AgentTesla基于无文件 .NET 的代码注入进行传布

首页 > 安全钻研 > 安全传递 > 安全简讯

AgentTesla基于无文件 .NET 的代码注入进行传布

颁布功夫 2024-04-30

1. AgentTesla基于无文件 .NET 的代码注入进行传布

4月29日，，，，，最近的恶意软件活动使用 Word 文档中的 VBA 宏来下载并执行 64 位 Rust 二进造文件。。。。。。该二进造文件选取无文件注入技术将恶意 AgentTesla 有效负载加载到其内存空间钟祝。。。。。该恶意软件利用 CLR 托管（一种本机过程执行 .NET 代码的机造）来实现此主张，，，，，并且动态加载 .NET 运行时库，，，，，从而允许恶意软件在不将文件写入光盘的情况下进行操作。。。。。。该恶意软件通过建补“EtwEventWrite”API 来禁用 Windows 事务跟踪 (ETW)，，，，，而后从特定 URL 下载蕴含 AgenetTesla 有效负载的 shellcode。。。。。。而后使用“EnumSystemLocalesA”API 执行 shellcode。。。。。。

https://gbhackers.com/clr-hosting-used-by-agenttesla/

2. 针对 USPS 的网络垂钓活动与 USPS 自身一样多

4月26日，，，，，Akamai 钻研人员发现了大量极有可能的恶意活动和宣称与美国邮政服务 (USPS) 有关的域名。。。。。。Akamai 钻研人员将五个月的合法域名 usps[.]com 的 DNS 流量与犯法组合抢注域名的 DNS 流量进行了比力。。。。。。恶意域与 usps[.]com 的总查问计数险些一样，，，，，即便仅推算蕴含明确 USPS 缩写词的域也是如此。。。。。。只管在此分析中，，，，，USPS 赢得了这 5 个月期间总查问量的 51%，，，，，但我们过滤数据的方式批注，，，，，恶意流量显著超过了现实世界中的合法流量。。。。。。我们看到恶意行为者选取了两种分歧的步骤：他们要么将流量分散到很多分歧的域名，，，，，要么仅使用几个域，，，，，每个域都有大量流量。。。。。。这可能是出于混合主张：运营商和其他托管提供商意识到这些诳骗的普遍存在，，，，，并在警惕地尝试鉴别和删除这些页面。。。。。�？？？？Ｋ伎嫉浇獬庑┤μ椎墓刈⑺�，，，，，他们的了局和8827太阳集团观察更令人忧郁。。。。。。

https://www.akamai.com/blog/security-research/phishing-usps-malicious-domains-traffic-equal-to-legitimate-traffic

3. 谷歌浏览器的新后量子加密技术可能会粉碎 TLS 衔接

4月28日，，，，，一些 Google Chrome 用户汇报在 Chrome 124 上周颁布后，，，，，在默认启用新的抗量子 X25519Kyber768 封装机造的情况下，，，，，衔接到网站、服务器和防火墙时出现问题。。。。。。谷歌已测试量子安全 TLS 密钥封装机造，，，，，现已在最新的 Chrome 版本中为所有效户启用。。。。。。新版本利用用于 TLS 1.3 和 QUIC 衔接的 Kyber768 抗量子密钥协商算法来保�；；；；；� Chrome TLS 流量免受量子密码分析。。。。。。这些谬误不是由 Google Chrome 中的谬误引起的，，，，，而是由 Web 服务器未能正的确现传输层安全性 (TLS) 以及无法处置用于后量子加密的较大 ClientHello 新闻引起的。。。。。。若是不支持 X25519Kyber768，，，，，这会导致他们回绝使用 Kyber768 抗量子密钥协商算法的衔接，，，，，而不是切换到经典加密。。。。。。

https://www.bleepingcomputer.com/news/security/google-chromes-new-post-quantum-cryptography-may-break-tls-connections/

4. Kotak Mahindra 银行被不容利用法式注册新客户

4月28日，，，，，印度储蓄银行已执行对 Kotak Mahindra 银行的禁令，，，，，不容通过在线服务和利用法式注册新客户。。。。。。该措施是在IT系统治理中发现沉大缺点后采取的，，，，，这些缺点蕴含IT资产治理、更新和调换、用户接见、供给商有关风险、数据安全、数据泄露预防战术和苦难复原战术。。。。。。Kotak Mahindra Bank 为超过 4100 万客户提供服务，，，，，治理着超过 5000 亿美元的资产，，，，，该银行在 2022/2023 财年年度汇报中暗示，，，，，该银行一向致力于加强安全措施。。。。。。然而，，，，，央行以为这些致力不够。。。。。。历时两年的查抄显示，，，，，该行未能充分解决IT风险和信息安全治理问题。。。。。。此表，，，，，该银行还经历了影响客户的技术故障，，，，，引发了人们对其维持运营弹性与其增长率维持一致的能力的忧郁。。。。。。

https://meterpreter.org/rbi-cracks-down-on-kotak-mahindra-online-banking-halt/

5. 黑客宣称已渗入白俄罗斯的重要安全数门

4月28日，，，，，白俄罗斯黑客组织宣称已渗入到该国重要克格勃安全机构的网络，，，，，并接见了该组织 8600 多名员工的人事档案，，，，，该组织仍以其苏联名称定名。。。。。。为了支吃熹说法，，，，，白俄罗斯网络游击队在新闻利用法式 Telegram 的页面上颁布了该网站治理员、数据库和服务器日志的列表。。。。。。网络游击队在从前四年中对白俄罗斯官方媒体进行了数次大规模攻击，，，，，并在 2022 年对白俄罗斯铁路进行了 3 次黑客攻击，，，，，劫持了交通灯和节造系统的节造权。。。。。。

https://www.securityweek.com/hackers-claim-to-have-infiltrated-belarus-main-security-service/

6. 抓取Discord的6.2亿条信息的Spy.pet已关关

4月29日，，，，，该网站自去年 11 月以来一向在窃取 Discord 用户的公共数据，，，，，并于上周被发现该平台蕴含来自 14000 多台 Discord 服务器的近 6.2 亿用户的新闻后被曝光。。。。。。当 Spy.pet 被发现时，，，，，Discord 在致力对任何违反其服务条款标人采取行动，，，，，但无法泄漏更多信息。。。。。。Discord已经禁用与Spy.pet 网站有关的帐户。。。。。。Spy.pet 宣称能够接见的 Discord 服务器数量上周起头降落，，，，，上周四降至零。。。。。。到周五，，，，，Spy.pet 网站自身已经终场运营——只管尚不明显该网站是否由于 Discord 的行为而离线。。。。。。

https://www.theregister.com/2024/04/29/infosec_in_brief/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

8827太阳集团

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系8827太阳集团

安全钻研