导 读
据观察,名为 Charming Kitten (迷人小猫)的伊朗APT组织正在部署已知恶意软件 BellaCiao 的 C++ 变体。
卡巴斯基将新版本命名为BellaCPP,该公司表示,它是在“最近”对亚洲一台被感染了 BellaCiao 恶意软件的机器进行调查时发现这个文件的。
BellaCiao于 2023 年 4 月首次被罗马尼亚网络安全公司 Bitdefender 记录在案,该公司将其描述为能够传递额外有效载荷的自定义投放器。Charming Kitten (迷人小猫)黑客组织已在针对美国、中东和印度的网络攻击中部署了该恶意软件。
这也是Charming Kitten (迷人小猫)多年来众多开发定制的恶意软件家族之一。该高级持续威胁 (APT) 组织隶属于伊朗伊斯兰革命卫队 (IRGC),也被称为 APT35、CALANQUE、Charming Kitten、CharmingCypress、ITG18、Mint Sandstorm(以前称为 Phosphorus)、Newscaster、TA453 和 Yellow Garuda。
虽然该组织曾策划过巧妙的社会工程活动来赢得目标的信任并传播恶意软件,但研究发现,涉及 BellaCiao 的攻击会利用 Microsoft Exchange Server 或 Zoho ManageEngine 等可公开访问的应用程序中已知的安全漏洞。
卡巴斯基研究员 Mert Degirmenci表示:“BellaCiao 是一个基于 .NET 的恶意软件家族,它为入侵增添了独特的变化,将 Web shell 的隐秘持久性与建立隐蔽隧道的能力相结合。”
BellaCiao 的 C++ 变体是一个名为“adhapl.dll”的 DLL 文件,它实现与其祖先类似的功能,包含用于加载另一个未知 DLL(“D3D12_1core.dll”)的代码,该 DLL 可能用于创建 SSH 隧道。
BellaCPP 的独特之处在于缺少 BellaCiao 中用于上传和下载任意文件以及运行命令的 Web shell。
Degirmenci 表示:“从高层角度来看,这是没有 Web Shell 功能的 BellaCiao 样本的 C++ 表示”,并补充说 BellaCPP“使用了先前归因于该参与者的域名”。
技术报告:https://securelist.com/bellacpp-cpp-version-of-bellaciao/115087/
新闻链接:
https://thehackernews.com/2024/12/irans-charming-kitten-deploys-bellacpp.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
伊朗迷人小猫部署 BellaCPP:BellaCiao 恶意软件的新 C++ 变体
https://thehackernews.com/2024/12/irans-charming-kitten-deploys-bellacpp.html
日美指责曹县黑客抢劫 3.08 亿美元加密货币
https://www.infosecurity-magazine.com/news/us-japan-north-korea-crypto-heist/
乌官员称乌国家登记处遭受俄罗斯最大规模网络攻击
https://therecord.media/ukraine-government-cyberattack-state-registers-russia
曹县LazarusAPT组织被发现利用 CookiePlus 恶意软件攻击核工程师
https://thehackernews.com/2024/12/lazarus-group-spotted-targeting-nuclear.html
曹县黑客今年窃取了价值 13 亿美元的加密货币
https://www.bleepingcomputer.com/news/security/north-korean-hackers-stole-13-billion-worth-of-crypto-this-year/
与俄罗斯有关的 UAC-0125 滥用 Cloudflare Workers 攻击乌克兰军队
https://securityaffairs.com/172139/apt/cert-ua-warns-russia-uac-0125-abuses-cloudflare-workers.html
CAS(网络无政府主义小队)针对俄罗斯和白俄罗斯组织的攻击分析
https://securelist.com/cyber-anarchy-squad-attacks-with-uncommon-trojans/114990/
黑客利用 Microsoft MSC 文件在巴基斯坦攻击中部署混淆后门
https://thehackernews.com/2024/12/hackers-use-microsoft-msc-files-to.html
Wiz 发现一个针对 Linux 环境的新型恶意软件活动,该活动由 Diicot 威胁组织发起
https://www.wiz.io/blog/diicot-threat-group-malware-campaign
Mask APT 组织沉寂 10 年后卷土重来
https://securityaffairs.com/172093/apt/the-mask-apt-is-back.html
俄罗斯黑客利用 RDP 代理在 MiTM 攻击中窃取数据
https://www.bleepingcomputer.com/news/security/russian-hackers-use-rdp-proxies-to-steal-data-in-mitm-attacks/
一般威胁事件
General Threat Incidents
研究人员发现 PyPI 软件包窃取键盘输入并劫持社交账户
https://thehackernews.com/2024/12/researchers-uncover-pypi-packages.html
新的僵尸网络利用 NVR、TP-Link 路由器中的漏洞
https://www.bleepingcomputer.com/news/security/new-botnet-exploits-vulnerabilities-in-nvrs-tp-link-routers/
欧洲航天局官方商店遭黑客攻击,支付卡被盗
https://www.bleepingcomputer.com/news/security/european-space-agencys-official-store-hacked-to-steal-payment-cards/
伊朗解除对 WhatsApp 和 Google Play 的禁令
https://cybernews.com/news/iran-lifts-ban-on-whatsapp-and-google-play/
德克萨斯一大学遭遇入侵,1.8万人个人信息泄露
https://cybernews.com/news/texas-university-suffers-breach/
美国医疗保健巨头 Ascension遭受勒索软件攻击,约有 560 万人个人信息泄露
https://www.infosecurity-magazine.com/news/ransomware-data-ascesnion-patients/
美国成瘾治疗中心(AAC)遭遇黑客攻击,40万名患者个人信息泄露
https://cybernews.com/news/patients-exposed-addiction-treatment-hack/
漏洞事件
Vulnerability Incidents
Apache Traffic Control 中的严重 SQL 注入漏洞 CVSS 评分为 9.9
https://thehackernews.com/2024/12/critical-sql-injection-vulnerability-in.html
Adobe 警告 ColdFusion 存在严重漏洞,并附带 PoC 漏洞代码
https://www.bleepingcomputer.com/news/security/adobe-warns-of-critical-coldfusion-bug-with-poc-exploit-code/
利用 Fortinet EMS 关键漏洞的入侵活动仍在持续
https://www.scworld.com/brief/intrusions-exploiting-critical-fortinet-ems-bug-ongoing
CISA 将 Acclaim USAHERDS 漏洞添加到已知利用漏洞目录中
https://thehackernews.com/2024/12/cisa-adds-acclaim-usaherds.html
不安全的物联网云再次来袭:Reyee平台连接设备遭 RCE 攻击
https://claroty.com/team82/research/the-insecure-iot-cloud-strikes-again-rce-on-ruijie-cloud-connected-devices
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):伊朗迷人小猫部署 BellaCPP:BellaCiao 恶意软件的新 C++ 变体
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论