导 读
一种名为“CMoon”的新型自我传播蠕虫自 2024 年 7 月初以来通过一家受到感染的天然气供应公司网站在俄罗斯传播,该蠕虫能够窃取账户凭证和其他数据。
据发现该活动的卡巴斯基研究人员称,CMoon 可以执行多种功能,包括加载额外的有效载荷、截取屏幕截图以及发起分布式拒绝服务 (DDoS) 攻击。
从攻击者使用的分发渠道来看,他们的目标范围集中在高价值目标而不是随机的互联网用户,这表明他们的行动非常复杂。
感染链始于用户点击一家为俄罗斯城市提供天然气供应的公司网站上的监管文件(docx、.xlsx、.rtf 和 .pdf)链接时。
攻击者将文档链接替换为恶意可执行文件的链接,这些恶意可执行文件也托管在网站上,并作为自解压档案传递给受害者,其中包含原始文档和 CMoon 负载(以原始链接命名)。
卡巴斯基报告称:“我们还没有发现这种恶意软件的其他传播媒介,因此我们认为此次攻击仅针对特定网站的访问者。”
在该天然气公司收到此入侵通知后,恶意文件和链接于 2024 年 7 月 25 日从其网站上删除。
由于 CMoon 的自我传播机制,感染仍在继续自主进行。
CMoon 是一种 .NET 蠕虫,它会将自身复制到一个新创建的文件夹中,该文件夹以其在受感染设备上检测到的防病毒软件命名;如果未检测到 AV,则复制到一个类似于系统文件夹的文件夹中。
该蠕虫在 Windows 启动目录上创建快捷方式,以确保它在系统启动时运行,从而确保重新启动之间的持久性。
为了避免在手动用户检查时引起怀疑,它将文件的创建和修改日期更改为 2013 年 5 月 22 日。
该蠕虫会监视新连接的 USB 驱动器,当任何 USB 驱动器连接到受感染的机器时,它会用其可执行文件的快捷方式替换除“LNK”和“EXE”之外的所有文件。
CMoon 还会查找 USB 驱动器上存储的有趣文件,并将它们临时存储在隐藏目录(“.intelligence”和“.usb”)中,然后将它们泄露到攻击者的服务器。
CMoon 具有标准的信息窃取功能,目标是加密货币钱包、存储在网络浏览器、通讯应用程序、FTP 和 SSH 客户端中的数据以及 USB 或用户文件夹中包含文本字符串“秘密”、“服务”或“密码”的文档文件。
一个有趣且有些不寻常的功能是针对可能包含帐户凭据的文件,例如.pfx、.p12、.kdb、.kdbx、.lastpass、.psafe3、.pem、.key、.private、.asc、.gpg、.ovpn 和 .log 文件。
该恶意软件还可以下载并执行其他有效负载、捕获受感染设备的屏幕截图并对指定目标发起 DDoS 攻击。
被盗文件和系统信息被打包并发送到外部服务器,在那里进行解密(RC4)并使用 MD5 哈希验证其完整性。
卡巴斯基表示,在其当前可见范围之外还有更多网站分发 CMoon,蠕虫病毒能够自主传播意味着它可能会进入非预期系统并为机会性攻击创造条件。
技术报告:https://securelist.ru/how-the-cmoon-worm-collects-data/109988/
新闻链接:
https://www.bleepingcomputer.com/news/security/new-cmoon-usb-worm-targets-russians-in-data-theft-attacks/
今日安全资讯速递
APT事件
Advanced Persistent Threat
基于 Go 的新后门 GoGra 瞄准南亚媒体组织
https://thehackernews.com/2024/08/new-go-based-backdoor-gogra-targets.html
新型 CMoon USB 蠕虫病毒针对俄罗斯发动数据窃取攻击
https://www.bleepingcomputer.com/news/security/new-cmoon-usb-worm-targets-russians-in-data-theft-attacks/
卡巴斯基报告新型 Android 间谍软件正在追踪俄罗斯受害者
https://therecord.media/android-spyware-kaspersky-russian-targets
黑客组织 StormBamboo 被发现通过入侵 ISP 和使用 DNS 投毒来传播 Windows 和 macOS 恶意软件
https://www.securityweek.com/chinese-hackers-deliver-malware-via-isp-level-dns-poisoning/
哈萨克斯坦组织遭“Bloody Wolf”网络攻击
https://thehackernews.com/2024/08/kazakh-organizations-targeted-by-bloody.html
朝鲜黑客利用 VPN 更新漏洞安装恶意软件
https://www.bleepingcomputer.com/news/security/north-korean-hackers-exploit-vpn-update-flaw-to-install-malware/
朝鲜黑客 Moonstone Sleet 将恶意 JS 包推送至 npm Registry
https://thehackernews.com/2024/08/north-korean-hackers-moonstone-sleet.html
一般威胁事件
General Threat Incidents
勒索软件攻击导致抵押贷款机构 LoanDepot 损失 2700 万美元
https://www.securityweek.com/ransomware-attack-cost-loandepot-27-million/
SnakeKeylogger 潜入 Windows 收件箱窃取敏感机密
https://www.theregister.com/2024/08/05/snakekeylogger_malware_windows/
Chameleon Android 银行木马通过虚假 CRM 应用程序攻击用户
https://thehackernews.com/2024/08/chameleon-android-banking-trojan.html
FBI报告:BlackSuit 勒索软件两年多来累计索要赎金逾 5 亿美元
https://www.bleepingcomputer.com/news/security/fbi-blacksuit-ransomware-made-over-500-million-in-ransom-demands/
CrowdStrike 发布 Falcon Sensor BSOD 崩溃根本原因分析
https://www.securityweek.com/crowdstrike-releases-root-cause-analysis-of-falcon-sensor-bsod-crash/
国际刑警组织追回新加坡最大 BEC 诈骗案中被骗的 4100 万美元
https://thehackernews.com/2024/08/interpol-recovers-41-million-in-largest.html
近30 亿份包含个人信息的National Public Data(国家公共数据)记录被泄露到网络犯罪论坛
https://hackread.com/data-breach-national-public-data-records-ssns-dumped/
法国博物馆网络遭勒索软件攻击,但奥运会赛事未出现中断
https://www.securityweek.com/french-museum-network-hit-by-ransomware-attack-but-no-disruptions-are-reported-at-olympic-events/
Mobile Guardian 遭黑客攻击,13000台设备被远程清除数据
https://www.securityweek.com/thousands-of-devices-wiped-remotely-following-mobile-guardian-hack/
勒索软件攻击导致 Keytronic 损失超过 1700 万美元
https://www.securityweek.com/ransomware-attack-cost-keytronic-over-17-million/
俄亥俄州哥伦布市正在调查勒索软件攻击后可能出现的数据泄露
https://therecord.media/colombus-investigating-data-leak-ransomware-attack
DIY 勒索软件让新手网络犯罪分子成为威胁
https://cioafrica.co/diy-ransomware-makes-novice-cybercriminals-a-threat/
新型 Android 木马“BlankBot”攻击土耳其用户的财务数据
https://thehackernews.com/2024/08/new-android-trojan-blankbot-targets.html
黑客利用错误配置的 Jupyter Notebook 和改版的 Minecraft DDoS 工具发起攻击
https://thehackernews.com/2024/08/hackers-exploit-misconfigured-jupyter.html
勒索软件团伙利用新型 SharpRhino 恶意软件攻击 IT 工作者
https://www.bleepingcomputer.com/news/security/hunters-international-ransomware-gang-targets-it-workers-with-new-sharprhino-malware/
Microsoft Azure 故障导致整个北美地区的服务中断、
https://www.bleepingcomputer.com/news/microsoft/microsoft-azure-outage-takes-down-services-across-north-america/
漏洞事件
Vulnerability Incidents
研究人员发现新型 Linux 内核漏洞技术“SLUBStick”
https://thehackernews.com/2024/08/new-linux-kernel-exploit-technique.html
Roundcube Webmail 漏洞可让黑客窃取电子邮件和密码
https://thehackernews.com/2024/08/roundcube-webmail-flaws-allow-hackers.html
Chrome 存在多个漏洞,可让攻击者执行恶意代码
https://cybersecuritynews.com/chrome-vulnerability-malicious-code/
Chrome、Firefox 更新修补严重漏洞
https://www.securityweek.com/chrome-firefox-updates-patch-serious-vulnerabilities/
Critical Progress WhatsUp RCE 漏洞正在被积极利用
https://www.bleepingcomputer.com/news/security/critical-progress-whatsup-rce-flaw-now-under-active-exploitation/
谷歌修复了针对性攻击中利用的 Android 内核零日漏洞
https://www.bleepingcomputer.com/news/security/google-fixes-android-kernel-zero-day-exploited-in-targeted-attacks/
Censys 发现美国有超过 40,000 台暴露在互联网上的 ICS 设备
https://www.securityweek.com/over-40000-internet-exposed-ics-devices-found-in-us-censys/
GhostWrite 漏洞助长对搭载 RISC-V CPU 的设备发起攻击
https://www.securityweek.com/ghostwrite-vulnerability-facilitates-attacks-on-devices-with-risc-v-cpu/
研究人员呼吁关注Windows 更新架构中存在的软件降级(回滚)攻击漏洞
https://www.securityweek.com/safebreach-sounds-alarm-on-windows-update-flaws-allowing-undetectable-downgrade-attacks/
扫码关注
会杀毒的单反狗
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):新型 CMoon USB 蠕虫病毒针对俄罗斯发动数据窃取攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论