每日安全简讯(20231122)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 研究人员发现LittleDrifter蠕虫在多个国家传播
Gamaredon,也被称为Shuckworm、Iron Tilden和Primitive Bear,是与俄罗斯相关的APT组织。研究人员称,LittleDrifter蠕虫是用VBS编写的,旨在通过USB驱动器进行传播,是Gamaredon组织的USB PowerShell蠕虫的演进变种。研究人员在美国、乌克兰、德国、越南、波兰、智利看到了该蠕虫入侵的迹象,这表明Gamaredon组织可能失去了对LittleDrifter蠕虫的控制。该蠕虫使用的所有域都在'REGRU-RU'下注册,并使用'.ru'顶级域,这与Gamaredon组织过去的攻击活动特征一致。LitterDrifter蠕虫很可能是攻击活动的第一阶段,试图在受感染的系统上建立持久性,并与C2服务器连接等待接收新的载荷,以进一步进行攻击。但是在大多数情况下该蠕虫没有下载其他载荷,这可能表明这些攻击是具有高度针对性的。
https://research.checkpoint.com/2023/malware-spotlight-into-the-trash-analyzing-litterdrifter/
2 Kinsing组织利用CVE-2023-46604漏洞进行攻击活动
Kinsing组织正在利用Apache ActiveMQ RCE漏洞(CVE-2023-46604)进行攻击活动,该组织在易受攻击的系统上执行挖矿程序和恶意软件。在启动挖矿程序之前,Kinsing通过终止任何相关进程、crontabs和网络连接来检查机器上是否有其他的Monero挖矿程序。之后,它通过cronjob建立持久性,该cronjob用于获取其感染脚本的最新版本,并将rootkit添加到'/etc/ld.so.preload'中。
https://www.trendmicro.com/en_us/research/23/k/cve-2023-46604-exploited-by-kinsing.html
3 研究人员发现Lumma窃密木马使用新型技术手段规避检测
研究人员对Lumma窃密木马4.0版本进行分析,发现该窃密木马在规避检测及对抗分析方面使用了新的技术手段。这些手段包括控制流平坦化混淆、鼠标活动检测、XOR加密字符串、动态配置文件以及在构建时进行加密。其中,Lumma窃密木马在对鼠标活动进行检测时,使用GetCursor跟踪主机上鼠标光标的位置,并在50毫秒的间隔内记录五个不同位置,然后它采用三角函数对这些位置进行分析,对移动形成的角度和矢量大小进行计算。如果计算出的矢量角度低于45度,Lumma窃密木马会认为这些动作不是由软件模拟的,将继续运行;如果角度大于45度,该恶意软件会停止所有恶意行为,但会继续监视鼠标移动,直到检测到类似人类的行为。
https://outpost24.com/blog/lummac2-anti-sandbox-technique-trigonometry-human-detection/
4 Rhysida勒索团伙声称对英国国家图书馆进行了攻击
Rhysida勒索团伙声称对英国国家图书馆在十月份发生的网络攻击负责,该团伙正在出售据称从英国国家图书馆系统中窃取的数据。该团伙还展示了一张低分辨率的截图,看起来像是从图书馆系统中窃取的ID扫描。英国国家图书馆尚未发现攻击者对其系统中的数据进行访问或窃取的证据。
https://www.bleepingcomputer.com/news/security/rhysida-ransomware-gang-claims-british-library-cyberattack/
5 加拿大政府证实其供应商被攻击并泄露数据
加拿大政府表示,其两家承包商已被黑客攻击,入侵事件发生在上个月,影响到Brookfield Global Relocation Services(BGRS)和SIRVA Worldwide Relocation & Moving Services,它们都是为加拿大政府雇员提供搬迁服务的供应商。尽管加拿大政府尚未确定此事件的攻击者,但LockBit勒索团伙称入侵了SIRVA系统,并窃取了1.5TB的文件数据。对失窃数据的调查分析仍在进行中,初步评估表明,自1999年以来使用搬迁服务的人可能已经暴露了他们的个人和财务信息。
https://www.bleepingcomputer.com/news/security/canadian-government-discloses-data-breach-after-contractor-hacks/
6 BlackCat勒索团伙称对无人机公司AFT进行攻击
BlackCat勒索团伙声称对无人机公司Autonomous Flight Technologies(AFT)进行攻击,并称将窃取的数据出售给了一家未透露名称的国外机构。该公司尚未发布有关此次事件的官方声明或回应,并且由于攻击者未透露更加具体的细节,因此关于此次攻击事件的真实性还不确定。
https://thecyberexpress.com/autonomous-flight-technologies-data-breach/?&web_view=true
页:
[1]