每日安全简讯(20230727)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 攻击者利用Casbaneiro恶意软件对拉丁美洲用户进行攻击
研究人员近期发现利用Casbaneiro恶意软件针对拉丁美洲用户进行的攻击活动。2018年,Casbaneiro恶意软件被发现(也称为Metamorfo或Pontero)出现在针对拉丁美洲的大规模恶意垃圾邮件活动中,主要用于窃取金融网站的凭据。在此次观察到的攻击活动中,攻击者使用包含恶意HTML附件的鱼叉式网络钓鱼邮件发起攻击,该附件将会进行重定向以下载RAR文件。此次攻击活动中的一个新变化是,攻击者利用fodhelper.exe使用UAC绕过技术在没有UAC提示的情况下执行代码。
https://blog.sygnia.co/breaking-down-casbaneiro-infection-chain-part2
2 研究人员发现针对macOS的新型窃密木马Realst
研究人员发现一种针对macOS的新型窃密木马,该窃密木马使用Rust语言进行编写,被称为“Realst”。该窃密木马通过恶意网站中的虚假游戏广告进行传播,以PKG安装程序或DMG文件的形式,其中包含恶意的Mach-O文件。研究人员对16种Realst变种分析后发现它们在形式和功能上非常相似,都针对Firefox、Chrome、Opera、Brave、Vivaldi和Telegram进行窃密,并且都没有针对Safari浏览器。大多数变种试图通过osascript和AppleScript欺骗来窃取用户的密码,并通过sysctl-n hw.model执行基本检查,以确保主机设备不是虚拟机。
https://www.sentinelone.com/blog/apple-crimeware-massive-rust-infostealer-campaign-aiming-for-macos-sonoma-ahead-of-public-release
3 研究人员发现Spyhide安卓恶意软件从数万部手机中窃取信息
Spyhide是一种间谍软件,通常由知道受害者密码的人植入受害者的手机上。该应用程序被设计为隐藏在受害者手机的主屏幕上,使其难以被检测和删除。一旦植入,Spyhide就会默默地不断上传手机的联系人、信息、照片、通话记录和录音,以及实时的精确位置。研究人员通过利用该软件后台仪表板中的漏洞,获得了对后端数据库的访问权限,并从中发现大约60000台安卓设备的详细记录,数据包括329万条包含个人信息的短信,120多万份通话记录和约31.2万份通话记录文件,925000多个包含姓名和电话号码的联系人列表,382000张照片和图像的记录,以及在受害者手机中秘密录制的录音。
https://maia.crimew.gay/posts/fuckstalkerware-2
4 MikroTik路由器存在权限提升漏洞
超过90万台MikroTik路由器中存在权限提升漏洞,该漏洞被标记为CVE-2023-30799,允许拥有现有管理员帐户的远程攻击者通过设备的Winbox或HTTP接口将其权限提升为“超级管理员”。由于MikroTik RouterOS带有一个默认的“admin”账户,因此攻击者能够使用管理员账户利用该漏洞。研究人员使用Shodan来确定该漏洞的影响,发现47.4万台设备基于网络的管理页面中存在漏洞。然而,由于该漏洞也可通过Mikrotek管理客户端Winbox进行利用,有92.6万台台设备暴露了该管理端口,因此影响要大得多。
https://www.bleepingcomputer.com/news/security/super-admin-elevation-bug-puts-900-000-mikrotik-devices-at-risk
5 VMware修复CVE-2023-20891漏洞
VMware修复了VMware Tanzu Application Service for VM(TAS for VM)和Isolation Segment中的一个数据泄露漏洞,该漏洞是由系统审核日志记录和暴露的凭据引起的。该漏洞被标记为CVE-2023-20891,低权限的远程攻击者能够利用该漏洞在受影响的系统中访问Cloud Foundry API管理员凭据。VMware建议受CVE-2023-20891影响的TAS for VM用户更换CF API管理员凭据,以确保攻击者无法使用泄露的凭据进行攻击。
https://www.bleepingcomputer.com/news/security/vmware-fixes-bug-exposing-cf-api-admin-credentials-in-audit-logs
6 黑客声称窃取埃及卫生部的医疗记录
攻击者在黑客论坛中称从埃及卫生和人口部窃取200万份数据记录,该数据库中包含全面的个人患者信息,包括姓名、身份证、电话号码、地址、分类细节、诊断和治疗细节。该攻击者在论坛中提供了一个数据集样本以证实其说法,其中含有1000人的数据。研究人员称,该攻击者在前段时间曾在论坛中售卖与印度尼西亚相关的数据。
https://www.infosecurity-magazine.com/news/hacker-stolen-medical-records/?&web_view=true
页:
[1]