导 读
一名讲越南语的攻击者涉嫌发起针对欧洲和亚洲政府和教育机构的信息窃取活动,该活动使用一种名为PXA Stealer的基于 Python 的新型恶意软件。
思科 Talos 研究人员 Joey Chen、Alex Karkins 和 Chetan Raghuprasad表示,该恶意软件“针对受害者的敏感信息,包括各种在线账户的凭证、VPN 和 FTP 客户端、财务信息、浏览器 cookie 以及游戏软件的数据”。
“PXA Stealer 能够解密受害者的浏览器主密码,并利用该密码窃取各种在线账户的存储凭证。”
与越南的联系源于窃取程序中越南评论和一个名为“ Lone None ”的硬编码 Telegram 帐户的存在,后者包括越南国旗图标和越南公安部徽章图片。
思科 Talos 表示,他们观察到攻击者在 Telegram 频道“Mua Bán Scan MINI”中出售 Facebook 和 Zalo 帐户凭证以及 SIM 卡,该频道之前曾与另一个名为CoralRaider 的攻击者有关。此外,还发现 Lone None 活跃于 CoralRaider 运营的另一个越南 Telegram 群组“ Cú Black Ads - Dropship ”。
尽管如此,目前尚不清楚这两组入侵行为是否相关,是否独立开展活动。
研究人员表示:“攻击者在该组织中共享的工具是用于管理多个用户账户的自动化实用程序。这些工具包括 Hotmail 批量创建工具、电子邮件挖掘工具和 Hotmail cookie 批量修改工具。”
“攻击者提供的压缩包通常不仅包含这些工具的可执行文件,还包含其源代码,允许用户根据需要进行修改。”
有证据表明,此类程序通过 aehack[.]com 等其他网站出售,这些网站声称提供免费的黑客和作弊工具。使用这些工具的教程通过YouTube 频道分享,进一步凸显了有人有组织地推销这些工具。
传播 PXA Stealer 的攻击链始于一封包含 ZIP 文件附件的网络钓鱼电子邮件,该附件包含一个基于 Rust 的加载器和一个隐藏文件夹,该文件夹又包含几个 Windows 批处理脚本和一个诱饵 PDF 文件。
加载程序的执行会触发批处理脚本,该脚本负责打开诱饵文档(Glassdoor 工作申请表),同时运行 PowerShell 命令来下载并运行能够禁用主机上运行的防病毒程序的有效负载,然后部署窃取程序本身。
PXA Stealer 的一个值得注意的功能是它着重于窃取 Facebook cookie,使用它们来验证会话并与 Facebook Ads Manager 和 Graph API 交互以收集有关帐户及其相关广告信息的更多详细信息。
针对 Facebook 商业和广告账户进行攻击一直是越南威胁组织经常采取的模式,而 PXA Stealer 也不例外。
IBM X-Force 详细介绍了自 2023 年 4 月中旬以来的一项持续活动,该活动将StrelaStealer传播给欧洲各地的受害者,特别是意大利、西班牙、德国和乌克兰。该活动被归因于它跟踪为 Hive0145 的“快速成熟”的初始访问代理 (IAB),据信它是该信息窃取恶意软件的唯一运营商。
研究人员 Golo Mühr、Joe Fasulo 和 Charlotte Hammond表示:“这些活动中使用的网络钓鱼电子邮件是真实的发票通知,这些通知是通过之前泄露的电子邮件凭证窃取的。” “StrelaStealer 旨在提取存储在 Microsoft Outlook 和 Mozilla Thunderbird 中的用户凭证。”
尽管执法部门努力打击窃取恶意软件,但现有恶意软件家族在不断发展,诸如Amnesia Stealer和 Glove Stealer之类的新恶意软件不断涌现,证明信息窃取恶意软件的流行。
Gen Digital 研究员 Jan Rubín表示:“Glove Stealer 使用专用支持模块,通过IElevator 服务绕过应用程序绑定加密。虽然观察到该病毒通过类似ClickFix 的网络钓鱼电子邮件传播,但它本身也试图模仿用户在解决可能遇到的问题时可能使用的修复工具。”
技术报告:https://blog.talosintelligence.com/new-pxa-stealer/
新闻链接:
https://thehackernews.com/2024/11/vietnamese-hacker-group-deploys-new-pxa.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
DEEPDATA 恶意软件利用未修补的 Fortinet 漏洞窃取 VPN 凭证
https://thehackernews.com/2024/11/warning-deepdata-malware-exploiting.html
伊朗黑客在针对以色列组织的攻击中部署 WezRat 恶意软件
https://thehackernews.com/2024/11/iranian-hackers-deploy-wezrat-malware.html
越南黑客组织部署新型 PXA 窃取软件,瞄准欧洲和亚洲
https://thehackernews.com/2024/11/vietnamese-hacker-group-deploys-new-pxa.html
T-Mobile 证实在近期的电信入侵事件中遭到黑客攻击
https://www.bleepingcomputer.com/news/security/t-mobile-confirms-it-was-hacked-in-recent-wave-of-telecom-breaches/
一般威胁事件
General Threat Incidents
谷歌的 Gemini AI 聊天机器人不断告诉用户去死
https://hackread.com/google-gemini-ai-chatbot-tells-users-to-die/
GitHub 项目遭到恶意提交,以框架研究人员为目标
https://www.bleepingcomputer.com/news/security/github-projects-targeted-with-malicious-commits-to-frame-researcher/
网络钓鱼电子邮件越来越多地使用 SVG 附件来逃避检测
https://www.bleepingcomputer.com/news/security/phishing-emails-increasingly-use-svg-attachments-to-evade-detection/
墨西哥政府成为勒索软件的最新受害者,RansomHub 声称为攻击负责
https://cybernews.com/news/mexico-government-official-website-ransomware-attack-ransomhub/
僵尸网络利用 e GeoVision 零日漏洞攻击 EoL 设备
https://securityaffairs.com/171067/malware/ddos-botnet-exploits-geovision-zero-day.html
假冒 AI 视频生成器的信息窃取木马感染 Windows、macOS
https://www.bleepingcomputer.com/news/security/fake-ai-video-generators-infect-windows-macos-with-infostealers/
卡巴斯基发现危险勒索软件Ymir:在内存中运行,不留痕迹
https://computerhoy.20minutos.es/ciberseguridad/ymir-peligroso-ransomware-descubierto-kaspersky-opera-memoria-no-deja-ningun-rastro-1419140
漏洞事件
Vulnerability Incidents
数百万 WordPress 网站存在安全插件漏洞,攻击者可以获得完全访问权限
https://www.bleepingcomputer.com/news/security/security-plugin-flaw-in-millions-of-wordpress-sites-gives-admin-access/
PAN-OS 防火墙漏洞正受到积极利用
https://thehackernews.com/2024/11/pan-os-firewall-vulnerability-under.html
研究人员警告谷歌 Vertex AI ML 平台存在权限升级风险
https://thehackernews.com/2024/11/researchers-warn-of-privilege.html
PostgreSQL 中的高严重性漏洞允许黑客利用环境变量
https://thehackernews.com/2024/11/high-severity-flaw-in-postgresql-allows.html
美国饮用水系统存在网络安全漏洞,2600 万人面临风险
https://hackread.com/cybersecurity-flaws-us-drinking-water-systems-risks/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):越南黑客组织部署新型 PXA 窃取软件,瞄准欧洲和亚洲
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论