每日安全简讯(20230701)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 伊朗MuddyWater组织使用新型C2框架PhonyC2进行网络攻击
伊朗政府支持的网络间谍组织MuddyWater(又称Mango Sandstorm或Mercury)自2021年起使用了一个名为PhonyC2的新型命令与控制(C2)框架,用于对目标进行渗透和数据窃取。该框架是用Python 3编写的,与MuddyWater之前使用的MuddyC3框架2有很多相似之处,但也有一些改进和更新。PhonyC2框架可以动态生成PowerShell后门,并在受感染的主机上执行。该框架还可以与Ligolo这个反向隧道工具配合使用,实现对目标网络的深度渗透。MuddyWater组织在进行网络攻击时,常常利用公开面向的服务器和社交工程技巧作为初始访问点,例如使用虚假身份、诱惑性的工作机会、记者采访或智库专家等方式来吸引目标。研究人员表示,MuddyWater组织不断更新PhonyC2框架,并改变其战术、技术和程序(TTPs),以避免被检测。
https://www.deepinstinct.com/blog/phonyc2-revealing-a-new-malicious-command-control-framework-by-muddywater
2 俄罗斯黑客组织通过付费招募志愿者发动DDoS攻击
DDoSia是一个由支持俄罗斯的黑客组织NoName057(16)发起的众包项目,旨在通过付费招募志愿者,对西方目标进行分布式拒绝服务(DDoS)攻击。该项目类似于乌克兰支持者的Liberator by disBalancer和IT ARMY of Ukraine的全自动DDoS机器人项目,利用政治驱动的黑客行为者下载并安装一个机器人,来发起DDoS攻击。但是,DDoSia项目提高了风险,通过为成功DDoS攻击的最佳贡献者提供经济奖励。NoName057(16)是一个以对乌克兰及其直接或间接支持者进行篡改和DDoS攻击而闻名的亲俄罗斯黑客组织。该组织于2022年3月在Telegram上成立,目前拥有近13000名订阅者。在过去的几个月里,NoName057(16)一直在支持Killnet的行动。最近,该组织在Killnet对美国民用网络基础设施发动攻击期间,在Telegram频道“DDoSia Project”上发布了邀请链接,并在同一频道上转发了Killnet针对美国机场的目标列表。据报告,该组织还使用了一个名为Bobik的远程访问木马(RAT),用于感染受害者并执行DDoS攻击。
https://blog.sekoia.io/following-noname05716-ddosia-projects-targets/
3 2023年最常见的软件缺陷排行榜发布
美国国土安全部赞助的国土安全系统工程与发展研究所(HSSEDI),由MITRE运营,发布了2023年最常见的软件缺陷枚举(CWE)排行榜。该排行榜根据过去两年内公开的漏洞数据(NVD)中与CWE缺陷相关的根本原因进行计算,列出了导致软件严重漏洞的25种最危险的软件缺陷。攻击者通常可以利用这些漏洞来控制受影响的系统,窃取数据或阻止应用程序正常工作。2023年CWE排行榜还结合了CISA已知被利用漏洞目录(KEV)中最近的CVE记录的更新缺陷数据。CISA建议开发者和产品安全响应团队查看CWE排行榜,并评估推荐的缓解措施,以确定最适合采用的措施。在接下来的几周内,CWE项目将发布一系列关于CWE排行榜方法论、漏洞映射趋势和其他有用信息的文章,帮助说明漏洞管理在改变网络安全风险平衡中扮演的重要角色。
https://www.cisa.gov/news-events/alerts/2023/06/29/2023-cwe-top-25-most-dangerous-software-weaknesses
4 研究人员针对Cobalt Strike的可变C2特性进行分析
Cobalt Strike是一个商业化的威胁模拟平台,可以提供隐蔽的远程控制通信。它的一个重要特性是可变C2(Malleable C2),允许攻击者自定义Cobalt Strike的网络指纹,从而绕过一些基于特征的检测方法。研究人员介绍了可变C2的工作原理,以及如何检测和防御Cobalt Strike的活动。可变C2是一种使用XML文件来定义Cobalt Strike通信行为的机制,包括请求和响应的格式、加密方式、数据编码方式等。通过修改这些参数,攻击者可以模仿合法的网络流量,或者混淆其恶意行为。例如,攻击者可以将Cobalt Strike的请求伪装成正常的HTTP请求,或者将响应隐藏在图片或其他文件中。
https://unit42.paloaltonetworks.com/cobalt-strike-malleable-c2/
5 SAP披露多个严重漏洞,包括可自动传播的利用链
SAP是一家提供企业软件解决方案的公司,其产品广泛应用于各行各业。近日,SAP公布了多个影响其产品的严重漏洞,其中最引人关注的是一条可自动传播的利用链,涉及四个漏洞。这条利用链可以让攻击者在没有任何身份验证的情况下,远程执行任意代码,并在SAP系统之间进行横向移动。这意味着,攻击者只需要找到一个暴露在互联网上的SAP系统,就可以利用这条利用链感染整个SAP网络,并造成灾难性的后果。这些漏洞已经被修复,并且没有发现被利用的迹象。但是,由于SAP系统的重要性和复杂性,很多客户可能无法及时更新或打补丁。因此,安全专家建议客户尽快采取措施,保护自己的SAP系统免受攻击。
https://sec-consult.com/blog/detail/responsible-disclosure-of-an-exploit-chain-targeting-the-rfc-interface-implementation-in-sap-application-server-for-abap/
6 npm生态系统存在巨大漏洞,可能导致代码执行和数据泄露
npm是一个流行的JavaScript包管理器,用于安装和管理开发者所需的各种模块和依赖。然而,近日,一位前npm CLI团队的工程师发现了一个影响npm生态系统的巨大漏洞,可能导致任意代码执行和数据泄露。这个漏洞的根源在于npm处理包清单(package.json)文件的方式。包清单文件是一个描述包属性和依赖的JSON文件,通常包含一些元数据,例如包名、版本、作者、许可证等。然而,npm允许包清单文件中包含任意字段,而不进行任何验证或过滤。这就导致了一个安全问题,即攻击者可以在包清单文件中插入恶意字段,例如脚本、环境变量、配置文件等,从而影响npm或其他工具的行为。例如,攻击者可以利用这个漏洞来执行任意代码,读取或修改敏感文件,窃取用户凭证,甚至感染其他依赖于该包的项目。
https://blog.vlt.sh/blog/the-massive-hole-in-the-npm-ecosystem
页:
[1]