伊朗黑客组织OilRig对伊拉克政府提倡恶意软件攻击

首页 > 清静研究 > 清静转达 > 清静简讯

伊朗黑客组织OilRig对伊拉克政府提倡恶意软件攻击

宣布时间 2024-09-14

1. 伊朗黑客组织OilRig对伊拉克政府提倡恶意软件攻击

9月12日，，，，，，伊拉克政府网络近期成为伊朗支持的网络组织OilRig（亦称APT34等）的全心策划攻击目的。。。。。据网络清静公司Check Point剖析，，，，，，此次攻击针对伊拉克总理办公室及外交部等要害部分，，，，，，使用新恶意软件Veaty和Spearal，，，，，，通过伪装文档和社会工程学手段渗透网络。。。。。OilRig自2014年起在中东地区活跃，，，，，，善于网络垂纶和定制后门攻击，，，，，，此次也不破例，，，，，，展示了其奇异的下令与控制机制，，，，，，包括自界说DNS隧道和基于被熏染电子邮件的C2通道。。。。。攻击链通过诱骗性文件启动，，，，，，执行PowerShell或Pyinstaller剧本，，，，，，删除痕迹并安排恶意软件。。。。。Spearal使用DNS隧道通讯，，，，，，Veaty则通过特定邮箱下载并执行下令。。。。。别的，，，，，，还发明与SSH隧道后门和IIS效劳器后门相关的活动，，，，，，批注攻击者手段多样且手艺先进。。。。。Check Point强调，，，，，，此次行动凸显了伊朗威胁行为者在地区内的一连和集中起劲，，，，，，以及其在开发专门C2机制上的蓄意投入。。。。。

https://thehackernews.com/2024/09/iranian-cyber-group-oilrig-targets.html

2. TrickMo银行木马新变种曝光：增强威胁，，，，，，窃取隐私

9月12日，，，，，，Cleafy 威胁情报团队最近揭破了TrickMo银行木马的一个新型变种，，，，，，这一变种不但继续并强化了其前身针对Android装备银行凭证的古板威胁能力，，，，，，还引入了屏幕录制、键盘纪录及远程控制等高级功效，，，，，，极大地扩展了其攻击规模和破损力。。。。。TrickMo作为TrickBot家族的一员，，，，，，自2019年首次被发明以来，，，，，，一连进化，，，，，，现已成为金融诓骗和小我私家隐私清静的重大隐患。。。。。新变种不但能阻挡一次性密码(OTP)绕过双因素认证(2FA)，，，，，，更通过直接控制受害者装备执行装备诓骗(ODF)，，，，，，无视最严密的银行清静防护。。。。。尤为严重的是，，，，，，Cleafy发明该变种还从受熏染装备中窃取敏感数据，，，，，，并将这些数据存储在无�；；；さ南铝钣肟刂�(C2)效劳器上，，，，，，导致数据泄露危害激增，，，，，，任何第三方都能容易获取这些数据。。。。。被盗数据凌驾 12 GB，，，，，，包括小我私家身份证件、财务信息，，，，，，甚至受害者的私密照片。。。。。TrickMo通过滥用Android的辅助功效效劳，，，，，，实现无声无息的权限提升与攻击执行，，，，，，进一步加剧了其威胁的隐藏性和危害性。。。。。

https://securityonline.info/beware-the-new-trickmo-banking-trojan-enhanced-features-increased-danger/

3. 网络威胁新动向：正当Python库成攻击利器

9月12日，，，，，，清静研究职员Mertens近期宣布了一份报告，，，，，，展现了网络威胁领域的一项严肃趋势：网络犯法分子正日益巧妙地使用正当的Python库执行恶意活动。。。。。这些库，，，，，，如pyWinhook、psutil、win32gui和pyperclip，，，，，，原本用于软件开发和自动化，，，，，，却被犯法分子滥用以实验键盘纪录、系统监控、剪贴板挟制等恶意行为。。。。。Mertens指出，，，，，，PyPi.org等重大库生态系统的保存，，，，，，为恶意软件开发者提供了富厚的资源。。。。。只管这些库自己无害，，，，，，但它们的强盛功效被不法分子使用，，，，，，以逃避检测，，，，，，实现代码注入、数据泄露等目的。。。。。例如，，，，，，discord库被重新包装为C2平台，，，，，，ftplib、dropbox等工具则成为数据泄露的爪牙。。。。。更令人担心的是，，，，，，攻击者还接纳Python混淆手艺，，，，，，如marshal和py_compile，，，，，，进一步模糊恶意代码，，，，，，增添逆向工程的难度。。。。。这种战略使得恶意软件更难被清静剖析师察觉，，，，，，从而加剧了网络清静防御的重大性。。。。。

https://securityonline.info/cybersecurity-alert-python-libraries-exploited-for-malicious-intent/

4. 西雅图港遭Rhysida勒索软件攻击

9月13日，，，，，，西雅图港作为羁系西雅图地区海港与机场的主要政府机构，，，，，，近期确认其系统在已往三周内遭遇了Rhysida勒索软件团伙的恶意攻击。。。。。该攻击始于8月，，，，，，迫使口岸紧迫隔离部分要害系统以阻止影响，，，，，，直接滋扰了西雅图-塔科马国际机场的航班预订与登机流程，，，，，，导致航班延误。。。。。三周后，，，，，，口岸官朴直式指认Rhysida为幕后元凶，，，，，，并声明自事发后系统未再受新的未授权活动扰乱，，，，，，机场及口岸设施仍属清静。。。。。此次攻击中，，，，，，Rhysida团伙乐成渗透口岸盘算机系统，，，，，，加密要害数据，，，，，，导致包括行李处置惩罚、自助效劳、Wi-Fi网络、信息显示等多个效劳中止。。。。。只管口岸迅速响应，，，，，，恢复了大部分系统，，，，，，但仍在全力修复如官方网站、访客通行证效劳等要害功效。。。。。值得注重的是，，，，，，口岸坚决拒绝支付赎金，，，，，，彰显了其维护公共资金清静、不向犯法妥协的态度。。。。。Rhysida作为一种新兴的勒索软件即效劳（RaaS），，，，，，自今年5月活跃以来，，，，，，已多次对全球多个领域提倡攻击。。。。。，，，，，，CISA与FBI等机构已发出忠言，，，，，，提醒各行业增强网络清静防护，，，，，，配合抵御勒索软件的损害。。。。。

https://www.bleepingcomputer.com/news/security/port-of-seattle-says-rhysida-ransomware-was-behind-august-attack/

5. Ivanti CSA高危误差遭使用，，，，，，联邦机构限期修补

9月13日，，，，，，Ivanti确认其云效劳装备（CSA）解决计划中保存高危误差CVE-2024-8190，，，，，，该误差已遭攻击者使用。。。。。早先，，，，，，Ivanti报告称未发明客户受影响，，，，，，但随后确认少数客户已中招。。。。。该误差允许远程认证的治理员通过下令注入在CSA 4.6版本上执行远程代码。。。。。Ivanti建议接纳特定设置降低危害，，，，，，并检查治理用户权限及系统日志以检测攻击实验。。。。。同时，，，，，，公司鞭策客户从已终止支持的CSA 4.6.x升级到CSA 5.0版本，，，，，，或至少更新至CSA 4.6的Patch 519。。。。。别的，，，，，，美国网络清静和基础设施清静局（CISA）已将CVE-2024-8190加入其已知被使用误差目录，，，，，，要求联邦机构在10月4日前修复。。。。。CISA强调此类误差春联邦企业组成重大威胁。。。。。Ivanti在全球拥有普遍的相助同伴网络，，，，，，其产品和效劳被凌驾40,000家公司用于系统治理，，，，，，此次事务再次凸显了实时修复清静误差的主要性。。。。。

https://www.bleepingcomputer.com/news/security/ivanti-warns-high-severity-csa-flaw-is-now-exploited-in-attacks/

6. Trojan Ajina.Banker肆虐中亚：伪装正当应用窃取银行信息

9月13日，，，，，，名为Trojan Ajina.Banker的新型Android恶意软件正肆虐中亚地区，，，，，，以乌兹别克斯坦神话中的狠毒精灵命名，，，，，，通过伪装成正当应用程序如银行效劳和政府门户，，，，，，使用Telegram等平台上的社交工程战略诱导用户下载并运行恶意文件。。。。。自2023年11月以来，，，，，，已发明约1,400种变种，，，，，，主要目的为乌兹别克斯坦用户，，，，，，但攻击规模已扩散至多个国家。。。。。Ajina.Banker通过发送诱人优惠和促销信息的恶意链接，，，，，，以及分享托管恶意软件的频道链接，，，，，，使用用户的好奇心举行撒播。。。。。其外地化推广战略在区域社区中制造紧迫感，，，，，，促使用户不经思索即点击链接。。。。。该恶意软件不但能网络金融应用信息、SIM卡详情，，，，，，还能阻挡短信以获取2FA验证码，，，，，，展现出高度顺应性和进化能力。。。。。值得注重的是，，，，，，Ajina.Banker接纳同盟妄想模式运营，，，，，，焦点团队与同盟网络相助，，，，，，通太过享被盗资金激励分发和熏染链的扩大。。。。。面临这一威胁，，，，，，专家建议坚持小心，，，，，，阻止点击未经请求的新闻和下载链接，，，，，，坚持使用官方应用市肆下载应用，，，，，，并仔细检查应用权限。。。。。

https://hackread.com/android-malware-ajina-banker-steal-2fa-codes-telegram/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究