Atgiant 发表于 2023-7-7 17:50

每日安全简讯(20230708)

免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 研究人员发现ARCrypt勒索软件新变种

ARCrypt勒索软件,也被称为ChileLocker,于2022年8月出现,该勒索软件在攻击一家智利的机构后被发现。随后,该勒索软件开始针对世界各地的组织进行攻击。其勒索组织并没有建立用于发布数据泄露信息的网站,且该勒索软件于2023年初出现Linux版本变种。近期发现的新变种使用“.crYpt”作为加密文件的后缀名,而非旧版的“.crypt”,并且其释放的勒索信也出现了一些新的变化。ARCrypt勒索软件运行后,将自身复制到%TEMP%目录中,并使用随机六个字母或数字命名,新变种能够终止指定进程并禁用特定服务,包括与反病毒软件、备份和恢复的相关服务,可能表面该勒索软件以服务器为目标。

https://blog.cyble.com/2023/07/06/arcrypt-ransomware-evolves-with-multiple-tor-communication-channels/

2 攻击者通过钓鱼邮件传播NetSupport恶意软件

研究人员发现,攻击者正在利用伪装成发票、装运单据和采购订单的钓鱼邮件传播NetSupport RAT。攻击者利用钓鱼邮件诱导用户打开恶意附件,其中包含一个恶意JavaScript脚本。该JS脚本经过混淆处理,执行后与尝试与3个合法网站进行连接以检测用户的网络状态,随后从C2地址中获取PowerShell脚本。该PowerShell脚本用于下载执行NetSupport RAT,并通过注册表实现开机自启动。

https://asec.ahnlab.com/en/55146/

3 Truebot新变种利用Netwrix Auditor中的RCE漏洞进行攻击

CISA和FBI发布警告称,Truebot出现新变种,这些新变种利用Netwrix Auditor软件中的远程代码执行(RCE)漏洞,针对美国和加拿大的组织机构发起攻击。该漏洞被标记为CVE-2022-31199,影响Netwrix Auditor服务器及安装在网络系统上的代理,攻击者能够利用SYSTEM用户的权限执行恶意代码。在受害网络中植入Truebot后,攻击者进而植入FlawedGrace远控木马,以此建立持久性。在首次入侵的数小时后,攻击者还部署了Cobalt Strike木马,用于进行窃密及投放其他恶意载荷。

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-187a

4 思科交换机中存在尚未解决的安全漏洞

思科发布警告,称一些数据中心交换机型号中存在高危漏洞。该漏洞被标记为CVE-2023-20185,当思科Nexus 9332C、9364C和9500主干交换机们处于ACI模式、属于多站点拓扑、启动了CloudSec加密功能且固件为14.0及更高版本时,会受到此漏洞的影响。若成功利用该漏洞,未经身份验证的攻击者能够远程读取或修改站点间的加密流量。科尚未针对该漏洞发布安全补丁或软件更新,建议受到影响的客户关闭易受攻击的功能。目前还未发现该漏洞被攻击者所利用的迹象。

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-aci-cloudsec-enc-Vs5Wn2sX

5 安卓发布月度安全更新以修复多个漏洞

谷歌发布了安卓操作系统的月度安全更新,对46个安全漏洞进行了修复,其中的3个安全漏洞可能已经被攻击者利用,包括CVE-2023-26083、CVE-2021-29256和CVE-2023-2136。CVE-2023-26083是Arm Mali GPU驱动程序中的一个中危漏洞,该漏洞在2022年12月针对三星设备的漏洞链中被恶意利用。CVE-2021-29256是一个高危的权限提升漏洞,影响了Arm Mali GPU内核驱动程序的特定版本。CVE-2023-2136是一个高危漏洞,是谷歌开源多平台2D图形库Skia中的一个整数溢出漏洞。此外,在此次更新中修复的最严重的安全问题是CVE-2023-21250,该漏洞出现于安卓系统组件,可被用于进行远程代码执行,影响版本涉及安卓11、12、13。

https://source.android.com/docs/security/bulletin/2023-07-01

6 IT Army黑客组织声称对俄罗斯铁路网站进行攻击

俄罗斯国有铁路公司(RZD)表示,由于大规模的网络攻击,其网站和移动应用程序关闭了几个小时,迫使乘客只能在火车站线下购票。乌克兰黑客组织IT Army声称对此次攻击事件负责,并表示“即使网站只关闭了一个小时,它依旧会对该国的经济产生重大影响。”俄罗斯铁路网站系统至少瘫痪了六个小时,该公司于5日晚些时候表示网站已恢复运营,但由于仍在持续受到网络攻击,一些在线服务仍然无法使用。

https://therecord.media/russian-railway-site-taken-down-by-ukrainian-hackers?&web_view=true










页: [1]
查看完整版本: 每日安全简讯(20230708)