每日安全简讯(20231114)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 研究人员发现APT组织Imperial Kitten的新一轮攻击活动
安全研究人员发现APT组织Imperial Kitte对运输、物流和技术公司发起的新一轮攻击活动。该组织被认为与伊朗伊斯兰革命卫队(IRGC)相关,至少自2017年以来一直活跃,对包括国防、技术、电信、海事、能源、咨询和专业服务在内的各个行业组织进行网络攻击。研究人员表示,该组织在十月份发动了网络钓鱼攻击,使用“职位招聘”为主题的钓鱼邮件,其中附有恶意Microsoft Excel附件。文档中的恶意宏代码将会提取两个批处理文件,通过修改注册表实现持久化,并运行用于进行Reverse Shell的Python载荷。然后攻击者使用PAExec等工具在网络上进行横向移动,远程执行进程,并使用NetScan进行网络侦察。此外,他们使用ProcDump从系统内存中获取凭据。攻击者使用恶意软件IMAPLoader和StandardKeyboard实现与C2服务器的通信。
https://www.crowdstrike.com/blog/imperial-kitten-deploys-novel-malware-families/
2 研究人员发现新型安卓恶意软件Kamran
研究人员发现针对吉尔吉特-巴尔蒂斯坦地区的乌尔都语用户的攻击活动,攻击者在此次攻击活动中传播一种新型安卓恶意软件Kamran。该恶意软件在安装时请求多种权限,以允许其从设备中收集敏感信息,其中包括联系人、通话记录、日历事件、位置信息、文件、短信消息、照片、已安装应用程序列表和设备元数据。收集的数据将被上传到托管在Firebase上的命令和控制(C2)服务器。Kamran缺乏远程控制功能,设计也相对简单,仅在受害者打开应用程序时执行其渗透活动,并且没有追踪已传输数据的功能。
https://www.welivesecurity.com/en/eset-research/unlucky-kamran-android-malware-spying-urdu-speaking-residents-gilgit-baltistan/
3 攻击者利用文件共享服务DRACOON窃取用户凭证
研究人员最近发现了一起网络钓鱼活动,攻击者项用户发送钓鱼邮件,其中包含指向DRACOON.team的链接,该网站提供文件共享服务。当受害者被诱导点击邮件中的链接时,他们将看到托管在DRACOON上的PDF文档。该文档中包含一个链接,会将受害者重定向至攻击者所控制的服务器,该服务器冒充Microsoft 365登录门户并充当反向代理,以窃取受害者的登录信息和会话cookie。研究人员认为攻击者使用的反向代理功能与EvilProxy网络钓鱼套件相关。
https://www.trendmicro.com/en_us/research/23/k/threat-actors-leverage-file-sharing-service-and-reverse-proxies.html?&web_view=true
4 LockBit勒索团伙泄露波音公司数据
LockBit勒索团伙称波音公司无视了其将要泄露数据的警告,并威胁要发布大约4GB数据样本。在波音公司拒绝支付赎金后,LockBit勒索团伙泄露了43GB以上的波音公司文件。2023年11月10日,LockBit在他们的网站上发布了从波音公司窃取的所有数据,其中包括IT管理软件的配置备份,以及监视和审计工具的日志。此外,LockBit还列出了Citrix设备的备份,这表示该团伙可能利用了最近披露的Citrix Bleed漏洞(CVE-2023-4966)。尽管波音确认了这次网络攻击,但该公司没有提供关于事件的任何细节或攻击者是如何入侵其网络的信息。
https://www.bleepingcomputer.com/news/security/lockbit-ransomware-leaks-gigabytes-of-boeing-data/
5 美国巴特勒县证实遭受网络攻击并导致居民数据泄露
巴特勒县通知公众该县发生了一起数据安全事件,有攻击者获取了居民的个人身份信息。该县表示,联邦当局在十月初向他们报告了其计算机网络上的可疑活动。到十月底,他们确定了有人未经授权对该县数据进行了访问。该县正在审查数据以确定涉及的信息、受影响的人员以及受影响的人员所在的位置。一旦完成审查,该县将向受到侵害的人提供书面通知,并提供免费的信用监控服务。
https://news.yahoo.com/personal-information-impacted-breach-computer-211704164.html?web_view=true
6 VLC多媒体播放器存在安全漏洞
VLC多媒体播放器中存在两个与内存损坏相关的安全漏洞。这些漏洞是在Microsoft Media Server(MMS)协议中发现的,该协议在VLC中有两种实现:MMS over TCP(MMST)和MMS over HTTP(MMSH),负责接收数据包的GetPacket函数被发现包含两个漏洞——堆溢出和整数下溢。目前这两个安全漏洞的CVE标识仍在等待分配,建议VLC用户升级到3.0.20版本,以修复这些漏洞并防止被攻击者利用。
https://cybersecuritynews.com/vlc-player-memory-corruption-flaw/
页:
[1]