每日安全简讯(20230702)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 APT组织Charming Kitten使用POWERSTAR新变种进行网络攻击
安全研究人员近期检测到APT组织Charming Kitten近期进行的网络钓鱼活动,并从中发现该组织开发的后门程序POWERSTAR的新变种。POWERSTAR新变种具备以下功能:远程执行命令和代码块、通过多种方式实现持久化、动态更新配置信息、使用多种C2服务器获取文件、收集系统信息、检查受害主机是否曾经被感染等。值得注意的是,POWERSTAR的新变种开始尝试从IPFS中获取攻击者托管的文件,并从中解码得到C2服务器地址。若存储在IPFS中的文件不可用,POWERSTAR则使用硬编码的C2地址进行后续的攻击流程。
https://www.volexity.com/blog/2023/06/28/charming-kitten-updates-powerstar-with-an-interplanetary-twist/
2 攻击者通过恶意广告传播BlackCat勒索软件
近期,安全研究人员发现攻击者伪造WinSCP的网页传播多种恶意软件,WinSCP是一个用于进行文件传输的开源Windows应用程序。此次攻击活动传播的恶意软件中包括BlackCat勒索软件,并且攻击者传播SpyBoy恶意软件以终止用户电脑中运行的反病毒安全产品。除此之外,攻击者还使用PuTTY传输收集的数据以达到数据泄露的目的。
https://www.trendmicro.com/en_us/research/23/f/malvertising-used-as-entry-vector-for-blackcat-actors-also-lever.html?&web_view=true
3 研究人员发现活跃的代理劫持攻击活动
研究人员发现了一个针对易受攻击的SSH服务器的代理劫持活动,通过代理劫持,攻击者不仅可以窃取资源,还能够利用受害者未使用的宽带以换取经济利益。此次攻击活动利用受感染的Web服务器传播必要的依赖项,检查受害服务器中是否存在竞品并进行终止,采用混淆技术以规避安全产品的检测。研究人员称,代理劫持已成为网络攻击者利用受感染设备获取经济利益的一种新的方式。
https://www.akamai.com/blog/security-research/proxyjacking-new-campaign-cybercriminal-side-hustle
4 研究人员发布Akira勒索软件的解密器
安全研究人员为Akira勒索软件开发了解密器,并已公开发布。Akira勒索软件出现于2023年3月份,其勒索组织声称攻击了教育、金融和房地产等行业的组织机构。Akira勒索软件是针对Windows操作系统的64位程序,使用C++进行编写且利用Boost库实现异步加密。2023年6月,Akira勒索软件出现了针对Linux操作系统的版本。研究人员称,Akira勒索软件的Linux版本与Windows版本的加密方式相同,该团队正在开发Linux版本的解密器。目前可以使用WINE运行已发布的Windows版本解密器,对Linux系统中被加密的文件进行解密。
https://decoded.avast.io/threatresearch/decrypted-akira-ransomware/
5 WordPress的Ultimate Member插件存在权限提升漏洞
Ultimate Member是一个被安装在WordPress网站中的流行插件,该插件中存在一个严重的权限提升漏洞。攻击者可以利用该漏洞将用户在网站上的角色设置为“管理员”,从而使攻击者获得对该站点的完全访问权限。该漏洞正在被积极利用,并且还没有安全补丁。目前Wordfence团队针对该漏洞发布了防火墙规则,并建议其客户在安全补丁发布前暂时停止使用该插件。
https://www.wordfence.com/blog/2023/06/psa-unpatched-critical-privilege-escalation-vulnerability-in-ultimate-member-plugin-being-actively-exploited/
6 俄罗斯卫星通信供应商Dozor-Teleport遭受网络攻击
Dozor-Teleport是一家俄罗斯卫星通信供应商,为该国的能源公司、国防和安全部门提供服务。该供应商遭受网络攻击,网络监控公司Kentik证实Dozor-Teleport已与互联网断开连接,目前无法访问。一个黑客组织在网络中声称对此次攻击事件负责。该黑客组织称他们损坏了一些卫星终端,并摧毁、泄露了存储在该公司服务器上的机密信息。该组织已将700个包括文档和图像的文件发布在其数据泄露站点,并将一些文件发布在他们所创建的Telegram频道中。
https://therecord.media/hackers-take-down-russian-satellite-provider?&web_view=true
页:
[1]