务Dropbox、云端文档服务Google Docs来下载第2阶段的有效酬载,并保持程序的最新状态。值得留意的是,该恶意程序的攻击过程里,对方运用了经过混淆处理的VBA巨集,而能与Windows操作系统进行挂钩(Hook),监控正在运行的窗口、用户键盘输入的内容,并窜改机码以便在受害电脑持续活动。
黑客组织8220锁定Oracle WebLogic服务器已知漏洞而来,通过PowerShell脚本散布挖矿软件
最近几年中国黑客组织8220(Water Sigbin)锁定企业应用系统漏洞,借此入侵部署作案工具,占用系统硬件资源挖矿的情况不时传出,现在有研究人员发现,这些黑客作案的手法变得更隐密。
资安业者趋势科技揭露8220最新一波的攻击行动,这些黑客针对Oracle WebLogic服务器已知漏洞CVE-2017-3506、CVE-2023-21839而来,通过PowerShell脚本,最终在受害服务器植入挖矿程序XMRig。
CISA针对地理位置信息服务器GeoServer、Linux内核、邮件服务器Roundcube遭到利用的漏洞提出警告
上周美国网络安全暨基础设施安全局(CISA)将3项已知漏洞列入已被用于攻击行动的漏洞列表(KEV),并要求联邦机构要在7月17日前完成修补。
这些漏洞分别是:地理位置信息服务器GeoServer重大层级代码注入漏洞CVE-2022-24816、Linux内核的内存释放后又再存取使用(Use After Free,UAF)漏洞CVE-2022-2586,以及邮件服务器Roundcube跨网站脚本(XSS)漏洞CVE-2020-13965,CVSS风险评分为9.8、7.8、6.1。
根据CVSS评分,最严重的漏洞是CVE-2022-24816,这项漏洞发生的原因在于,GeoServer采用的开源组件JAI-EXT当中,一旦此应用系统使用jt-jiffle,并允许通过互联网取得Jiffle脚本,就有机会导致攻击者能远程运行代码。
其他攻击与威胁
◆韩国ERP业者更新服务器遭到供应链攻击,北韩黑客Andariel借此散布恶意程序
◆研究人员揭露生成式AI越狱手法Skeleton Key
【漏洞与修补】
热门相依管理工具CocoaPods存在漏洞,恐波及数百万个macOS与iOS程序
以色列资安业者E.V.A Information Security本周披露,用于苹果平台的程序相依管理工具CocoaPods存在三大漏洞CVE-2024-38366、CVE-2024-38367与CVE-2024-38368,它们都与验证服务器Trunk有关,允许未经授权的用户认领孤儿Pod套件,破坏受害者的会话,甚至可取得Trunk服务器与基础设施的最高存取权限。不过,上述漏洞皆已于去年完成修补。
CocoaPods是个开源的应用程序相依性管理工具,目前有超过300万个行动程序用它来管理10万个函数库,广泛应用在苹果的Swift与Objective-C项目中。换句话说,只要是针对macOS、iOS、iPadOS或其它苹果平台所开发的程序采用CocoaPods,都可能受到波及。
其他漏洞与修补
◆新型态Intel处理器漏洞Indirector恐曝露敏感数据
◆Splunk修补旗下产品的高风险漏洞
◆Google发布7月份安卓例行更新,修补25个安全弱点
近期资安日报
【7月2日】研究人员揭露polyfill供应链攻击事故最新发现,黑客同时运用多个网域犯案,保守估计超过30万个网站受害
【7月1日】远程桌面连接解决方案业者TeamViewer传出遭俄罗斯黑客APT29入侵,该公司强调旗下产品未受影响
【6月28日】前几天Polyfill.io供应链攻击事件曝光震撼整个IT界,后续传出中国CDN业者另起炉灶,再度对10万网站下手
