LATRODECTUS不休更新并分发ICEDID和其他恶意软件

首页 > 安全钻研 > 安全传递 > 安全简讯

LATRODECTUS不休更新并分发ICEDID和其他恶意软件

颁布功夫 2024-05-22

1. LATRODECTUS不休更新并分发ICEDID和其他恶意软件

5月21日，LATRODECTUS于 2023 年 10 月由沃尔玛钻研人员初次发现，是一种在网络犯罪分子中越来越盛行的恶意软件加载法式。固然这被以为是一个新的家族，但由于行为和发展类似性，LATRODECTUS 和ICEDID之间存在缜密联系，蕴含下载和执行加密负载（如 ICEDID）的号令处置法式。Proofpoint 和 Team Cymru 基于这种联系，发现了ICEDID 和 LATRODECTUS 运营商使用的网络基础设施之间存在缜密联系。LATRODECTUS 提供了一系列全面的尺度职能，威胁行为者能够利用这些职能来部署更多的有效负载，在初步入侵后执行各类活动。代码库未经过混合，仅蕴含 11 个专一于枚举和执行的号令处置法式。这种类型的加载器代表了我们团队最近观察到的海潮，例如PIKABOT，其中代码越发轻量级和直接，处置法式数量有限。

https://www.elastic.co/security-labs/spring-cleaning-with-latrodectus?&web_view=true

2. Kinsing攻击Apache Tomcat部署挖矿法式

5月20日，Kinsing 恶意软件以利用 Linux 云服务器上的缝隙部署后门和加密钱币挖矿法式而闻名，最近将其指标扩大到蕴含 Apache Tomcat 服务器。该恶意软件利用新鲜的技术来逃避检测，将自身暗藏在看似无害的系统文件中，使其在受习染的系统上悠久存在，凸起了 Kinsing 不休发展的战术，并强调系统治理员必要对这些新兴威胁维持警惕。Kinsing 利用容器和服务器中的缝隙来部署后门和加密挖矿法式，调查了局显示多个服务器受到习染，其中蕴含拥有严沉缺点的 Apache Tomcat。Tomcat 是一款可公开接见的静态内容开源服务器，由于其在互联网上的露出而成为重要攻击指标，这使得 Kinsing 能够渗入到系统中并成立暗藏的后门以实现悠久性，同时部署加密矿工来窃取推算资源以进行加密钱币挖掘。

https://gbhackers.com/kinsing-malware-apache-tomcat-servers/

3. SEC要求金融组织必要在 30 天内披露数据泄露事务

5月21日，美国证券买卖委员会（SEC）对 SP 律例进行了批改，要求金融公司在 30 天内汇报数据泄露情况。这是�；は颜叩囊幻徒�。这项新划定将于 2024 年 5 月 15 日生效，旨在加强和更新对消费者金融信息的�；�。自 2000 年推出以来，SEC 监管 SP要求经纪买卖商、投资公司和持牌投资照拂通过书面政策和法式�；た突Ъ吐己托畔�。该规定还诠氏缢若何正确删除消费者汇报信息，并要求隐衷政策通知和选择退出选项。多年来，技术的进取使得数据泄露的可能性更大，这就是必要这些扭转的原因。

https://gbhackers.com/financial-organizations-data-breach/

4. Git 远程代码执行缝隙CVE-2024-32002

5月21日，钻研团队发现了一个严沉的远程代码执行缝隙，该缝隙被指定为 CVE-2024-32002，严沉水平为 9.0（严沉）。这个特殊的缝隙存在于宽泛使用的clone号令中。Git 上周颁布了一份安全布告，其中指出了有关远程代码执行的问题。除此之表，该缝隙被描述为由于能够以特定方式草拟的子�？槎嬖�，从而可能导致远程代码执行。不外这个缝隙已经被git建复，并且颁布了建补版本。凭据网络安全新闻分享的汇报，git 使用子�？�，这些子�？槭乔短自谄渌娲⒖庵械拇娲⒖�。每个子�？樵谥髂柯贾卸加幸桓鲋付ǖ哪柯减杈�，该目录蹊径会被跟踪以确保正确纪录更改。进一步观察发现，Windows（A/modules/x）和macOS（a/modules/x）的默认设置中存在不分辨大幼写的文件系统。这两个蹊径的处置方式一样，这是远程代码执行背后的重要原因。

https://gbhackers.com/git-flaw-remote-code-execution/

5. Fluent Bit 严沉缺点影响所有重要云提供商

5月21日，可在回绝服务和远程代码执行攻击中利用的关键 Fluent Bit 缝隙影响了所有重要云提供商和很多技术巨头。Fluent Bit 是一种极度盛行的日志纪录和指标解决规划，合用于 Windows、Linux 和 macOS，嵌入在重要 Kubernetes 刊行版中，蕴含来自 Amazon AWS、Google GCP 和 Microsoft Azure 的刊行版。截至 2024 年 3 月，Fluent Bit 的下载和部署次数超过 130 亿次，较 2022 年 10 月报路的30 亿次下载量大幅增长。Fluent Bit 也被 Crowdstrike 和 Trend Micro 等网络安全公司以及思科、VMware、英特尔、Adobe 和戴尔等很多科技公司使用。这个严沉的内存败坏缝隙被跟踪为CVE-2024-4323，并被发现该缝隙的 Tenable 安全钻研人员称为Linguistic Lumberjack，它是在版本 2.0.7 中引入的，是由 Fluent Bit 的嵌入式 HTTP 服务器解析跟踪要求中的堆缓冲区溢露马脚引起的。只管未经身份验证的攻击者能够轻松利用该安全缝隙来触发回绝服务或远程捕获敏感信息，但若是有适当的前提和足够的功夫来创建靠得住的缝隙，他们也能够使用它来获得远程代码执行。

https://www.bleepingcomputer.com/news/security/critical-fluent-bit-flaw-impacts-all-major-cloud-providers/

6. Antidot木马假装成Google Play更新，窃取银行数据

5月22日，Cyble的钻研人员发现了一种针对 Android 设备的新银行木马。这种复杂的恶意软件拥有多种危险职能，蕴含覆盖攻击、键盘纪录和混合技术。该木马凭据其源代码中的字符串定名为“Antidot”，以假装成官方 Google Play 更新并支持多种说话而闻名，蕴含英语、德语、法语、西班牙语、葡萄牙语、罗马尼亚语，甚至俄语。该恶意软件作为 Google Play 的更新进行分发，并以“新版本”的名称呈此刻受害者的设备上。装置和初次启动后，用户会看到一个假页面，据称来自 Google Play，其中蕴含实现更新所需操作的具体注明。

https://meterpreter.org/new-antidot-trojan-masquerades-as-google-play-update-steals-banking-data/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研