Atgiant 发表于 2023-8-4 20:07

每日安全简讯(20230805)

免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 研究人员披露BlueCharlie组织在2023年的基础设施

BlueCharlie组织为俄罗斯背景的APT组织,自 2017 年以来一直活跃,专注于间谍活动和黑客泄露行动的信息收集。研究人员发现BlueCharlie 已经发展了其技战术,并建立了新的基础设施。该组织攻击的具体受害者尚不清楚,但过去的目标包括政府、国防、教育、政治部门、非政府组织、记者等。

https://www.recordedfuture.com/bluecharlie-previously-tracked-as-tag-53-continues-to-deploy-new-infrastructure-in-2023

2 美国政府承包商Serco遭遇数据泄露

跨国外包公司 Serco Group 的美洲分部 Serco Inc 披露了一起数据泄露事件,攻击者从第三方供应商的 MoveIT 托管文件传输 (MFT) 服务器窃取了 10,000 多人的个人信息。这些信息是从其福利管理提供商 CBIZ 的文件传输平台中泄露的。攻击中泄露的个人信息包括以下信息:姓名、美国社会安全号码、出生日期、家庭邮寄地址、Serco个人电子邮件地址以及曾选定的健康福利。

https://www.bleepingcomputer.com/news/security/us-govt-contractor-serco-discloses-data-breach-after-moveit-attacks/

3 研究人员披露Pikabot恶意软件

Pikabot 是一种新的恶意软件,首次出现于 2023 年初。它有两个组件:加载器和核心模块。目前仍处于初始阶段,预计未来活动将会增加。一些研究人员认为它与TA570有关,与Qbot木马有一定的关联性。该木马的加载器用途是执行大量的Anti-debug、Anti-VM和Anti-emulation检查,以增加自动化分析和注入核心模块的难度。

https://d01a.github.io/pikabot/

4 Microsoft Azure AD跨租户同步功能可被滥用于横向移动

Microsoft 于 2023 年 6 月推出的新 Azure Active Directory 跨租户同步 (CTS) 功能创建了一个新的潜在攻击面,可能使威胁行为者更容易横向传播到其他 Azure 租户。Microsoft 租户是 Azure Active Directory 中的客户端组织或子组织,它们配置有自己的策略、用户和设置。由于大型组织可能出于组织目的而分为多个租户,因此有时允许用户在同一实体控制的授权租户之间进行同步可能更容易被攻击。

https://www.bleepingcomputer.com/news/security/new-microsoft-azure-ad-cts-feature-can-be-abused-for-lateral-movement/

5 黑客可滥用Microsoft Office的可执行文件下载恶意软件

LOLBAS 为 Living-off-the-Land Binaries and Scripts 缩写,通常被描述为 Windows 操作系统本机或从 Microsoft 下载的签名文件。研究人员发现LOLBAS 文件列表(Windows 中存在的可被滥用于恶意目的的合法二进制文件和脚本)将包括 Microsoft Outlook 电子邮件客户端和 Access 数据库管理系统的主要可执行文件。Microsoft Publisher 应用程序的主要可执行文件已被确认可以从远程服务器下载有效负载。这些可执行文件是合法工具,黑客可以滥用这些工具来下载或运行有效负载,而不会触发防御机制。

https://www.bleepingcomputer.com/news/security/hackers-can-abuse-microsoft-office-executables-to-download-malware/

6 研究人员披露Rilide恶意软件的攻击活动

研究人员披露Rilide Stealer恶意软件利用Chrome 浏览器扩展程序针对加密用户和企业员工进行网络攻击活动,旨在窃取凭证和加密钱包。Rilide 是基于 Chromium 的浏览器(包括 Chrome、Edge、Brave 和 Opera)的恶意浏览器扩展,最初于 2023 年 4 月发现。首次发现时,Rilide 浏览器扩展程序会冒充合法的 Google Drive 扩展程序来劫持浏览器、监控所有用户活动并窃取电子邮件帐户凭据或加密货币资产等信息。研究人员发现了 Rilide 的新版本,现在支持 Chrome Extension Manifest V3,能够克服 Google 新扩展规范引入的限制,并添加额外的代码混淆以逃避检测。

https://www.bleepingcomputer.com/news/security/chrome-malware-rilide-targets-enterprise-users-via-powerpoint-guides/






页: [1]
查看完整版本: 每日安全简讯(20230805)