内存安全周报第150期 | 美国主要能源组织遭遇二维码网络钓鱼攻击
一、美国主要能源组织遭遇二维码网络钓鱼攻击(8.16)
此次网络钓鱼活动主要针对美国一家著名能源公司,黑客利用二维码帮助恶意电子邮件绕过安全检测,发送至攻击目标的电子邮箱。
详细情况
此次攻击约发送1000封电子邮件,三分之一 (29%) 针对一家大型美国能源公司,其余针对制造业 (15%)、保险业 (9%)、高新技术产业 (7%)、和金融服务业(6%)。本次攻击始于一封网络钓鱼电子邮件,电子邮件包含二维码的PNG或PDF附件,提示收件人扫描验证帐户,更新其Microsoft 365帐户设置。
黑客利用图像中嵌入的二维码,绕过已知恶意链接的电子邮件安全工具,从而使网络钓鱼邮件能够发送至攻击目标的收件箱。为了规避安全检测,该攻击中的二维码还使用Bing、Salesforce和Cloudflare的 Web3 服务的重定向,将目标重定向到Microsoft 365网络钓鱼页面。本次攻击中,二维码隐藏的重定向URL、滥用合法服务,及对网络钓鱼链接使用Base64编码都便于网络钓鱼电子邮件逃避安全检测,并通过电子邮件的保护过滤器。
参考链接
二、利用Magento 2关键漏洞对电子商务网站进行持续的Xurum攻击(8.14)
自2023年1月起,使用Adobe Magento 2软件的电子商务网站就成为一起持续性网络攻击的目标。
详细情况
据了解,此次攻击被称为Xurum攻击,利用Adobe Commerce和Magento开源中一个已修复的关键安全漏洞(CVE-2022-24086, CVSS得分:9.8)。如果漏洞被成功利用,可能会执行任意代码。还观察到一些网站感染了简单的javascript浏览程序,该程序旨在收集信用卡信息并将其传输到远程服务器。
在观察到的攻击链中,CVE-2022-24086被武器化用于初始访问,随后利用该立足点执行恶意PHP代码,收集有关主机的信息,并放弃名为wso-ng的web shell,该shell伪装成谷歌购物广告组件。web shell后门不仅在内存中运行,而且只有攻击者在HTTP请求中发送“magemojo000”cookie时,它才会被激活,之后,过去10天内的销售订单付款方式信息会被访问及泄露。
据了解,wso-ng是WSO网络外壳的进化版,包含了一个新的隐藏登录页面来窃取受害者的输入凭证。它进一步集成了VirusTotal,SecurityTrails等合法工具,以收集受感染机器的IP信誉,并获得托管在同一服务器上其他域的详细信息。近期,黑客频繁瞄准长期被忽视的WordPress等小型网站,这些网站用于托管网络钓鱼页面。
参考链接
