每日安全简讯(20231013)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 安天发布《“游蛇”黑产团伙专题分析报告》
“游蛇”黑产团伙自2022年下半年开始活跃至今,针对国内用户发起了大量的攻击活动。该黑产团伙传播的恶意程序变种多、更新免杀手段快、更换基础设施频繁、攻击目标所涉及的行业广泛,因此今年受到国内安全行业的广泛关注。“游蛇”黑产团伙通过即时通讯软件、搜索引擎恶意推广、钓鱼邮件等途径传播恶意程序,利用“白加黑”、“内存执行Shellcode”、“内存解密Payload”等手段最终在受害者主机中植入远控木马。获取受害主机的控制权后,黑产团伙主要控制受害者微信开展后续的攻击活动来获取利益。一方面,黑产团伙利用受害者微信向其好友或所在群组中投放恶意程序,从而进一步扩大感染范围;另一方面,黑产团伙控制受害者微信,通过伪装身份或恶意拉群等方式实施诈骗,以此非法获取经济利益。安天CERT持续对“游蛇”黑产团伙进行监测和追踪,发现了以“游蛇”黑产团伙为主的黑产团伙运营模式,根据对样本的分析归纳出黑产团伙的攻击手段及技术特点,揭示黑产团伙常用的诈骗套路,总结有效的防护建议,以帮助用户了解、识别黑产团伙的惯用伎俩,免遭其远控木马的侵害,避免遭受黑产团伙诈骗而导致经济损失。
https://mp.weixin.qq.com/s/oNxvQt-IfRTcQY0oqHHF_Q
2 HTTP/2协议漏洞引发创纪录的DDoS攻击
近日,一种新型的DDoS攻击技术被发现,它利用了HTTP/2协议中的一个漏洞,可以产生巨大的流量压力,对互联网基础设施造成严重威胁。这种攻击技术被称为HTTP/2快速重置,它的原理是客户端不断向服务器发送和取消请求,导致服务器消耗大量资源。这种攻击技术已经被用于针对Cloudflare,谷歌和Amazon AWS等多个互联网巨头的攻击,创造了新的DDoS攻击记录。据统计,Cloudflare每秒收到的请求超过2.01亿次,谷歌观察到峰值为3.98亿次,AWS检测到针对亚马逊CloudFront服务的峰值流量超过1.55亿次。这些数字都远远超过了之前的任何DDoS攻击。为了应对这种攻击,各大公司都在紧急修复HTTP/2协议中的漏洞,并提醒用户及时更新自己的服务器和应用程序。
https://cloud.google.com/blog/products/identity-security/how-it-works-the-novel-http2-rapid-reset-ddos-attack
3 CISA将Adobe Acrobat Reader漏洞添加到已知被利用漏洞目录
美国网络安全和基础设施安全局(CISA)在其已知利用漏洞目录中添加了5个新漏洞,其中包括Adobe Acrobat Reader中的一个高严重性漏洞(CVE-2023-21608)(CVSS 评分:7.8)。该漏洞属于释放后使用问题,攻击者可以触发该漏洞,以当前用户的权限实现远程代码执行(RCE)。“Adobe Acrobat Reader版本22.003.20282(及更早版本)、22.003.20281(及更早版本)和20.005.30418(及更早版本)受到该漏洞的影响,该漏洞可能导致在当前用户的上下文中执行任意代码”。Adobe于2023年1月解决了该漏洞,并且可在线获取该问题的PoC漏洞利用代码。
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
4 LinkedIn智能链接攻击再次针对微软账户
近日,研究人员发现了一种新的网络钓鱼攻击,利用LinkedIn的智能链接功能来窃取微软账户的凭证。智能链接是LinkedIn提供的一种服务,可以让用户分享文档和演示文稿,而无需离开LinkedIn平台。攻击者通过发送带有智能链接的LinkedIn消息来诱骗受害者,当受害者点击链接时,会被重定向到一个伪造的微软登录页面,要求输入账户和密码。如果受害者输入了凭证,攻击者就可以获取其微软账户的访问权,并可能进一步利用其信息进行其他攻击。研究人员表示,这种攻击主要针对欧洲、中东和非洲地区的高级职位人员,涉及金融、能源、法律、制药等多个行业。
https://www.bleepingcomputer.com/news/security/linkedin-smart-links-attacks-return-to-target-microsoft-accounts/
5 辛普森制造公司在网络攻击后关闭IT系统
近日,辛普森制造公司通过SEC 8-K文件披露了一起网络安全事件,该事件已导致其运营中断,预计这种情况将持续下去。辛普森制造公司是一家美国建筑和结构材料生产商,也是北美结构连接件和锚栓的主要制造商之一,拥有5150名员工,年净销售额为21.2亿美元(2022 年)。该公司表示,上周二检测到IT问题和应用程序中断,但很快意识到这是由网络攻击引起的。针对这种情况,辛普森关闭了所有受影响的系统,以防止攻击蔓延。声明中写道,该公司正在进行的补救过程可能需要一些时间。因此,业务运营的暂停将持续存在。
https://www.bleepingcomputer.com/news/security/simpson-manufacturing-shuts-down-it-systems-after-cyberattack/
6 Microsoft Defender新增自动隔离功能,阻止攻击者横向移动
近日,微软宣布推出一个新的功能,名为“contain user”,可以自动隔离被攻击者控制的用户账户,阻止攻击者在网络中横向移动。这个功能是基于微软的自动攻击干扰技术,可以在检测到手动键盘攻击(hands-on-keyboard attack)时,立即采取行动,限制攻击者的权限和范围。手动键盘攻击是指攻击者利用被盗或被泄露的用户凭证,直接登录到受害者的网络,并执行恶意操作。Microsoft Defender通过分析用户的行为和活动,识别出异常或可疑的操作,并将其标记为高风险用户(high-risk user)。然后,会自动启动“contain user”功能,将高风险用户隔离在一个安全的环境中,禁止其访问网络资源或敏感数据。这个功能可以帮助企业快速应对网络入侵事件,减少损失和影响。同时,也可以提高网络安全团队的效率和效果,让他们有更多时间进行深入的调查和恢复工作。
https://www.microsoft.com/en-us/security/blog/2023/10/11/microsoft-defender-for-endpoint-now-stops-human-operated-attacks-on-its-own/
页:
[1]