网络安全日报 2023年11月22日
1、研究人员发现LittleDrifter USB蠕虫在多个国家传播
https://research.checkpoint.com/2023/malware-spotlight-into-the-trash-analyzing-litterdrifter/ Gamaredon,也被称为Shuckworm、Iron Tilden和Primitive Bear,是与俄罗斯相关的APT组织。研究人员称,LittleDrifter蠕虫是用VBS编写的,旨在通过USB驱动器进行传播,是Gamaredon组织的USB PowerShell蠕虫的演进变种。研究人员在美国、乌克兰、德国、越南、波兰、智利看到了该蠕虫入侵的迹象,这表明Gamaredon组织可能失去了对Litt
2、Kinsing组织利用CVE-2023-46604漏洞进行攻击活动
https://www.trendmicro.com/en_us/research/23/k/cve-2023-46604-exploited-by-kinsing.html Kinsing组织正在利用Apache ActiveMQ RCE漏洞(CVE-2023-46604)进行攻击活动,该组织在易受攻击的系统上执行挖矿程序和恶意软件。在启动挖矿程序之前,Kinsing通过终止任何相关进程、crontabs和网络连接来检查机器上是否有其他的Monero挖矿程序。之后,它通过cronjob建立持久性,该cronjob用于获取其感染脚本的最新版本,并将rootkit添加到'/etc/ld.so.
3、加拿大政府证实其供应商被攻击并泄露数据
https://www.bleepingcomputer.com/news/security/canadian-government-discloses-data-breach-after-contractor-hacks/ 加拿大政府表示,其两家承包商已被黑客攻击,入侵事件发生在上个月,影响到Brookfield Global Relocation Services(BGRS)和SIRVA Worldwide Relocation & Moving Services,它们都是为加拿大政府雇员提供搬迁服务的供应商。尽管加拿大政府尚未确定此事件的攻击者,但LockBit勒索团伙称入侵了SIRV
4、BlackCat勒索团伙称对无人机公司AFT进行攻击
https://thecyberexpress.com/autonomous-flight-technologies-data-breach/ BlackCat勒索团伙声称对无人机公司Autonomous Flight Technologies(AFT)进行攻击,并称将窃取的数据出售给了一家未透露名称的国外机构。该公司尚未发布有关此次事件的官方声明或回应,并且由于攻击者未透露更加具体的细节,因此关于此次攻击事件的真实性还不确定。
5、谷歌分享了在 Chrome 中阻止第三方 cookie 的计划
https://www.bleepingcomputer.com/news/google/google-shares-plans-for-blocking-third-party-cookies-in-chrome/ 谷歌已正式宣布计划逐步消除第三方 cookie,以实现其隐私沙盒计划的一个关键方面。预计从 2024 年初1% 用户测试期开始,最终在 2024 年第三季度进行更广泛的淘汰。
6、FTC 发起语音克隆挑战以打击人工智能欺诈
https://cybernews.com/privacy/ftc-voice-cloning-challenge-ai-fraud/ 美国联邦贸易委员会 (FTC) 发起了首届“语音克隆挑战赛”,以应对人工智能语音克隆诈骗日益增长的威胁。
7、三星证实黑客在长达一年时间内窃取了英国客户的个人数据
https://techcrunch.com/2023/11/16/samsung-hackers-customer-data-breach/ 三星证实黑客在长达一年时间内窃取了英国客户的个人数据。三星向受影响客户发送邮件称,攻击者利用了未披露名字的第三方应用的漏洞,在 2019 年 7 月 1 日到 2020 年 6 月 30 日之间访问了在三星英国商店购物的客户个人信息。
8、Tor 网络删除了许多与加密货币相关的中继
https://www.securityweek.com/tor-network-removes-risky-relays-associated-with-cryptocurrency-scheme/ Tor 项目周一宣布,它已经删除了许多中继,因为它们对网络的完整性和用户构成了高风险。匿名网络维护者发布的一篇博客文章显示,目录当局已投票赞成删除与涉及加密货币代币支付的营利计划相关的中继。
9、勒索团伙利用海康威视综合安防管理平台漏洞开展大规模勒索攻击
https://x.threatbook.com/v5/article?threatInfoID=97086 近日,微步监测到有勒索团伙利用海康威视综合安防管理平台文件上传漏洞(XVE-2023-23734)开展大规模勒索攻击。攻击者利用该漏洞上传Webshell,并随后执行任意命令,对主机上相关文件进行加密,加密后缀为locked1。该漏洞利用成本极低,危害极高。该漏洞非0day,海康威视已于2023年6月修复。
10、多地出现“电话手表兑换卡”新型诈骗,警方提醒若捡到要直接销毁
https://www.ithome.com/0/733/581.htm 据“平安北京”公众号,近日全国多地有不少人捡到一张“电话手表兑换卡”,印有 300 元面值,还有“安全守护”“防走失儿童定位智能电话手表”等字样。经多地警方向中国移动公司求证核实,近期中国移动并未推出此类活动。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
CVE-2023-0179提权利用
前言
在https://mp.weixin.qq.com/s/SnPaqVJ7HyQ4yur6p5dhLg中,分析了漏洞的成因,接下来分析漏洞的利用。
漏洞利用
根据漏洞成因可以知道,payload_eval_copy_vlan函数存在整型溢出,导致我们将vlan头部结构拷贝到寄存器(NFT_REG32_00-NFT_REG32_15),而该变量时存在与栈上的,因此可以覆盖栈上的其余变量的。
可以发现regs变量是无法覆盖到返回地址。
因此我们需要观察源码,jumpstack变量是在regs变量下方
我们可以通过溢出regs变量覆盖到jumpstack变量。
那么接下来需要观察一下nft_jumpstack结构体中存在哪些变量
struct nft_jumpstack {
const struct nft_chain *chain;
const struct nft_rule_dp *rule;
const struct nft_rule_dp *last_rule;
};
chain:用于指定在哪个流程进行hook
rule:以什么样的规则处理数据包
last_rule:规则可能不止一条,因此last_rule用于指向最后一条规则
nft_jumpstack结构体在nft_do_chain函数的作用如下,当状态寄存器被设置为JUMP条件时,意味着需要跳转到其他chain进行处理,因此需要先保存当前chain的状态,这里与函数调用时保存栈时的处理一样,估计因此才命名为jumpstack。并且使用一个全局变量stackptr用于确定保存的chain的先后顺序。在保存完之后,就跳转到目的chain,目的chain则是存储在regs.verdict.chain中。
...
switch (regs.verdict.code) {
case NFT_JUMP:
if (WARN_ON_ONCE(stackptr >= NFT_JUMP_STACK_SIZE))
return NF_DROP;
jumpstack[stackptr].chain = chain;
jumpstack[stackptr].rule = nft_rule_next(rule);
jumpstack[stackptr].last_rule = last_rule;
stackptr++;
case NFT_GOTO:
chain = regs.verdict.chain;
goto do_chain;
...
还原chain的过程如下,通过递减stackptr来取出存储在jumpstack变量中存储的chain、rule、lastrule,然后就会跳转到next_rule对还原的rule,进行rule的解析,这里需要注意的是在遍历rule的时候,循环是通过rule < last_rule进行遍历的,因此我们在后续伪造last_rule的时候需要大于rule,否则是无法进入循环内部的。
next_rule:
regs.verdict.code = NFT_CONTINUE;
for (; rule < last_rule; rule = nft_rule_next(rule)) {
nft_rule_dp_for_each_expr(expr, last, rule) {
if (expr->ops == &nft_cmp_fast_ops)
nft_cmp_fast_eval(expr, ®s);
else if (expr->ops == &nft_cmp16_fast_ops)
nft_cmp16_fast_eval(expr, ®s);
else if (expr->ops == &nft_bitwise_fast_ops)
nft_bitwise_fast_eval(expr, ®s);
else if (expr->ops != &nft_payload_fast_ops ||
!nft_payload_fast_eval(expr, ®s, pkt))
expr_call_ops_eval(expr, ®s, pkt);
if (regs.verdict.code != NFT_CONTINUE)
break;
}
...
if (stackptr > 0) {
stackptr--;
chain = jumpstack[stackptr].chain;
rule = jumpstack[stackptr].rule;
last_rule = jumpstack[stackptr].last_rule;
goto next_rule;
}
...
紧接着来看一下nft_rule_dp结构体,可以发现第一个八个字节是一些标志位组成的,而后续的八个字节则是用于存储nft_expr结构体的指针。
struct nft_rule_dp {
u64 is_last:1,
dlen:12,
handle:42; /* for tracing */
unsigned char data[]
__attribute__((aligned(__alignof__(struct nft_expr))));
};
然后可以看到nft_expr结构体里存储了函数指针,如果我们能够篡改该函数指针就可以劫持程序流程。
struct nft_expr {
const struct nft_expr_ops *ops;
unsigned char data[]
__attribute__((aligned(__alignof__(u64))));
};
然后在这篇文章https://www.ctfiot.com/100156.html学习到了一个小技巧。使用ptype /o struct xxx就可以看到具体的结构体信息与偏移。
因此构造的流程如下,首先我们通过漏洞溢出到nft_jumpstack结构体,并且修改rule变量为可控内容的地址同时需要将lastrule的值篡改为比rule更大的值,原因上述已经说过。紧接着在可控内容中伪造一个nft_rule_dp结构体,第一个八字节是填充位,而第二个八字节是需要伪造的函数表指针,同样的我们也将该指针篡改为可控内容的地址,然后再该地址处伪造nft_expr,并且将ops变量指向我们想要执行的函数即可。
通过上述分析已经知道了该如何通过漏洞完成程序流程的劫持,接下来需要分析如果伪造上述几个结构体。
首先在nft_payload_copy_vlan函数中,漏洞点是将vlan头的数据拷贝到指定的寄存器里面,而vlan头的地址是低于寄存器的地址,这就会导致在拷贝完vlan头后会将寄存器中的值也进行拷贝的操作,而寄存器的值我们是能人为控制的,因此就可以完成伪造的操作。
可以看到我们对NFT_REG32_00的赋值会覆盖到jumpstack[7].rule的值,完成了对jumpstack结构体的篡改,这里我们可以通过NFT_REG32_00 - NFT_REG32_15进行赋值,紧接着查看jumpstack哪个值是被赋值。就可以知道哪个jumpstack可以被篡改。
由于我们可以控制regs变量的值,我们可以首先泄露regs的地址,然后在regs上伪造rule即可。然后expr重新指向为jumpstack即可,这里采用了一个小技巧就是将last_rule设置为一个函数地址,由于函数地址的值是大于regs变量的地址值的,因此我们可以节约八个字节。
但是这里有个问题就是我们只能控制八个字节的函数指针,因此是无法构造一个完整的ROP链的,而内核并不存在像用户态下有one_gadget可以只利用八个字节就能完成利用,因此在这里必须使用栈迁移,迁移的目的是一段可以控制的内存,那么这里选用的目的自然就是regs了。那么该如何找栈迁移的gadget呢?,这里我首先采用的使用利用vmlinux-to-elf将bzImage的符号表提取出来,然后寻找对应的gadget,gadget类型如下
mov rsp,xxx
push xxx;pop rsp
add rsp,xxx
xchg rsp,xxx
上述指令都可以修改rsp寄存器,完成栈迁移的效果。
首先通过vmlinux-to-elf ./bzImage ./vmlinux去提取出符号表
然后通过ropper进行gadget的提取,ropper --file ./vmlinux --nocolor > g
最后这在搜索gadget,cat g | grep 'add rsp.*ret',但是通过尝试发现下述的地址都没办法使用,因为下述地址都不具备可执行的权限。
然后尝试了搜索上述所有的gadget,我都没有找到可以用的gadget,唯一比较接近的gadget是pop rsi的,但是无法控制rsi的寄存器,其实这里一开始我使用的镜像是自己编译的,这里搜索的gadget是需要控制rdi寄存器的,经过多次尝试无果后才使用了作者的config文件重新编译发现还是不可行。
其实我们在编译内核文件时是存在vmlinux文件的,但是那个文件十分的大,使用ropper工具无法分析,就在我准备放弃的时候,想到使用objdump工具进行gadget的提取
使用objdump -d -M intel vmlinux > ./gadget.txt
-d是dump代码
-M是指定汇编代码的格式
objdump提取的速度非常快,提取代码如下,但是它没有ropper搜索gadget那么方便,但是会全的多
这里我首先尝试了搜索栈迁移的gadget,cat gadget.txt | grep -E 'add rsp.*'
可以发现有非常多的匹配的gadget,接着我们在gdb中验证可以使用的gadget,通常在栈进行还原的时候会用到add rsp,xxx,因此都是有效的gadget,然后就是计算栈顶与resg函数地址的差值找到相应的栈迁移gadget即可。
接下就是考虑如何进行提权的利用了,虽然我们可以控制regs但是可控的范围也只有0x40是不足于采用commit_creds(prepare_kernel_cred(0))设置root凭证然后返回到用户空间执行后门的。那么相当的一个办法就是通过覆盖modprobe_path进行提权。这里我找了下列gadget进行modprobe_path的覆盖,将rdi设置为modprobe_path,rax设置为覆盖后的路径即可。
0xffffffff810d1e6b: mov qword ptr [rdi], rax; ret;
0xffffffff81004165: pop rdi; pop rbp; ret
最后就是覆盖完modprobe_path该如何返回到用户态,因为modprobe_path的提权需要在用户态下执行非法文件头的文件,这里作者采用的是将栈还原,通过在rbp中的地址值覆盖会rsp中即可,采用下述gadget
0xffffffff810b47f0: mov rsp, rbp; pop rbp; ret;
但是在我的环境下直接返回不行,这是因为在返回到nf_hook_slow函数时,有对状态码的一个检验,而在上述覆盖modprobe_path时,我们设置了rax值,就导致无法将状态码设置成合法值。那分支就会跳转到default,导致报错。在尝试搜索了gadget之后,可以将rax设置为0,但是这回进入到NF_DROP分支 中,但是此时skb变量也被我们破坏了,无法正常执行。
int nf_hook_slow(struct sk_buff *skb, struct nf_hook_state *state,
const struct nf_hook_entries *e, unsigned int s)
{
unsigned int verdict;
int ret;
for (; s < e->num_hook_entries; s++) {
verdict = nf_hook_entry_hookfn(&e->hooks[s], skb, state);
switch (verdict & NF_VERDICT_MASK) {
case NF_ACCEPT:
break;
case NF_DROP:
kfree_skb_reason(skb,
SKB_DROP_REASON_NETFILTER_DROP);
ret = NF_DROP_GETERR(verdict);
if (ret == 0)
ret = -EPERM;
return ret;
case NF_QUEUE:
ret = nf_queue(skb, state, s, verdict);
if (ret == 1)
continue;
return ret;
default:
/* Implicit handling for NF_STOLEN, as well as any other
* non conventional verdicts.
*/
return 0;
}
}
return 1;
}
在尝试很久之后,最终放弃正常返回的这个选项,然后我在rbp中搜索是否有合适的返回地址。最后在rbp中我找到了一个do_softirq函数
该函数是一个软中断处理的函数,当时我就猜想,如果这个函数返回了,应该不会影响程序的执行。
尝试运行之后,发现还是有内核异常,顿时有点失望。
但是在操控命令行的时候是能够正常输入命令的,说明我们成功返回到用户态了。
最后就是查看是否将新用户写入到/etc/passwd中了,最终完成写入。完结撒花!。
完整exp可以参考https://github.com/h0pe-ay/Vulnerability-Reproduction/blob/master/CVE-2023-0179(nftables)/poc.c
2024年网络安全高级研修班 · 邀请函
为深入学习贯彻习近平总书记关于网络强国的战略思想,落实“十四五”规划和2035年远景目标纲要对网络安全工作的重要部署,把握当前国际国内、教育系统网络安全工作面临的新形势,加强网络安全宣传教育和人才培养,赋能学校打造经验丰富的网安教学师资队伍,全面提升网络安全技能的实战教学水平。针对网络安全应急响应、红蓝对抗实战演练等网安教学热点需求,特举办此次“2024年网络安全高级研修班”。
一、组织单位
指导单位:中国网络空间安全人才教育论坛
主办单位:湖南蚁景科技有限公司
二、培训内容
1、红蓝对抗实战演练工作内容
讲解红蓝对抗基本工作内容流程和红队渗透技术框架。
2、红队渗透攻击实战演练
红队攻击相关基础知识、方法流程、常规技术和工具应用等,包括信息收集、漏洞发现、漏洞利用、后渗透攻击、内网渗透、操作系统提权、以及渗透测试框架工具使用等,实战一次完整渗透过程中涉及的红队攻击技术。
3、蓝队应急响应实战演练
蓝队针对红队攻击行为,采用应急响应技术进行实战分析,发现并阻止攻击者行为。
三、培训对象
全国高校、职业院校计算机相关专业(信息安全、计算机科学与技术、网络安全、信息科学与工程、软件工程、网络工程等)专业负责人、学科带头人、专业骨干教师、实验室人员等。
四、预期收获
1、系统了解红蓝对抗攻防演练工作内容,交流工作流程安排。
2、掌握红队渗透攻击基础知识、常用攻击方法技术、常见工具使用方法。
3、学习对目标快速信息收集、漏洞发现、漏洞利用思路技巧。
4、掌握内网渗透流程、主机渗透方法思路。
5、结合渗透测试攻击框架,能快速进行渗透测试实战。
6、掌握蓝队应急响应、入侵行为分析检测方法技术。
7、一起实战红蓝对抗攻防场景演练。
8、获得由蚁景科技颁发的培训结业证书。
五、培训安排
1、培训方式:线下培训
2、培训时间:2024年1月22日-1月26日(1月21日报到)
3、培训地点:长沙维也纳国际酒店(树木岭地铁站店)
4、会议规模:100人
六、报名方式
1、报名时间:即日起至2024年1月21日
2、报名邮箱:EDU@antvsion.com
3、电话咨询:宋老师 13657413038
4、培训费用:3680元/人(含培训资料,路费和食宿费用自理,自备电脑)
5、付款方式:
◆ 线上汇款: (请务必在备注栏里注明“学校名+参会者姓名”)
公司名称:湖南蚁景科技有限公司
开户行名称:建设银行长沙金星支行
开户行账号:4305 0178 4836 0000 0935
◆ 现场缴费:现金、扫码或刷卡(银行卡、公务卡均可)
具体课程内容
扫描下方二维码即可报名:
网络安全日报 2023年11月21日
1、研究人员发现针对韩国用户的恶意安卓和iOS应用程序
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fake-android-and-ios-apps-steal-sms-and-contacts-in-south-korea/ 研究人员最近发现通过钓鱼网站传播的恶意安卓和iOS应用程序,这类恶意应用程序于十月初开始活跃,已经安装在200多台设备上,且所有设备都位于韩国。攻击者创建了多个钓鱼网站,并将它们伪装得与其他得合法网站相似,并在网站中提供恶意应用程序的安卓和iOS版本。当用户通过这个钓鱼网站下载并运行恶意的应用程序后,它将会窃取受害者的电话号码、相关联系人和短信消息等信息。
2、攻击者窃取Bloomberg Crypto官方推特账号用以进行钓鱼攻击
https://www.bleepingcomputer.com/news/security/bloomberg-crypto-x-account-snafu-leads-to-discord-phishing-attack/ 攻击者窃取Bloomberg Crypto的官方推特账号,并在账号的个人资料中添加一个指向Telegram频道的链接,该频道链接用于进一步引导访问者加入一个拥有33968名成员的假Bloomberg Discord服务器。在该Discord服务器中,用户首先需要通过Discord的验证,然后将会跳转至攻击者伪造的钓鱼网站中。该钓鱼网站提示用户进行Discord账号验证
3、攻击者利用蝙蝠侠游戏的安装程序进行攻击活动
https://cyble.com/blog/threat-actor-targets-batman-arkham-city-gamers-using-meterpreter/ 研究人员近期发现了一个经过恶意修改的《蝙蝠侠:阿卡姆之城》游戏安装程序,可能是通过钓鱼网站进行传播的。该安装程序是原游戏的修改版本,其中包含正版蝙蝠侠游戏的安装程序,以及一个恶意程序。该恶意程序用于执行VBS脚本以启动经过混淆处理的Meterpreter,然后使用Meterpreter执行其他恶意活动,包括从攻击者服务器下载执行其他恶意软件。
4、INC勒索团伙声称攻击医疗组织WellLife Network
https://therecord.media/yamaha-welllife-network-confirm-cyberattacks WellLife Network是一家非盈利的组织,致力于为智力或发展障碍者以及患有精神疾病的人提供各种服务。INC勒索团伙于11月17日将该组织添加至其受害者名单中。11月6日,该机构发布公告通知其患者和员工,他们的IT团队在9月初发现了一次网络攻击。经调查已确定在2023年8月26日至2023年9月7日期间,未经授权的行为者已经访问了某些WellLife系统,并可能查看或获取了其中的一些信息,包括姓名、出生日期、人口统计信息和其他个人或健康等信息。
5、英国国家图书馆证实遭受勒索软件攻击
https://www.bleepingcomputer.com/news/security/british-library-ongoing-outage-caused-by-ransomware-attack/ 英国国家图书馆证实,勒索软件攻击是导致该图书馆多地点服务中断的主要原因。尽管该图书馆确认这是由勒索软件引起的,但它仍需将攻击与特定操作相联系,并确认是否有员工、用户的个人或财务信息遭到窃取。该图书馆尚未透露攻击者是如何侵入其系统的,而且在攻击发生近三周后,其网站仍然处于离线状态。该图书馆预计其许多服务将在未来几周内恢复,但一些中断可能会持续更长的时间。
6、江森自控修补了工业制冷产品中的严重漏洞
https://www.securityweek.com/johnson-controls-patches-critical-vulnerability-in-industrial-refrigeration-products/ 江森自控最近发布了针对外部研究人员在其部分工业制冷产品中发现的严重漏洞的补丁。根据江森自控和美国网络安全机构CISA发布的公告,该漏洞(编号为 CVE-2023-4804)可能“允许未经授权的用户访问意外暴露的调试功能”。受影响的产品包括 Frick Quantum HD Unity 压缩机、AcuAir、冷凝器/容器、蒸发器、发动机室和接口控制面板。
7、RHYSIDA 勒索软件团伙正在拍卖从大英图书馆窃取的数据
https://securityaffairs.com/154473/data-breach/rhysida-ransomware-gang-british-library.html Rhysida 勒索软件团伙将大英图书馆添加到其 Tor 泄露网站的受害者名单中。大英图书馆是位于伦敦的研究型图书馆,也是英国的国家图书馆。它是世界上最大的图书馆之一。该勒索软件组织声称窃取了大量“令人印象深刻的数据”,并以 20 比特币的价格进行拍卖。Rhysida 勒索软件运营商计划将窃取的数据出售给单个买家。该团伙将在宣布后 7 天内公开发布数据。
8、APT29 组织利用 WINRAR 0DAY 攻击大使馆
https://securityaffairs.com/154460/apt/apt29-targets-embassies-winrar-flaw.html 与俄罗斯有关的网络间谍组织 APT29 在最近的攻击中利用了 WinRAR 中的 CVE-2023-38831 漏洞。APT 组织针对多个欧洲国家,包括阿塞拜疆、希腊、罗马尼亚和意大利,主要目标是渗透大使馆实体。
9、LummaC2 恶意软件部署新的基于三角学的反沙箱技术
https://thehackernews.com/2023/11/lummac2-malware-deploys-new.html 名为LummaC2(又名 Lumma Stealer)的窃取恶意软件现在采用了一种新的反沙箱技术,该技术利用三角学的数学原理来逃避检测并从受感染的主机中窃取有价值的信息。
10、印度雇佣黑客组织十多年来一直针对中国、美国等国家
https://thehackernews.com/2023/11/indian-hack-for-hire-group-targeted-us.html 一个印度雇佣黑客组织以美国、中国、缅甸、巴基斯坦、科威特和其他国家为目标,作为十多年来广泛间谍、监视和破坏行动的一部分。根据 SentinelOne 的深入分析,Appin Software Security(又名 Appin Security Group)最初是一家提供攻击性安全培训计划的教育初创公司,同时至少从 2009 年起就开展秘密黑客行动。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年11月20日
1、FortiSIEM统一风险管理平台存在高危漏洞
https://www.bleepingcomputer.com/news/security/fortinet-warns-of-critical-command-injection-bug-in-fortisiem/ Fortinet向客户发出警告,称FortiSIEM平台中存在严重的命令注入漏洞,未经身份验证的攻击者可能通过精心制作的API请求执行命令。该漏洞被标记为CVE-2023-36553,Fortinet的产品安全团队发现该漏洞,并为其分配了9.3的严重性分数,而美国国家标准与技术研究所(NIST)对该漏洞分配的严重性分数为9.8。研究人员表示,CVE-2023-36553是另一
2、攻击者声称泄露智能WiFi提供商Plume的数据
https://www.hackread.com/hackers-smart-wi-fi-provider-plume-data-breach/ 攻击者目前声称窃取了Plume公司超过20GB的Wi-Fi数据库,其中包含超过1500万行信息。攻击者发布了两个CSV文件,并称其中分别包含公司客户和员工的数据。第一个文件包括公司约26000名客户的电子邮件地址、全名、国家、设备详情以及其他相关信息。第二个文件包含3086个电子邮件地址和全名,攻击者声称这些属于Plume的员工,其中大多数泄露的电子邮件地址与@plume.com和@plumewifi.com域相关,但并不包含密码信息。攻击者称此次
3、研究人员发现多个恶意PyPI软件包
https://checkmarx.com/blog/attacker-hidden-in-plain-sight-for-nearly-six-months-targeting-python-developers/ 研究人员发现27个伪装成合法Python库的软件包,并已经被下载数千次。这次攻击的一个显著特征是利用隐写术将恶意负载隐藏在一个看似无害的图像文件中,从而增加了攻击的隐秘性。这些软件包的共同特点是使用setup.py脚本引用其他恶意软件包,这些软件包使用VBScript下载和执行一个名为Runtime.exe的文件,并在主机上实现持久性,该文件能够从Web浏览器、加密货币钱包和其
4、攻击者利用Zimbra的零日漏洞针对多国政府机构进行攻击
https://www.bleepingcomputer.com/news/security/google-hackers-exploited-zimbra-zero-day-in-attacks-on-govt-orgs/ 研究人员发现,攻击者利用Zimbra Collaboration电子邮件服务器中的一个零日漏洞,从多个国家的政府系统中窃取敏感数据。攻击者自6月29日以来利用了这个中危漏洞,该漏洞被标记为CVE-2023-37580。研究人员表示,攻击者利用该漏洞窃取希腊、摩尔多瓦、突尼斯、越南和巴基斯坦等国的政府系统中的敏感数据,包括电子邮件数据、用户凭据和身份验证令牌,执行电子邮件
5、CISA提醒各机构修复Windows、Sophos和Oracle中的漏洞
https://www.bleepingcomputer.com/news/security/cisa-warns-of-actively-exploited-windows-sophos-and-oracle-bugs/ 美国网络安全与基础设施安全局(CISA)已将影响Microsoft设备、Sophos产品以及Oracle企业解决方案的三个安全问题添加到其已知被利用漏洞(KEV)目录中。该机构敦促联邦机构在12月7日之前应用这三个问题的可用安全更新。这三个漏洞的信息如下:CVE-2023-36584:微软Windows上的“Mark of the Web”(MotW)安全特性绕过漏洞;C
6、Chrome浏览器更新修复了两个高危漏洞
https://cybersecuritynews.com/google-chrome-vulnerability-browser-crash/ Chrome浏览器推出稳定版本更新,并修复两个漏洞,分别被标记为CVE-2023-5997和CVE-2023-6112。CVE-2023-5997存在于Chrome 119.0.6045.159之前的版本中,攻击者能够通过精心制作的HTML页面进行堆损坏,Chromium 将此漏洞分类为高严重性。CVE-2023-6112与上一个漏洞类似,攻击者可以通过精心制作的HTML页面执行堆损坏。此漏洞的严重性尚未确认。
7、三星证实第三方应用程序漏洞导致英国用户数据泄露
https://www.bleepingcomputer.com/news/security/new-samsung-data-breach-impacts-uk-store-customers/ 三星电子正在通知一些顾客,称一次数据泄露使他们的个人信息泄露。三星在11月13日发现了这次数据泄露,并确定是攻击者利用该公司使用的第三方应用程序中的漏洞造成的。三星表示,这次网络攻击仅影响了在2019年7月1日至2020年6月30日期间从三星在线商店购物的英国顾客,可能暴露的数据包括姓名、电话号码、邮政地址和电子邮件地址,并强调此次事件未影响凭据或财务信息。
8、CrushFTP存在远程代码执行漏洞
https://www.bleepingcomputer.com/news/security/exploit-for-crushftp-rce-chain-released-patch-now/ CrushFTP企业套件中存在远程代码执行漏洞,未经身份验证的攻击者可以通过公开发布的概念验证漏洞利用代码来访问服务器上的文件,执行代码并获取明文密码。该漏洞于2023年8月被发现,被标记为CVE-2023-43177。开发人员在CrushFTP 10.5.2版本中对该漏洞进行了修复。研究人员称,大约有10000个暴露在网络中的CrushFTP,尽管尚未确定易受攻击的具体数量,但攻击面相当大,因此C
9、威胁行为者利用恶意Google广告诱骗WinSCP用户安装恶意软件
https://thehackernews.com/2023/11/beware-malicious-google-ads-trick.html 威胁行为者正在利用操纵的搜索结果和虚假的 Google 广告来欺骗那些想要下载 WinSCP 等合法软件的用户来安装恶意软件。
10、俄罗斯 APT Gamaredon 使用 USB 蠕虫 LitterDrifter 攻击乌克兰
https://securityaffairs.com/154362/apt/gamaredon-apt-litterdrifter-usb.html Check Point 研究人员观察到,与俄罗斯有关的Gamaredon在针对乌克兰的攻击中通过 USB 传播名为 LitterDrifter 的蠕虫病毒。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年11月17日
1、APT组织TA402针对中东的政府机构进行攻击活动
https://www.proofpoint.com/us/blog/threat-insight/ta402-uses-complex-ironwind-infection-chains-target-middle-east-based-government2023年7月至10月,研究人员发现APT组织TA402发起的钓鱼攻击活动,该组织在攻击活动中传播一中被称为IronWind的新型恶意下载器,该下载器用于下载Shellcode并执行后续流程。在同一时期,TA402调整了其传播恶意载荷的方法,从原本使用Dropbox链接转为使用XLL和RAR文件附件,这可能是为了规避检测。该组织一直在进行
2、BlackCat勒索团伙攻击MeridianLink公司
https://www.bleepingcomputer.com/news/security/ransomware-gang-files-sec-complaint-over-victims-undisclosed-breach/BlackCat/ALPHV勒索团伙在其数据泄露站点中将软件公司MeridianLink列为受害者,并威胁称如果在24小时内不支付赎金,他们将泄露窃取的数据。该勒索团伙表示,他们于11月7日入侵了MeridianLink的网络,并在未加密系统的情况下窃取了公司数据。MeridianLink表示,他们仍在确认网络攻击是否影响了任何个人信息,并且根据他们迄今为止的调查,未
3、研究人员在AMD CPU中发现安全漏洞
https://www.bleepingcomputer.com/news/security/new-cachewarp-amd-cpu-attack-lets-hackers-gain-root-in-linux-vms/一种新的基于软件的故障注入攻击,CacheWarp,可以让攻击者通过针对内存写入来提升权限并实现远程代码执行,从而攻击受AMD SEV保护的虚拟机,该漏洞被标识为CVE-2023-20592。AMD对此发布了一份安全公告,表示CacheWarp问题出现在INVD指令中,可能导致SEV-ES和SEV-SNP客户虚拟机(VM)内存完整性丧失。
4、谷歌为新的 Titan 安全密钥添加了密钥支持
https://www.securityweek.com/google-adds-passkey-support-to-new-titan-security-key/谷歌本周推出了新版本的 Titan 安全密钥,增加了对密钥的支持。Titan 安全密钥是一种防网络钓鱼的双因素身份验证设备,适用于越来越多的应用程序。 谷歌现已推出新的 USB-A 和 USB-C 型号,均提供 NFC 功能。它们将取代当前的型号。至于旨在消除密码使用的密钥,新的 Titan 安全密钥允许用户存储超过 250 个唯一的密钥。
5、Zimbra 零日漏洞被用来攻击政府电子邮件
https://www.securityweek.com/zimbra-zero-day-exploited-to-hack-government-emails/谷歌威胁分析小组 (TAG) 周四透露,今年早些时候,Zimbra 协作套件零日漏洞被利用来窃取多个国家政府组织的电子邮件数据。 该漏洞的存在(编号为 CVE-2023-37580)于 7 月中旬被公开,当时 Zimbra 向客户通报了其电子邮件服务器解决方案。
6、Arkose Labs 分析报告:不良机器人占互联网流量的 73%
https://www.securityweek.com/bad-bots-account-for-73-of-internet-traffic-analysis/Arkose Labs 分析并报告了 2023 年 1 月至 9 月期间通过 Arkose Labs 全球情报网络收集的数百亿次机器人攻击。 Arkose 估计目前(2023 年第三季度)所有互联网流量的 73% 由坏机器人和相关欺诈流量组成。
7、Darkode 黑客论坛管理员被判入狱
https://www.securityweek.com/administrator-of-darkode-hacking-forum-sentenced-to-prison/美国司法部周三宣布,一名承认自己是现已解散的网络犯罪论坛 Darkode 管理员的男子被判入狱。
8、越南邮政暴露 1.2TB 数据,包括电子邮件地址
https://securityaffairs.com/154271/data-breach/vietnam-post-data-leak.htmlCybernews 研究团队发现,越南政府拥有的邮政服务机构越南邮政公司将其安全日志和员工电子邮件地址暴露在互联网。如果被恶意行为者访问,暴露的敏感数据可能会带来麻烦。
9、三星电子披露了一起数据泄露事件
https://securityaffairs.com/154251/data-breach/samsung-data-breach-2.html三星电子遭遇数据泄露,部分客户的个人信息被未经授权的个人泄露。该安全漏洞于 2023 年 11 月 13 日被发现,影响了 2019 年 7 月 1 日至 2020 年 6 月 30 日期间在三星英国在线商店购物的客户。
10、Crucial IT-OT 连接路由器中发现 21 个漏洞
https://www.darkreading.com/vulnerabilities-threats/21-vulnerabilities-discovered-crucial-it-ot-connective-routers研究人员在一个流行品牌的工业路由器中发现了 21 个漏洞。12 月 7 日,Forescout 的分析师将在 Black Hat Europe 上揭露影响运营技术 (OT)/物联网品牌的漏洞,其中包括 CVSS 等级中的 9.6 级“严重”严重性之一和 9 级“高”严重性(物联网)路由器在医疗和制造领域尤其常见。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年11月16日
1、英特尔修复了其CPU中的一个高危漏洞
https://www.bleepingcomputer.com/news/security/new-reptar-cpu-flaw-impacts-intel-desktop-and-server-systems/ 英特尔修复了其CPU中的一个高危漏洞,该漏洞被标记为CVE-2023-23583,攻击者可以利用此漏洞(来提升特权,获取对敏感信息的访问权,或触发拒绝服务状态。英特尔表示,英特尔已经确定了使用冗余REX前缀编码的指令(REP MOVSB)可能导致不可预测的系统行为,从而导致系统崩溃、挂起,或在一些有限的场景中可能允许特权从CPL3升级到CPL0。英特尔发布了微代码更新,以解决这
2、WordPress插件WP Fastest Cache存在SQL注入漏洞
https://www.bleepingcomputer.com/news/security/wp-fastest-cache-plugin-bug-exposes-600k-wordpress-sites-to-attacks/ WordPress插件WP Fastest Cache是一个用于加速页面加载、提高访客体验并提升网站在Google搜索中排名的缓存插件。根据WordPress的统计数据,该插件已经被超过一百万个站点使用。根据WordPress的下载统计数据显示,超过60万个网站仍在运行受安全漏洞影响的版本,这些网站存在潜在的风险。研究人员披露了该插件中存在的SQL注入漏洞详细信息
3、美国执法机关查封IPStorm代理僵尸网络
https://www.bleepingcomputer.com/news/security/ipstorm-botnet-with-23-000-proxies-for-malicious-traffic-dismantled/ 美国司法部宣布,联邦调查局(FBI)已经查封了用于提供代理服务的网络基础设施,该名称为IPStorm。美国司法部将IPStorm描述为一个代理僵尸网络,攻击者及网络犯罪分子能够利用该网络通过受感染设备中的流量来躲避封锁并保持匿名。除了在不知情中成为网络犯罪的帮凶外,IPStorm受害者的网络还会被恶意行为者劫持,并面临着接收更危险的载荷的风险。美国司法部称谢尔盖·
4、Truepill公司泄露230万用户的数据
https://www.bleepingcomputer.com/news/security/pharmacy-provider-truepill-data-breach-hits-23-million-customers/ Truepill是一个面向B2B的药房平台,基于API进行订单履行和递送服务。该公司于2023年8月31日发现了未经授权的网络访问,对事件的调查显示,攻击者在前一天获得了访问权限。攻击者可能访问的数据类型包括姓名、药物类型、人口统计信息、开药的医生姓名。美国卫生与公众服务部民权违规门户网站的数据显示,此次事件影响了2364359人。
5、LockBit 利用 Citrix Bleed 进行攻击,1万台服务器暴露
https://freebuf.com/news/383908.html 据BleepingComputer 11月14日消息,Lockbit 勒索软件正利用 Citrix Bleed已公开的漏洞 (CVE-2023-4966) 来破坏大型企业系统、窃取数据并加密文件。该组织近来因陆续攻击勒索波音、中国工商银行等知名企业而再度引发世人关注。
6、新的勒索软件组织与 Hive 的源代码和基础设施一起出现
https://thehackernews.com/2023/11/new-ransomware-group-emerges-with-hives.html 一个名为 Hunters International 的新勒索软件组织背后的威胁行为者已经从现已拆除的 Hive 操作中获取了源代码和基础设施,以启动自己在威胁领域的努力。
7、Ducktail 恶意软件以时尚行业为目标
https://www.darkreading.com/threat-intelligence/ducktail-malware-targets-fashion-industry 威胁行为者分发了一个档案,其中包含主要服装公司的新产品图像,以及伪装成 PDF 图标的恶意可执行文件。
8、FBI:Royal 勒索软件已入侵全球350 家机构,涉案金额 2.75 亿美元
https://www.anquanke.com/post/id/291359 FBI 和 CISA 在联合通报中透露,自 2022 年 9 月以来,Royal 勒索软件团伙已侵入全球至少 350 个组织的网络,涉及2.75亿美金。
9、SAP 修复了Business One 产品中的严重漏洞
https://securityaffairs.com/154215/security/business-one-product-critical-flaw.html 企业软件巨头 SAP 解决了其 Business One 产品中的一个严重的不当访问控制漏洞。
10、墨西哥在线赌场 Strendus 泄露了用户敏感数据
https://securityaffairs.com/154169/security/gamblers-data-compromised-after-casino-giant-strendus-fails-to-set-password.html 墨西哥最大的在线赌场之一 Strendus 暴露了敏感的用户数据,包括家庭住址和赌博花费的金额。数据可能已被未经授权的行为者泄露。Cybernews 研究团队发现,墨西哥授权的在线赌场 Strendus 向公众开放了其 85GB 的身份验证日志,其中有数十万条条目包含私人赌徒数据。打开的实例还包含来自另一个在线赌场 MustangMoney 的数
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年11月15日
1、VMware Cloud Director 存在严重身份验证绕过漏洞
https://www.securityweek.com/critical-authentication-bypass-flaw-in-vmware-cloud-director-appliance/ 云计算和虚拟化技术巨头VMware周二紧急发布了一个紧急补丁,以解决影响其Cloud Director Appliance产品的身份验证绕过漏洞。该漏洞标记为 CVE-2023-34060,CVSS 严重性评分为 9.8(满分 10),可以被具有设备网络访问权限的恶意攻击者利用,在某些端口上进行身份验证时绕过登录限制。
2、微软警告Windows两个严重漏洞被广泛利用
https://www.securityweek.com/microsoft-warns-of-critical-bugs-being-exploited-in-the-wild/ 全球最大的软件制造商微软周二发布了补丁,涵盖了至少 59 个已记录的安全漏洞,其中包括两个已经被广泛利用的严重性零日漏洞。雷德蒙德的安全响应团队记录了一系列 Windows 操作系统和组件中的广泛安全缺陷,并呼吁特别注意主动攻击中利用的 两个漏洞 - CVE-2023-36033和CVE-2023-36036 。
3、Adobe发布二补丁修复Acrobat、Reader、ColdFusion中的严重漏洞
https://www.securityweek.com/adobe-patch-tuesday-critical-bugs-in-acrobat-reader-coldfusion/ 软件制造商 Adobe 周二推出了大量安全修复程序,以覆盖其 Acrobat 和 Reader、ColdFusion、inDesign、inCopy 和 Audition 产品中的严重缺陷。作为预定周二补丁更新的一部分,Adobe 记录了 72 个不同的安全漏洞,并呼吁特别关注广泛部署的 Adobe Acrobat 和 Reader 软件中的代码执行缺陷。
4、新的“CacheWarp”AMD CPU 攻击可破坏受保护的虚拟机
https://www.securityweek.com/protected-virtual-machines-exposed-to-new-cachewarp-amd-cpu-attack/ CacheWarp 是一种新的攻击方法,会影响 AMD 处理器中存在的安全功能,可能对虚拟机造成风险。一组研究人员披露了一种影响 AMD 处理器中安全功能的新攻击方法的详细信息,展示了它可能对受保护的虚拟机 (VM) 造成的风险。CacheWarp 影响 AMD 安全加密虚拟化 (SEV),这是一种 CPU 扩展,旨在在硬件级别将虚拟机与底层虚拟机管理程序隔离,使开发人员能够安全地部署虚拟机,即使虚拟
5、丹麦关键基础设施遭受丹麦历史上最大规模的网络攻击
https://securityaffairs.com/154156/apt/denmark-critical-infrastructure-record-attacks.html 丹麦 SektorCERT 称,丹麦关键基础设施遭受了该国有记录以来最大规模的网络攻击。
6、核能、石油和天然气是 2024 年勒索软件组织的主要目标
https://securityaffairs.com/154113/malware/ransomware-gangs-targets-nuclear-and-oil-gas-2024.html 专家警告说,针对能源部门(包括核设施和相关研究实体)的勒索软件操作数量惊人增加。Resecurity 分析师预计,有针对性的网络威胁将显着增长,特别是勒索软件组织越来越优先考虑能源行业及其供应链内的高价值目标。
7、OracleIV DDoS僵尸网络以公开Docker API 为目标来劫持容器
https://thehackernews.com/2023/11/alert-oracleiv-ddos-botnet-targets.html 公开访问的 Docker Engine API 实例正成为威胁行为者的攻击目标,作为旨在将这些机器纳入名为OracleIV的分布式拒绝服务 (DDoS) 僵尸网络的活动的一部分。
8、攻击者正在利用Juniper设备中的漏洞进行攻击活动
https://www.bleepingcomputer.com/news/security/cisa-warns-of-actively-exploited-juniper-pre-auth-rce-exploit-chain/ CISA提醒Juniper预认证RCE利用链正在被积极利用,这些漏洞现在正被用于远程代码执行(RCE)攻击,作为预认证利用链的一部分。Juniper表示,在其J-Web界面中发现的漏洞(CVE-2023-36844、CVE-2023-36845、CVE-2023-36846和CVE-2023-36847)已经在被攻击者在攻击活动中成功利用。该公司通知管理员立即将J
9、欧洲议会通过《数据法案》
https://www.secrss.com/articles/60627 当地时间11月9日,欧洲议会以481票赞成、31票反对、71票弃权通过《数据法案》(Data Act)。该法案旨在明确数据访问、共享和使用的规则,规定获取数据的主体和条件,使更多私营和公共实体将能够共享数据。该法案需要欧洲理事会正式批准才能成为法律。
10、波音公司拒绝支付赎金,LockBit直接公布43GB文件
https://www.bleepingcomputer.com/news/security/lockbit-ransomware-leaks-gigabytes-of-boeing-data/ 勒索软件LockBit团伙发布了从波音公司窃取的数据,波音是一家服务商用飞机和国防系统的最大航空航天公司之一。在数据泄露之前,LockBit黑客表示波音忽视了数据将公开的警告,并威胁要发布大约4GB最新文件的样本。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年11月14日
1、研究人员发现新型安卓恶意软件Kamran
https://www.welivesecurity.com/en/eset-research/unlucky-kamran-android-malware-spying-urdu-speaking-residents-gilgit-baltistan/ 研究人员发现针对吉尔吉特-巴尔蒂斯坦地区的乌尔都语用户的攻击活动,攻击者在此次攻击活动中传播一种新型安卓恶意软件Kamran。该恶意软件在安装时请求多种权限,以允许其从设备中收集敏感信息,其中包括联系人、通话记录、日历事件、位置信息、文件、短信消息、照片、已安装应用程序列表和设备元数据。收集的数据将被上传到托管在Firebase上的命令和控
2、攻击者利用文件共享服务DRACOON窃取用户凭证
https://www.trendmicro.com/en_us/research/23/k/threat-actors-leverage-file-sharing-service-and-reverse-proxies.html 研究人员最近发现了一起网络钓鱼活动,攻击者项用户发送钓鱼邮件,其中包含指向DRACOON.team的链接,该网站提供文件共享服务。当受害者被诱导点击邮件中的链接时,他们将看到托管在DRACOON上的PDF文档。该文档中包含一个链接,会将受害者重定向至攻击者所控制的服务器,该服务器冒充Microsoft 365登录门户并充当反向代理,以窃取受害者的登录信息和会话co
3、LockBit勒索团伙泄露波音公司数据
https://www.bleepingcomputer.com/news/security/lockbit-ransomware-leaks-gigabytes-of-boeing-data/ LockBit勒索团伙称波音公司无视了其将要泄露数据的警告,并威胁要发布大约4GB数据样本。在波音公司拒绝支付赎金后,LockBit勒索团伙泄露了43GB以上的波音公司文件。2023年11月10日,LockBit在他们的网站上发布了从波音公司窃取的所有数据,其中包括IT管理软件的配置备份,以及监视和审计工具的日志。此外,LockBit还列出了Citrix设备的备份,这表示该团伙可能利用了最近披露的C
4、VLC多媒体播放器存在安全漏洞
https://cybersecuritynews.com/vlc-player-memory-corruption-flaw/ VLC多媒体播放器中存在两个与内存损坏相关的安全漏洞。这些漏洞是在Microsoft Media Server(MMS)协议中发现的,该协议在VLC中有两种实现:MMS over TCP(MMST)和MMS over HTTP(MMSH),负责接收数据包的GetPacket函数被发现包含两个漏洞——堆溢出和整数下溢。目前这两个安全漏洞的CVE标识仍在等待分配,建议VLC用户升级到3.0.20版本,以修复这些漏洞并防止被攻击者利用。
5、研究人员发现APT组织Imperial Kitten的新一轮攻击活动
https://www.crowdstrike.com/blog/imperial-kitten-deploys-novel-malware-families/ 安全研究人员发现APT组织Imperial Kitte对运输、物流和技术公司发起的新一轮攻击活动。该组织被认为与伊朗伊斯兰革命卫队(IRGC)相关,至少自2017年以来一直活跃,对包括国防、技术、电信、海事、能源、咨询和专业服务在内的各个行业组织进行网络攻击。研究人员表示,该组织在十月份发动了网络钓鱼攻击,使用“职位招聘”为主题的钓鱼邮件,其中附有恶意Microsoft Excel附件。文档中的恶意宏代码将会提取两个批处理文件,通过
6、美国专家督促打击 Deepfake 技术威胁
https://www.inforisktoday.com/experts-urge-congress-to-combat-deepfake-technology-threats-a-23565 法律专家和技术专家敦促美国国会对深度造假技术的使用设置限制,并为妇女和少数族裔社区提供新的保护,防止使用数字操纵媒体,并警告说,欺骗性内容已经影响了国家安全、个人隐私和公众信任。
7、伊朗黑客对以色列科技界发动恶意软件攻击
https://www.freebuf.com/news/383615.html Bleeping Computer 网站披露,安全研究人员追踪到 Imperial Kitten 黑客组织针对以色列运输、物流和技术公司发起新一轮网络攻击活动。据悉,Imperial Kitten 又名 Tortoiseshell、TA456、Crimson Sandstorm 和 Yellow Liderc,疑似与伊朗武装部队分支伊斯兰革命卫队(IRGC)关联密切,至少自 2017 年以来持续活跃,多次对国防、技术、电信、海事、能源以及咨询和专业服务等多个领域的实体组织,发动网络攻击。
8、网络攻击迫使澳大利亚港务巨头运营停摆
https://www.secrss.com/articles/60681 据澳大利亚广播公司当地时间11日报道,由于发生网络安全事件,澳大利亚第二大港口运营商“澳大利亚环球港务集团”运营已经停摆。从10日开始,集团在墨尔本、悉尼、布里斯班等主要城市的港口货物运输受到严重影响。12日,集团表示,正在测试货运系统运行,港口何时恢复正常作业还不清楚。
9、《电信网络诈骗及其关联违法犯罪联合惩戒办法》公开征求意见
https://www.secrss.com/articles/60662 为保障《中华人民共和国反电信网络诈骗法》的贯彻实施,进一步建立健全联合惩戒制度,经充分调研论证,公安部会同有关主管部门起草了《电信网络诈骗及其关联违法犯罪联合惩戒办法(征求意见稿)》,现向社会公开征求意见。公众可以通过公安部网站(www.mps.gov.cn)查阅公开征求意见稿,请在2023年12月12日前将有关意见建议通过电子邮件发送至gjfzzx@163.com。
10、Poloniex 加密货币平台被盗超过 1 亿美元
https://therecord.media/poloniex-cryptocurrency-platform-millions-stolen 该平台确认了这起盗窃事件,并计划赔偿受影响的用户。Poloniex 向黑客提供 5% 的赏金,要求其返还资金,并敦促其在 7 天内做出回应。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年11月13日
1、攻击者利用SysAid中的漏洞部署Clop勒索软件
https://www.bleepingcomputer.com/news/security/microsoft-sysaid-zero-day-flaw-exploited-in-clop-ransomware-attacks/ SysAid是一款IT服务管理(ITSM)解决方案,为组织内管理各种IT服务提供了一套工具。研究人员发现,攻击者正在利用服务管理软件SysAid中的零日漏洞来访问企业服务器,进行数据窃取并部署Clop勒索软件。该漏洞于11月2日被发现,被标记为CVE-2023-47246,黑客利用该漏洞入侵SysAid服务器。研究人员确定该漏洞正在被Lace Tempest(又称
2、攻击者创建CPU-Z仿冒网站传播RedLine窃密木马
https://www.malwarebytes.com/blog/threat-intelligence/2023/11/malvertiser-copies-pc-news-site-to-deliver-infostealer 研究人员发现攻击者仿冒WindowsReport网站传播虚假的CPU-Z应用程序,并最终投递RedLine窃密木马。用户在该仿冒网站中点击下载后,将会下载到一个MSI安装文件,其中包含被称为FakeBat的恶意PowerShell脚本,该脚本会从指定URL处获取Redline窃密木马载荷并在受害者计算机中执行。
3、京瓷子公司KAVX遭受勒索软件攻击并泄露数据
https://www.bleepingcomputer.com/news/security/kyocera-avx-says-ransomware-attack-impacted-39-000-individuals/ 京瓷子公司KAVX表示,其遭受的勒索软件攻击影响了39111名个体的个人信息,该公司正在向受影响者发送数据泄露通知。KAVX表示,他们于2023年10月10日发现黑客在2023年2月16日至3月30日期间访问了其系统,受影响服务器上的数据包括全球范围内的个人信息。KAVX表示没有证据表明网络罪犯滥用了窃取的数据,但提醒收信人有关身份盗窃和欺诈的相关风险,并敦促他们保持警惕。
4、研究人员称Hive勒索团伙可能变更为Hunters International
https://www.hackread.com/hive-ransomware-hunters-international-bitdefender 研究人员称,Hive勒索团伙可能变更为Hunters International,以新的身份重新出现。研究人员表示,Hive团伙此前停止了攻击活动,并将其剩余资产转移到了Hunters International,并在这两组使用的代码之间发现了60%的匹配度。然而,Hunters International声称他们是在购买和更改Hive基础设施、源代码之后形成的独立团伙。Hunters International表示,Hive的所有源代码都已出
5、研究人员发现新型恶意软件Effluence
https://www.aon.com/cyber-solutions/aon_cyber_labs/detecting-effluence-an-unauthenticated-confluence-web-shell/ 研究人与近期发现了一种新型恶意软件,并将其命名为“Effluence”,该恶意软件利用了最近的Atlassian Confluence漏洞。该恶意软件会在受感染的主机中充当持久性后门,该后门提供了横向移动到其他网络资源以及从Confluence中窃取数据的功能。更重要的是,攻击者可以在未经身份验证的情况下远程访问后门,而无需对Confluence进行身份验证。
6、马来西亚警方查封BulletProftLink网络钓鱼服务平台
https://www.bleepingcomputer.com/news/security/police-takes-down-bulletproftlink-large-scale-phishing-provider/ 马来西亚皇家警察宣布,已经查封了BulletProftLink网络钓鱼服务(PhaaS)平台,该平台提供了300多个网络钓鱼模板。网络钓鱼服务平台通过“即插即用”的工具和模板、页面托管、定制选项、凭证收集和反向代理工具为网络犯罪分子提供工具和资源,以进行网络钓鱼攻击。截至2023年4月,BulletProftLink有8138名活跃用户,并提供了327个网络钓鱼页面模板。
7、Anonymous Sudan组织对Cloudflare网站进行DDoS攻击
https://securityaffairs.com/154002/hacktivism/anonymous-sudan-ddos-on-cloudflare.html Cloudflare证实一次DDoS攻击导致其网站短暂宕机,并指出这并没有影响该公司的其他产品或服务。Anonymous Sudan组织声称对造成Cloudflare网站宕机的大规模分布式拒绝服务(DDoS)攻击负责。该组织在其Telegram频道中表示攻击持续了1小时。该组织声称最近的DDoS攻击是使用Skynet和Godzilla僵尸网络进行的。Skynet首次于2012年被发现,据估计,Skynet已经感染了全球超过
8、LockBit确认对工商银行美国子公司勒索攻击事件负责
https://www.freebuf.com/news/383568.html 2023年11月10日,中国工商银行(ICBC)的美国全资子公司工银金融服务有限责任公司(ICBCFS)在官网发布申明称11月8日遭受了勒索软件攻击,导致部分系统中断。据安全研究平台VXunderground本周五透露,LockBit组织代表在Tox上公开确认对攻击负责,但否认自己是俄罗斯黑客组织。
9、阿里云遭突发全球性严重故障,历经 2.5 小时恢复
https://www.infoq.cn/article/K5JfjZy6Qmc70YFPluVi 11 月 12 日下午,陆续有网友表示阿里旗下多款产品出现访问故障,随后【阿里云全线产品崩了】登上微博实时热搜。据阿里云健康状态页(https://status.aliyun.com/#/)公告信息,本次故障为阿里云云产品控制台服务异常,开始于 2023-11-12 17:44。阿里云全线产品均受影响。
10、在线搬运平台Dolly.com支付赎金后信息仍被泄露
https://securityaffairs.com/153975/cyber-crime/dolly-com-pays-ransom.html 攻击者在黑客论坛中发布了有关Dolly.com的详细信息,该公司可能在8月底或9月初的某个时间遭受了攻击。攻击者与受害者之间的一封电子邮件日期为9月7日,其中显示Dolly.com同意支付赎金。攻击者获取了敏感的公司和客户数据,如高级账户登录详细信息、信用卡信息、客户地址、姓名、注册日期、用户电子邮件、系统数据等,攻击者表示他们可以访问完整的信用卡数据。攻击者称,Dolly.com确实支付了赎金,但数额不足以满足他们的要求,但攻击者仍接收了赎金并
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页
蚁景网安学院火热招生中,限时领取大额优惠券,快来抢购吧~
扫码咨询客服了解招生最新内容和活动

