每日安全简讯(20231125)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 恶意软件WailingCrab使用MQTT协议与C2服务器通信
WailingCrab,也称为WikiLoader,是一种模块化的、多组件恶意软件。WailingCrab首次于2022年12月被发现,攻击者通常利用钓鱼右键传播该恶意软件,并经常针对意大利用户投递Gozi后门。在最近几个月中,攻击者以逾期交付或货运发票等主题的钓鱼邮件向意大利以外的组织传播WailingCrab。恶意软件本身分为多个组件,包括加载器、注入器、下载器和后门,并采用代码混淆、反分析和反沙箱技术进行规避。研究人员近期注意到,该恶意软件开始滥用物联网(IoT)消息传递协议MQTT与C2服务器进行隐蔽通信。
https://securityintelligence.com/x-force/wailingcrab-malware-misues-mqtt-messaging-protocol/
2 研究人员披露Storm-0978组织利用恶意文档绕过MotW安全机制
在对一次2023年7月的攻击活动进行分析时,研究人员发现一种绕过微软MotW安全机制的漏洞,该漏洞现被标记为CVE-2023-36584(CVSS评分5)。该活动被归因于APT组织Storm-0978(也称为RomCom),该组织利用Microsoft Office的远程代码执行(RCE)漏洞CVE-2023-36884来攻击目标计算机。研究人员对此次攻击活动进行了深入分析,并公开了相关技术手段的细节。
https://unit42.paloaltonetworks.com/new-cve-2023-36584-discovered-in-attack-chain-used-by-russian-apt/
3 研究人员发现一个新的恶意工具站点
研究人员最近发现了一个名为Persian Remote World的网站,该网站专门销售各种恶意工具,包括远程访问木马(RATs)、加载器和加密器。该网站提供了Persian远控木马以及一个用于构建该远控木马并进行控制的后台面板,该面板将呈现包括PC名称、服务器、IP地址、用户、Windows操作系统版本、体系结构、CPU、GPU和国家等详细信息。除此之外,该网站还出售名为Persian Loader和Persian Security的恶意工具。
https://cyble.com/blog/new-persian-remote-world-selling-a-suite-of-malicious-tools/
4 Citrix警告服务器管理员终止NetScaler用户会话
Citrix提醒服务器管理员,在修复了NetScaler设备上的Citrix Bleed(CVE-2023-4966)漏洞后,他们必须采取额外的措施来保护易受攻击的设备。除了应用必要的安全更新之外,Citrix还建议清除所有先前的用户会话并终止所有活动会话。这是一个关键的步骤,因为攻击者利用Citrix Bleed漏洞窃取身份验证令牌,这使得他们能够在设备修补后仍然访问被攻击过的设备。
https://www.bleepingcomputer.com/news/security/citrix-warns-admins-to-kill-netscaler-user-sessions-to-block-hackers/
5 Firefox 120版本修复多个安全漏洞
Firefox 120版本已正式发布,在推出新功能的同时,Firefox也对多个安全漏洞进行了修复,其中包括6个高危漏洞、2个中危漏洞和2个低危漏洞。其中的高危漏洞分别是CVE-2023-6204、CVE-2023-6205、CVE-2023-6206、CVE-2023-6207、CVE-2023-6212、CVE-2023-6213。Mozilla在其公告中表示,其中一些漏洞存在内存损坏的迹象,可能已被利用以运行任意代码。中危漏洞包括CVE-2023-6208和CVE-2023-6209,低危漏洞包括CVE-2023-6210、CVE-2023-6211。
https://cybersecuritynews.com/firefox-120-released/
6 纽约市律师协会证实2.7万成员的数据遭到泄露
纽约市律师协会确认,在将近一年前的一次网络攻击中,超过2.7万名会员和雇员的数据已被泄露。在今年1月,Clop勒索团伙声称对该协会发起了攻击,并威胁要泄露1.8TB的信息。进行调查后,纽约市律师协会于2023年10月18日发现,在2022年12月2日至2022年12月24日期间,一些文件可能已被未经授权的攻击者所窃取。
https://therecord.media/cyberattack-leaked-data-nyc-bar?&web_view=true
页:
[1]