CRON#TRAP网络垂纶活动：使用Linux虚拟机熏染Windows

首页 > 清静研究 > 清静转达 > 清静简讯

CRON#TRAP网络垂纶活动：使用Linux虚拟机熏染Windows

宣布时间 2024-11-06

1. CRON#TRAP网络垂纶活动：使用Linux虚拟机熏染Windows

11月4日，，，，一项名为“CRON#TRAP”的新型网络垂纶活动使用Linux虚拟机熏染Windows系统，，，，通过内置后门神秘会见企业网络。。该活动通过伪装成“OneAmerica 视察”的网络垂纶电子邮件，，，，发送一个包括285MB ZIP档案的大型文件，，，，内含一个Windows快捷方法和QEMU虚拟机应用程序。。启动快捷方法后，，，，会执行PowerShell下令，，，，将下载的存档提取到指定文件夹，，，，并在装备上设置和启动自界说QEMU Linux虚拟机。。该虚拟机名为“PivotBox”，，，，预装了后门，，，，可确坚长期的C2通讯，，，，使攻击者在后台举行操作。。由于QEMU是正当工具，，，，Windows不会对其发出警报，，，，清静工具也无法检查虚拟机内部的恶意程序。。后门的焦点是名为Chisel的网络隧道程序，，，，通过HTTP和SSH传输数据，，，，使攻击者纵然在网络受防火墙�；；；な币材苡牒竺磐ㄑ�。。为了避免QEMU滥用，，，，建议监视从用户可会见文件夹执行的“qemu.exe”等历程，，，，将QEMU和其他虚拟化套件放入阻止列表中，，，，并从系统BIOS中禁用或阻止要害设惫亓虚拟化。。

https://www.bleepingcomputer.com/news/security/windows-infected-with-backdoored-linux-vms-in-new-phishing-attacks/

2. 黑客滥用DocuSign API建设虚伪发票冒充着名品牌举行诓骗

11月4日，，，，DocuSign 是一个电子署名平台，，，，支持以数字方法签署、发送和治理文档。。Envelopes API旨在资助客户自动发送需要署名的文档、跟踪其状态并在署名后检索它们。。威胁行为者正在使用DocuSign的Envelopes API建设并分发看似真实的虚伪发票，，，，冒充着名品牌如Norton和PayPal。。他们使用正当的付费DocuSign账户，，，，通过该API发送模拟着名软件公司外观和感受的诓骗性发票，，，，并诱导目的客户对文件举行电子署名以授权付款。。这些发票的用度控制在现实规模内，，，，以增添其正当性。。据Wallarm清静研究职员称，，，，这种滥用行为已经一连了一段时间，，，，并已向DocuSign报告。�？？？？突б苍贒ocuSign的社区论坛上多次举报此类行为，，，，但似乎难以获得有用解决。。这些攻击是自动化的，，，，大规模爆发，，，，使得平台很难忽视。。DocuSign尚未对询问其反滥用步伐及是否妄想增强这些步伐的问题作出谈论。。黑客已往也曾滥用API举行其他恶意活动，，，，如验证用户电话号码、抓取客户信息以及将电子邮件地点链接到帐户等。。

https://www.bleepingcomputer.com/news/security/docusigns-envelopes-api-abused-to-send-realistic-fake-invoices/

3. 新型Android银行恶意软件ToxicPanda熏染超1500台装备

11月5日，，，，Cleafy 研究职员发明了一种名为 ToxicPanda 的新型 Android 银行恶意软件，，，，已熏染凌驾 1,500 台装备，，，，主要目的为意大利、葡萄牙、西班牙和拉丁美洲的16家银行。。该恶意软件与东南亚的 TgToxic 木马家族有相似之处，，，，但代码差别显著。。ToxicPanda 使用装备诓骗手艺绕过银行清静步伐，，，，举行诓骗性资金转移。。只管处于早期开发阶段，，，，代码不完整，，，，但它已显示出强盛的诓骗能力。。ToxicPanda 接纳手动方法，，，，允许攻击者轻松绕过银行的行为检测防御。。它还可以会见手机相册，，，，网络敏感信息，，，，并通过硬编码域名毗连其下令和控制效劳器。。意大利是其主要目的，，，，熏染率高达 56.8%，，，，葡萄牙、香港、西班牙和秘鲁等地也有熏染。。报告指出，，，，今世防病毒解决计划难以检测到此类相对简朴的威胁，，，，缺乏自动、实时的检测系统是一个主要问题。。

https://securityaffairs.com/170605/malware/toxicpanda-android-malware-targets-italy.html

4. 国际刑警组织“协同二号行动”重拳攻击网络犯法

11月5日，，，，国际刑警组织在2024年4月至8月时代，，，，代号为“协同二号行动”的国际执法行动中，，，，乐成拘捕了41名与勒索软件、网络垂纶和信息窃取等网络犯法相关的嫌疑人，，，，并摧毁了 22,000 个 IP 地点上运行的1,037台效劳器和基础设施。。此次行动涉及95个国家，，，，获得了多家私营网络清静公司的情报支持。。行动中，，，，约76%的恶意内容被删除，，，，59台效劳器被查封，，，，43台电子装备被没收以获取更多证据。。别的，，，，政府还在视察另外65名涉嫌加入不法活动的人。。行动亮点包括香港和澳门警方关闭了大宗恶意效劳器，，，，蒙古举行了多次衡宇搜查并查获了一台效劳器，，，，马达加斯加确定了与恶意效劳器有联系的小我私家并查获了电子装备，，，，爱沙尼亚则查获了凌驾80GB的效劳器数据。。国际刑警组织网络犯法局局长体现，，，，网络犯法的全球性要谴责球应对，，，，此次行动不但摧毁了恶意基础设施，，，，还避免了数十万潜在受害者沦为网络犯法的牺牲品。。

https://www.bleepingcomputer.com/news/security/interpol-disrupts-cybercrime-activity-on-22-000-ip-addresses-arrests-41/

5. 乌克兰指责谷歌泄露军事基职位置，，，，引发清静担心

11月6日，，，，乌克兰指责谷歌在其在线地图效劳的最新更新中泄露了军事基地的位置，，，，这些图像被俄罗斯人“起劲撒播”。。乌克兰国家清静与国防委员会反虚伪信息部分认真人体现，，，，谷歌尚未修复地图，，，，只回应了乌克兰的官方信件并允许更新。。谷歌乌克兰公司回应称，，，，有问题的卫星图像是一年前拍摄的，，，，来自果真泉源，，，，并体现重视此类请求并与乌克兰官员坚持相同。。乌克兰担心军事信息的果真可能危及防空系统等军事装备的位置，，，，不但可能危及乌克兰，，，，还可能危及任何使用导弹阻挡器的国家。。乌克兰和俄罗斯都高度依赖卫星图像来网络情报，，，，但俄罗斯因制裁或品德问题而难以直接从商业公司购置。。谷歌已暂停了在俄罗斯的许多效劳，，，，但地图等部分效劳仍可使用，，，，但功效有限。。

https://therecord.media/ukraine-google-locations-revealing-military

6. Snowflake数据窃取攻击嫌疑人在加拿大被捕

11月5日，，，，加拿大政府拘捕了一名涉嫌窃取云存储公司Snowflake客户数据的男子Alexander "Connor" Moucka（又名"Waifu"和"Judische"）。。据彭博社和404 Media报道，，，，该男子以165个组织为目的，，，，窃取了数亿数据，，，，这些组织所有是Snowflake的客户。。Snowflake、Mandiant和CrowdStrike的联合视察发明，，，，这名攻击者使用信息窃取恶意软件窃取了未能设置多因素身份验证（MFA）�；；；さ腟nowflake帐户的客户凭证。。这些攻击始于2024年4月，，，，与之相关的数据泄露影响了使用AT&T、Ticketmaster、Santander等多家效劳的数亿小我私家。。其中，，，，Ticketmaster的5.6亿客户和AT&T的约1.09亿客户的通话纪录被盗。。Snowflake以后宣布将对新账户强制实验MFA，，，，并要求密码长度至少为14个字符。。

https://www.bleepingcomputer.com/news/security/suspect-behind-snowflake-data-theft-attacks-arrested-in-canada/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

凯旋国际游戏

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系凯旋国际游戏

清静研究