以我国为目标的网络攻击中发现 DinodasRAT的Linux版本；黑客伪装成印度空军进行钓鱼攻击；劫持GitHub进行软件供应链攻击Top.gg | 安全周报 0329

admin管理员组

文章数量:1592245

关键词：Linux；TinyTurla-NG；Github；Checkmarx；软件供应链攻击；

1. 以中国在内的多个国家为目标的网络攻击中发现 DinodasRAT的Linux版本

卡巴斯基的最新发现揭示，一款名为DinodasRAT的多平台后门程序的Linux版本已在野外被发现，其攻击目标包括中国、台湾、土耳其和乌兹别克斯坦。

DinodasRAT，也被称为XDealer，是一款基于C++的恶意软件，能够从被入侵的主机中收集大量敏感数据。
2023年10月，斯洛伐克网络安全公司ESET披露，作为名为“Jacana行动”的网络间谍活动的一部分，圭亚那的一个政府机构已成为攻击目标，以部署该植入程序的Windows版本。

DinodasRAT的Linux版本：
卡巴斯基表示，它在2023年10月初发现了该恶意软件的Linux版本（V10）。迄今为止收集到的证据表明，第一个已知变种（V7）可以追溯到2021年。
它主要设计用于攻击基于Red Hat的发行版和Ubuntu Linux。在执行时，它会通过使用SystemV或SystemD启动脚本在主机上建立持久性，并定期通过TCP或UDP与远程服务器联系，以获取要运行的命令。

来源：https://thehackernews/2024/03/linux-version-of-dinodasrat-spotted-in.html

2. 黑客利用伪装成空军邀请的恶意软件攻击印度国防和能源部门

印度政府实体和能源公司已成为黑客的攻击目标，他们旨在传播一种名为HackBrowserData的开源信息窃取恶意软件的修改版本，并在某些情况下使用Slack作为命令和控制（C2）来窃取敏感信息。

EclecticIQ研究员阿尔达·布尤卡亚在今天发布的一份报告中表示：“信息窃取器是通过一封伪装成印度空军邀请信的钓鱼电子邮件传播的。”

“攻击者在恶意软件执行后，利用Slack频道作为渗出点，上传机密内部文件、私人电子邮件消息和缓存的Web浏览器数据。”

荷兰网络安全公司从2024年3月7日开始观察到此次活动，并将其命名为“Operation FlightNight”，以指代攻击者运营的Slack频道。

来源：https://thehackernews/2024/03/hackers-target-indian-defense-and.html

3. 警报：新型网络钓鱼攻击利用伪装成银行付款通知的键盘记录器

据观察，一场新的网络钓鱼活动正在利用一种新型加载器恶意软件来传播名为Agent Tesla的信息窃取器和键盘记录器。

Trustwave SpiderLabs表示，其于2024年3月8日发现了一封携带此攻击链的网络钓鱼电子邮件。该邮件伪装成银行付款通知，敦促用户打开一个归档文件附件。

该归档文件（“Bank Handlowy w Warszawie - dowód wpłaty_pdf.tar.gz”）隐藏了一个恶意加载器，该加载器会激活在受感染主机上部署Agent Tesla的程序。

安全研究员Bernard Bautista在周二的分析中表示：“该加载器随后使用混淆技术来躲避检测，并利用具有复杂解密方法的多态行为。”

“该加载器还展示了绕过防病毒防御的能力，并使用特定URL和用户代理，利用代理进一步混淆流量，从而检索其有效负载。”

将恶意软件嵌入看似良性的文件中，是黑客反复使用的一种策略，旨在诱骗毫无戒心的受害者触发感染序列。

来源：https://thehackernews/2024/03/alert-new-phishing-attack-delivers.html

4. CISA警告：黑客正在积极攻击微软SharePoint漏洞

美国网络安全和基础设施安全局（CISA）根据野外积极利用的证据，将影响微软SharePoint服务器的一个安全漏洞添加到了其已知被利用漏洞（KEV）目录中。

该漏洞被追踪为CVE-2023-24955（CVSS评分：7.2），是一个严重的远程代码执行漏洞，允许拥有站点所有者权限的已验证攻击者执行任意代码。

微软在一份咨询报告中表示：“在网络攻击中，作为站点所有者的已验证攻击者可以在SharePoint服务器上远程执行代码。”微软在2023年5月的周二补丁更新中解决了该漏洞。

来源：https://thehackernews/2024/03/cisa-warns-hackers-actively-attacking.html

5. 黑客劫持GitHub账户，在软件供应链攻击中影响Top.gg等平台

身份不明的攻击者精心策划了一场复杂的攻击活动，影响了多名个人开发者以及与Discord机器人发现网站Top.gg相关的GitHub组织账户。

Checkmarx在与The Hacker News分享的一份技术报告中表示：“在此次攻击中，黑客使用了多种TTPs，包括通过窃取浏览器Cookie来接管账户、使用已验证的提交来贡献恶意代码、设置自定义Python镜像，以及向PyPI注册表发布恶意包。”

据称，此次软件供应链攻击导致敏感信息被盗，包括密码、凭据和其他有价值的数据。本月初，埃及开发者Mohammed Dief曾披露了此次活动的部分情况。

其主要手段是巧妙设置官方PyPI域名“files.pythonhosted[.]org”的近似域名，命名为“files.pypihosted[.]org”，并用其托管知名软件包（如colorama）的特洛伊木马版本。Cloudflare随后已关闭该域名。

Checkmarx研究人员表示：“黑客获取了Colorama（一种每月下载量超过1.5亿次的热门工具），对其进行了复制，并插入了恶意代码。然后，他们使用空格填充将有害负载隐藏在Colorama中，并将修改后的版本托管在其近似域名伪镜像上。”

来源：https://thehackernews/2024/03/hackers-hijack-github-accounts-in.html

本文标签： 印度周报为目供应链标的