每日安全简讯(20230530)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Dark Frost僵尸网络针对游戏公司和游戏社区成员发起攻击
Web基础设施公司Akamai的安全情报响应团队发现了一个新的僵尸网络,该僵尸网络针对游戏行业进行DDoS攻击。Akamai安全研究员Allen West解释说,他们将这个僵尸网络命名为Dark Frost。根据他们的分析,这个僵尸网络类似于之前发现的几个僵尸网络和恶意软件变种,包括Qbot、Gafgyt和Mirai。研究人员认为,Dark Frost是使用从这些恶意代码家族中窃取的代码创建的,以允许攻击者成功执行DDoS攻击。据研究人员称,Dark Frost最突出的目标包括游戏公司、在线流媒体服务、游戏服务器托管提供商和游戏社区成员。
https://www.hackread.com/gaming-firms-community-dark-frost-botnet/
2 新出现的窃密木马Bandit Stealer以浏览器、钱包为目标
一种名为Bandit Stealer的新出现的信息窃取恶意软件越来越受欢迎,因为它以众多浏览器和加密货币钱包为目标,同时逃避检测。目前,恶意软件社区内的兴趣和宣传活动越来越多,以提高对恶意软件的认识和使用。虽然在撰写本文时目标的重点仅限于Windows平台,但它有可能扩展到其他平台,因为Bandit Stealer是使用Go编程语言开发的,可能允许跨平台兼容性。该恶意软件尝试使用runas.exe,这是Windows操作系统(OS)中的一个命令行实用程序,允许用户使用当前用户帐户以外的用户凭据或权限运行特定程序或命令。
https://www.trendmicro.com/en_ca/research/23/e/new-info-stealer-bandit-stealer-targets-browsers-wallets.html
3 研究人员发现针对Linux路由器攻击的GobRAT恶意软件
JPCERT/CC已确认攻击者在2023年2月左右用恶意软件感染了日本的路由器。攻击者首先针对一个WEBUI对外开放的路由器,利用漏洞执行脚本,最终感染GobRAT。Loader Script作为加载器,包含生成各种脚本、下载GobRAT等功能。假定用于后门的SSH公钥硬编码在脚本中。另外,由于Loader Script使用crontab来注册Start Script的文件路径进行持久化,所以GobRAT没有这个功能。该脚本的独特之处在于它将启动时间写入名为restart.log的文件。此外,此脚本以文件名apached执行 GobRAT ,使其看起来像是一个合法进程。
https://blogs.jpcert.or.jp/en/2023/05/gobrat.html
4 研究员开发了一个利用ZIP域的网络钓鱼工具包
一种新的“浏览器中的文件存档器”网络钓鱼工具包通过在浏览器中显示伪造的WinRAR或Windows文件资源管理器窗口来诱使用户启动恶意文件。本月早些时候, 谷歌开始提供注册ZIP TLD域的功能,例如bleepingcomputer.zip,用于托管网站或电子邮件地址。自TLD发布以来, 关于它们是否是一个错误并可能对用户构成网络安全风险的争论一直存在。安全研究员mr.d0x开发了一个网络钓鱼工具包,可以让您创建伪造的浏览器内WinRar实例和显示在ZIP域上的文件资源管理器窗口,以诱使用户认为他们打开了.zip文件。
https://www.bleepingcomputer.com/news/security/clever-file-archiver-in-the-browser-phishing-trick-uses-zip-domains/
5 黑客泄露了MCNA保险公司近900万患者的个人和受保护健康信息
一家为许多州医疗补助机构和儿童健康保险计划提供服务的保险公司告诉监管机构,在3月份发现的一起事件中,黑客泄露了近900万患者的个人和受保护健康信息。总部位于佛罗里达州劳德代尔堡的 MCNA 保险公司在向缅因州总检察长办公室提交的数据泄露通知函中表示,它在3月6日检测到对某些MCNA系统的未经授权访问,并发现网络中的某些系统感染了恶意代码。该公司还列出了100多个受违规影响的受影响组织,其中包括阿肯色州公共服务部、纽约市管理福利基金、佛罗里达州健康儿童公司、爱达荷州卫生和福利部、爱荷华州公共服务部、路易斯安那州卫生部、内布拉斯加州卫生与公众服务部。
https://www.govinfosecurity.com/dental-health-insurer-hack-affects-nearly-9-million-a-22185
6 PyPI宣布对所有软件发布者强制使用2FA
Python Package Index(PyPI)宣布将要求在该平台上管理项目的每个帐户在年底前启用双因素身份验证(2FA)。PyPI是用Python编程语言创建的软件包的软件存储库。该索引托管了200000个包,使开发人员可以找到满足各种项目需求的现有包,从而节省他们的时间和精力。PyPI团队表示,对所有帐户强制执行2FA的决定是他们增强平台安全性的长期承诺的一部分,补充了之前在该方向采取的措施,例如阻止泄露的凭据和支持API令牌。2FA保护的好处之一是降低了供应链攻击的风险。当恶意行为者获得软件维护者帐户的控制权并将后门或恶意软件添加到用作各种软件项目依赖项的包时,就会发生这些类型的攻击。
https://www.bleepingcomputer.com/news/security/pypi-announces-mandatory-use-of-2fa-for-all-software-publishers/
页:
[1]