Aggregator

一种名为“CMoon”的新型自我传播蠕虫自 2024 年 7 月初以来通过一家受到感染的天然气供应公司网站在俄罗斯传播，该蠕虫能够窃取账户凭证和其他数据。 据发现该活动的卡巴斯基研究人员称，CMoon 可以执行多种功能，包括加载额外的有效载荷、截取屏幕截图以及发起分布式拒绝服务 (DDoS) 攻击。 从攻击者使用的分发渠道来看，他们的目标范围集中在高价值目标而不是随机的互联网用户，这表明他们的行动非常复杂。 感染链始于用户点击一家为俄罗斯城市提供天然气供应的公司网站上的监管文件（docx、.xlsx、.rtf 和 .pdf）链接时。 攻击者将文档链接替换为恶意可执行文件的链接，这些恶意可执行文件也托管在网站上，并作为自解压档案传递给受害者，其中包含原始文档和 CMoon 负载（以原始链接命名）。 卡巴斯基报告称：“我们还没有发现这种恶意软件的其他传播媒介，因此我们认为此次攻击仅针对特定网站的访问者。” 在该天然气公司收到此入侵通知后，恶意文件和链接于 2024 年 7 月 25 日从其网站上删除。 由于 CMoon 的自我传播机制，感染仍在继续自主进行。 CMoon 是一种 .NET 蠕虫，它会将自身复制到一个新创建的文件夹中，该文件夹以其在受感染设备上检测到的防病毒软件命名；如果未检测到 AV，则复制到一个类似于系统文件夹的文件夹中。 该蠕虫在 Windows 启动目录上创建快捷方式，以确保它在系统启动时运行，从而确保重新启动之间的持久性。 为了避免在手动用户检查时引起怀疑，它将文件的创建和修改日期更改为 2013 年 5 月 22 日。 该蠕虫会监视新连接的 USB 驱动器，当任何 USB 驱动器连接到受感染的机器时，它会用其可执行文件的快捷方式替换除“LNK”和“EXE”之外的所有文件。 CMoon 还会查找 USB 驱动器上存储的有趣文件，并将它们临时存储在隐藏目录（“.intelligence”和“.usb”）中，然后将它们泄露到攻击者的服务器。 CMoon 具有标准的信息窃取功能，目标是加密货币钱包、存储在网络浏览器、通讯应用程序、FTP 和 SSH 客户端中的数据以及 USB 或用户文件夹中包含文本字符串“秘密”、“服务”或“密码”的文档文件。 一个有趣且有些不寻常的功能是针对可能包含帐户凭据的文件，例如.pfx、.p12、.kdb、.kdbx、.lastpass、.psafe3、.pem、.key、.private、.asc、.gpg、.ovpn 和 .log 文件。 该恶意软件还可以下载并执行其他有效负载、捕获受感染设备的屏幕截图并对指定目标发起 DDoS 攻击。 被盗文件和系统信息被打包并发送到外部服务器，在那里进行解密（RC4）并使用 MD5 哈希验证其完整性。 卡巴斯基表示，在其当前可见范围之外还有更多网站分发 CMoon，蠕虫病毒能够自主传播意味着它可能会进入非预期系统并为机会性攻击创造条件。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/H1YEJmnkrLXOjPOhVHZcmg 封面来源于网络，如有侵权请联系删除

Meta 削减成本，关闭其第一方 VR 游戏工作室 Ready at Dawn；月之暗面 Kimi 上下文缓存 Cache 存储费用降价 50%；Canva可画发布一站式AI创作套件

2024“深育杯”大学生网络安全大赛，等你来战！ 日期：2024年08月08日 阅：80

2024年“深育杯”大学生网络安全大赛，是在全国网络安全行业产教融合共同体的指导下，由深信服科技股份有限公司倾 […]

你可能错过的新鲜事英特尔公布第 13 及 14 代桌面处理器延保细则8 月 6 日，英特尔公司公布了第 13 和 14 代桌面处理器的延保细则。该延保规则主要针对近期引发关注的第 13 和 14

立足取证，服务实战

Full Disclosuremailing list archivesFrom: KoreLogic Disclosures via Fulldisclosu

Invisible authentication mechanisms in Microsoft allow any attacker to escalate from privileged to super-duper privileged in cloud environments, paving the way for complete takeover.

Gambling blockchain Ronin Network suffered a security incident yesterday when white hat hackers exploited an undocumented vulnerability on the Ronin bridge to withdraw 4,000 ETH and 2 million USDC, totaling $12 million. [...]

The SEC concludes its investigation into Progress Software's handling of the widespread exploitation of a MOVEit Transfer zero-day flaw that exposed data of over 95 million people. [...]

CISA and the FBI confirmed today that the Royal ransomware rebranded to BlackSuit and has demanded over $500 million from victims since it emerged more than two years ago. [...]

CISA and the FBI confirmed today that the Royal ransomware rebranded to BlackSuit and has demanded over $500 million from victims since it emerged more than two years ago. [...]

The number of additions to the Known Exploited Vulnerabilities catalog is growing quickly, but even silent changes to already-documented flaws can help security teams prioritize.