服务器端信用卡窃取器潜伏在鲜为人知的插件中

Tag：Dessky Snippets插件, WooCommerce

事件概述：

黑客总是在寻找新的方式将恶意软件注入网站，并使用新的方法使其难以被检测。近期，攻击者利用一个名为Dessky Snippets的鲜为人知的WordPress插件，将服务器端恶意软件安装到WooCommerce在线商店中，用以窃取信用卡信息。攻击者在获取到wp-admin管理员面板的访问权限后，常常会滥用WordPress插件，以便在受害者网站中添加或操作代码或文件。在此次攻击中，攻击者选择使用Dessky Snippets插件，该插件在编写时只有几百个活跃安装。

在此次攻击中，攻击者选择使用Dessky Snippets插件，该插件在编写时只有几百个活跃安装。该插件的代码在去混淆和美化后，我们可以看到twentytwenty_get_post_logos（作为WooCommerce woocommerce_after_checkout_billing_form钩子的钩子）向结算表单添加了几个新字段，这些字段请求信用卡详细信息（真正的结算过程在后续页面上请求此信息）。该代码片段在每次页面加载时都会执行。它监视与注入表单字段相关的“ccc”参数的POST数据。一旦检测到这些参数，结算表单中的所有值以及信用卡详细信息都会发送到第三方URL hxxps://2of.cc/wp-content。为了防止此类攻击，电商网站需要定期更新CMS、插件、主题和任何第三方组件以修补漏洞，确保所有账户，包括管理员、sFTP和数据库凭据，都有强大且独特的密码，仅从信誉良好的来源集成第三方JavaScript，避免不必要的第三方脚本，并使用Web应用防火墙阻止恶意机器人，虚拟修补已知漏洞，并过滤有害流量。

来源：

https://blog.sucuri.net/2024/05/server-side-credit-card-skimmer-lodged-in-obscure-plugin.html?&web_view=true

政府威胁情报

微软交换服务器主页遭遇键盘记录器嵌入攻击

Tag：键盘记录器, ProxyShell

事件概述：

来源：

https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/positive-technologies-detects-a-series-of-attacks-via-microsoft-exchange-server/

能源威胁情报

LilacSquid 网络间谍活动针对 IT、能源和制药行业

Tag：LilacSquid, 欧洲能源公司

事件概述：

自2021年起，名为LilacSquid的APT组织针对美国工业和研究领域的IT软件供应商、欧洲能源公司和亚洲制药实体发起了数据泄露攻击，作为其网络间谍活动的一部分。攻击者利用已知软件漏洞和远程桌面协议凭证进行入侵，并使用开源远程管理工具MeshAgent或InkLoader分发PurpleInk恶意软件，这是一种定制版的QuasarRAT木马。

技术综述：Cisco Talos的报告揭示了LilacSquid的攻击技术细节。PurpleInk恶意软件能够执行新应用程序、文件操作、远程shell部署、目录和进程枚举、系统信息收集以及与命令和控制服务器的通信。研究人员还指出，LilacSquid使用的攻击技术和工具与Lazarus Group的子集Andariel有相似之处，包括MeshAgent和Secure Socket Funneling的使用。

来源：

ICS蜜罐遭遇“redtail”恶意软件攻击分析

Tag：ICS蜜罐, redtail

事件概述：

来源：

https://unsafe.sh/go-241047.html

流行威胁情报

SolarMarker恶意软件复杂结构探索

Tag：SolarMarker, Recorded Future Network Intelligence

事件概述：

SolarMarker，也被称为Yellow Cockatoo和Jupyter Infostealer，是一种以窃取信息为主的恶意软件，自2021年以来一直活跃。该恶意软件采用了多层次的基础设施，并针对教育、医疗和中小企业等行业。为了避免被检测，它采用了如Authenticode证书和大型zip文件等先进的逃避技术。SolarMarker的运营核心是其分层基础设施，至少包括两个集群：一个主要的用于活动操作，另一个可能用于测试新策略或针对特定地区或行业。这种分离增强了恶意软件的适应性和反应对策的能力，使其特别难以根除。

Recorded Future Network Intelligence揭示了多个行业的大量受害者，包括教育、医疗、政府、酒店和中小企业。这种恶意软件既针对个人，也针对组织，窃取大量数据，这些数据可能在犯罪论坛上出售，导致进一步的剥削和攻击。在短期内，防御SolarMarker的策略应包括执行应用程序允许列表，以防止下载看似合法的含有恶意软件的文件。如果允许列表不可行，企业应对员工进行彻底的安全培训，以识别潜在破坏的迹象，如意外的文件下载或重定向，可能表明有恶意广告。报告的附录详细说明，使用YARA和Snort规则对于检测当前和历史感染至关重要。鉴于恶意软件的不断演变，定期更新这些规则，结合分析网络工件等额外的检测方法，是必要的。从长期来看，监控网络犯罪生态系统对于预测新威胁非常重要。组织应该完善他们的安全政策，并增强防御机制，以领先于像SolarMarker背后的威胁行为者。这包括针对网络犯罪基础设施的更好的监管措施，以及执法努力从源头解决这些威胁。

来源：

https://www.recordedfuture.com/exploring-the-depths-of-solarmarkers-multi-tiered-infrastructure

高级威胁情报

LilacSquid APT团伙与数据泄露事件

Tag：LilacSquid, InkLoader

事件概述：

LilacSquid是一个新发现的APT组织，与美国和欧洲多个行业的数据泄露攻击有关。该组织利用公开漏洞和盗取的凭证入侵系统，使用开源工具如MeshAgent和InkLoader进行侦察，并投放如PurpleInk这样的定制恶意软件。LilacSquid还使用SSF技术建立远程服务器隧道，其战术与朝鲜APT组织Andariel相似，专注于长期访问受害组织以窃取数据。

LilacSquid的入侵手段包括利用已知漏洞和盗取远程桌面协议凭证。其技术栈包括开源远程管理工具MeshAgent、.NET基础的加载器InkLoader，以及高度混淆的QuasarRAT木马变种PurpleInk。该组织还使用SSF技术建立远程服务器隧道，其策略与Andariel和Lazarus Group相似，专注于长期数据窃取。

来源：

https://www.darkreading.com/cyberattacks-data-breaches/lilacsquid-apt-employs-open-source-tools-quasarrat

漏洞情报

Foxit PDF阅读器存在严重漏洞，黑客可执行恶意命令

Tag：Foxit PDF阅读器, 恶意命令

事件概述：