每日安全简讯(20230807)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 研究人员披露CloudflareD在野外的滥用
研究人员发现一些攻击者已转向使用防御者可能在其网络中更常用的合法工具,从而降低了传统防病毒、EDR 和其他防御流程检测到的几率。研究人员发现使用的相对较新的合法工具:Cloudflare Tunnel,又称为Cloudflared。Cloudflared 会连接 Cloudflare 的边缘服务器,通过 HTTPS(HTTP2/QUIC) 创建出站连接,其中隧道的控制器使服务或专用网络可通过 Cloudflare 控制台进行访问配置更改。这些更改通过 Cloudflare 的零信任仪表板进行管理,并用于允许外部源直接访问重要服务,包括 SSH、RDP、SMB 等。
https://www.guidepointsecurity.com/blog/tunnel-vision-cloudflared-abused-in-the-wild/
2 研究人员披露PhantomControl行动
研究人员披露最新的PhantomControl攻击攻击,该攻击活动中包括 Kaseya MSP 漏洞和 more_eggs 恶意软件。研究人员收到了来自 BlueSteel(机器学习驱动的 PowerShell 分类器)的多个关于执行恶意 PowerShell 命令的警报。发现了 ScreenConnect 活动,该活动在ProgramData文件夹下创建了大量恶意文件 。ScreenConnect 客户端是从受感染的 Teachflix 网站(该网站托管课堂教育视频)下载的。访问其中一个页面时,用户会收到一个错误弹出窗口,指示他们下载并启动二进制文件“teachflix.exe”,以便能够浏览该网站。
https://www.esentire.com/blog/operation-phantomcontrol
3 研究人员发现针对韩国安卓用户的隐形广告软件
通过 Google Play 分发的一些应用程序中发现了不合规的做法。这些应用程序会在设备屏幕关闭时加载广告,这对于用户来说最初可能看起来很方便。然而,这明显违反了Google Play 开发者关于广告展示方式的政策。这不仅会影响为隐形广告付费的广告商,还会影响用户,因为它会耗尽电池、消耗数据,并带来潜在风险,例如信息泄露和由 Clicker 行为引起的用户分析中断。研究人员已确定43 个应用程序,总计下载次数为 250万次。 目标应用程序包括电视/DMB 播放器、音乐下载器、新闻和日历应用程序。
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/invisible-adware-unveiling-ad-fraud-targeting-korean-android-users/
4 安卓恶意软件通过版本控制策略以逃避Google Play商店审查
研究人员发现恶意攻击者在逃避 Google Play 商店的审核流程和安全控制后,会使用一种称为版本控制的常见策略,在安卓设备上传播恶意软件。该技术的工作原理是通过向已安装的应用程序提供更新来引入恶意负载,或者通过在威胁行为者的控制下从服务器加载恶意代码(即所谓的 动态代码加载 (DCL))来发挥作用。它允许威胁行为者绕过应用商店的静态分析检查,将其有效负载部署为安卓设备上的本机、Dalvik 或 JavaScript 代码。
https://www.group-ib.com/blog/mysterious-team-bangladesh/
5 未修补漏洞的PaperCut服务器面临远程代码执行攻击
PaperCut 修复了其 NG/MF 打印管理软件中的一个严重安全漏洞,该漏洞允许未经身份验证的攻击者在未修补的 Windows 服务器上远程执行代码。该漏洞被追踪为CVE-2023-39143,是由研究人员发现的两条路径遍历漏洞造成的,这些漏洞使威胁参与者能够在不需要进行低复杂性攻击的情况下读取、删除和上传受感染系统上的任意文件。用户交互。
https://www.bleepingcomputer.com/news/security/new-papercut-critical-bug-exposes-unpatched-servers-to-rce-attacks/
6 Clop勒索软件利用torrent以泄露数据
Clop 勒索软件组织再次改变勒索策略,现在使用 torrent 来泄露 MOVEit 攻击中窃取的数据。攻击者已经为 20 名受害者创建了 torrent 。作为这种新勒索方法的一部分,该勒索软件组织建立了一个新的 Tor 站点,提供有关如何使用 torrent 客户端下载泄露数据和 20 名受害者的磁力链接列表的说明。
https://www.bleepingcomputer.com/news/security/clop-ransomware-now-uses-torrents-to-leak-data-and-evade-takedowns/
页:
[1]