AgentTesla基于无文件 .NET 的代码注入进行传播
发布时间 2024-04-304月29日,最近的恶意软件活动使用 Word 文档中的 VBA 宏来下载并执行 64 位 Rust 二进制文件。该二进制文件采用无文件注入技术将恶意 AgentTesla 有效负载加载到其内存空间中。该恶意软件利用 CLR 托管(一种本机进程执行 .NET 代码的机制)来实现此目的,并且动态加载 .NET 运行时库,从而允许恶意软件在不将文件写入光盘的情况下进行操作。该恶意软件通过修补“EtwEventWrite”API 来禁用 Windows 事件跟踪 (ETW),然后从特定 URL 下载包含 AgenetTesla 有效负载的 shellcode。然后使用“EnumSystemLocalesA”API 执行 shellcode。
https://gbhackers.com/clr-hosting-used-by-agenttesla/
2. 针对 USPS 的网络钓鱼活动与 USPS 本身一样多
4月26日,Akamai 研究人员发现了大量极有可能的恶意活动和声称与美国邮政服务 (USPS) 相关的域名。Akamai 研究人员将五个月的合法域名 usps[.]com 的 DNS 流量与非法组合抢注域名的 DNS 流量进行了比较。恶意域与 usps[.]com 的总查询计数几乎相同,即使仅计算包含明确 USPS 缩写词的域也是如此。尽管在此分析中,USPS 赢得了这 5 个月期间总查询量的 51%,但我们过滤数据的方式表明,恶意流量明显超过了现实世界中的合法流量。我们看到恶意行为者采用了两种不同的方法:他们要么将流量分散到许多不同的域名,要么仅使用几个域,每个域都有大量流量。这可能是出于混淆目的:运营商和其他托管提供商意识到这些诈骗的普遍存在,并正在警惕地尝试识别和删除这些页面。考虑到消除这些骗局的关注程度,他们的结果和我们的观察更令人担忧。
https://www.akamai.com/blog/security-research/phishing-usps-malicious-domains-traffic-equal-to-legitimate-traffic
3. 谷歌浏览器的新后量子加密技术可能会破坏 TLS 连接
4月28日,一些 Google Chrome 用户报告在 Chrome 124 上周发布后,在默认启用新的抗量子 X25519Kyber768 封装机制的情况下,连接到网站、服务器和防火墙时出现问题。谷歌已测试量子安全 TLS 密钥封装机制,现已在最新的 Chrome 版本中为所有用户启用。新版本利用用于 TLS 1.3 和 QUIC 连接的 Kyber768 抗量子密钥协商算法来保护 Chrome TLS 流量免受量子密码分析。这些错误不是由 Google Chrome 中的错误引起的,而是由 Web 服务器未能正确实现传输层安全性 (TLS) 以及无法处理用于后量子加密的较大 ClientHello 消息引起的。如果不支持 X25519Kyber768,这会导致他们拒绝使用 Kyber768 抗量子密钥协商算法的连接,而不是切换到经典加密。
https://www.bleepingcomputer.com/news/security/google-chromes-new-post-quantum-cryptography-may-break-tls-connections/
4. Kotak Mahindra 银行被禁止应用程序注册新客户
4月28日,印度储备银行已实施对 Kotak Mahindra 银行的禁令,禁止通过在线服务和应用程序注册新客户。该措施是在IT系统管理中发现重大缺陷后采取的,这些缺陷包括IT资产管理、更新和变更、用户访问、供应商相关风险、数据安全、数据泄露预防策略和灾难恢复策略。Kotak Mahindra Bank 为超过 4100 万客户提供服务,管理着超过 5000 亿美元的资产,该银行在 2022/2023 财年年度报告中表示,该银行一直致力于加强安全措施。然而,央行认为这些努力不够。历时两年的检查显示,该行未能充分解决IT风险和信息安全管理问题。此外,该银行还经历了影响客户的技术故障,引发了人们对其保持运营弹性与其增长率保持一致的能力的担忧。
https://meterpreter.org/rbi-cracks-down-on-kotak-mahindra-online-banking-halt/
5. 黑客声称已渗透白俄罗斯的主要安全部门
4月28日,白俄罗斯黑客组织声称已渗透到该国主要克格勃安全机构的网络,并访问了该组织 8600 多名员工的人事档案,该组织仍以其苏联名称命名。为了支持其说法,白俄罗斯网络游击队在消息应用程序 Telegram 的页面上发布了该网站管理员、数据库和服务器日志的列表。网络游击队在过去四年中对白俄罗斯官方媒体进行了数次大规模攻击,并在 2022 年对白俄罗斯铁路进行了 3 次黑客攻击,劫持了交通灯和控制系统的控制权。
https://www.securityweek.com/hackers-claim-to-have-infiltrated-belarus-main-security-service/
6. 抓取Discord的6.2亿条信息的Spy.pet已关闭
4月29日,该网站自去年 11 月以来一直在窃取 Discord 用户的公共数据,并于上周被发现该平台包含来自 14000 多台 Discord 服务器的近 6.2 亿用户的消息后被曝光。当 Spy.pet 被发现时,Discord 正在努力对任何违反其服务条款的人采取行动,但无法透露更多信息。Discord已经禁用与Spy.pet 网站有关的帐户。Spy.pet 声称可以访问的 Discord 服务器数量上周开始下降,上周四降至零。到周五,Spy.pet 网站本身已经停止运营——尽管尚不清楚该网站是否因为 Discord 的行为而离线。
https://www.theregister.com/2024/04/29/infosec_in_brief/
京公网安备11010802024551号