Atgiant 发表于 2023-12-8 16:48

每日安全简讯(20231209)

免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 安天发布《“X象”组织针对我国科研机构的钓鱼攻击事件分析》报告

2023年下半年安天CERT在日常邮件监测中发现南亚某国APT组织伪装成“慧眼行动”官方机构向我国科研机构发送鱼叉邮件,攻击者刻意模仿我国相关机构定期的科研项目征集活动,通过伪装成官方申报客户端的木马程序下发多层载荷,最终在目标机器植入后门程序实现控制。安天CERT初步研判此次攻击来自南亚某国,但目前尚无充分信息确定关联到已经命名的威胁行为体,也不能完全判定其是一个新的攻击组织,按照安天对威胁行为体的命名规则,临时使用“X象”作为其命名,安天会持续监测、跟踪分析攻击者的后续攻击活动,将在归因条件成熟时,修订其组织命名。

https://mp.weixin.qq.com/s/gH6cWCn8PswJ4d2ef7ZSeQ

2 研究人员披露StarBlizzard组织新型逃避和凭据窃取策略

研究人员正在进行Star Blizzard(以前称为 SEABORGIUM)进行跟踪。该组织也称为Blue Callisto、BlueCharlie(或 TAG-53)、Calisto(也可拼写为 Callisto)和TA446。该组织继续针对对俄罗斯具有战略利益的实体进行凭证盗窃活动,同时提高其检测规避能力。该组织继续大量针对参与国际事务、国防和乌克兰后勤支持的个人和组织,以及学术界、信息安全公司和其他符合俄罗斯国家利益的实体。

https://www.microsoft.com/en-us/security/blog/2023/12/07/star-blizzard-increases-sophistication-and-evasion-in-ongoing-attacks/

3 研究人员披露针对泰国电信公司的新型Krasue恶意软件

自 2021 年以来,攻击者观察到一种名为Krasue的新型的Linux远程访问木马以泰国电信公司为目标,主要用于秘密访问受害者网络。目前尚不清楚用于部署 Krasue 的确切初始访问向量,但怀疑它可能是通过漏洞利用、凭证暴力攻击或作为虚假软件包或二进制文件的一部分下载的。该恶意软件的核心功能是通过一个rootkit实现的,该rootkit伪装成未签名的VMware驱动程序,并允许其在主机上保持持久性而不引起任何注意。Rootkit源自Diamorphine、Suterusu和Rooty等开源项目。

https://www.group-ib.com/blog/krasue-rat/

4 Meta在Messenger上启动聊天和通话为默认端到端加密

Meta已正式开始在Messenger中默认支持个人通话和一对一个人消息的端到端加密(E2EE)。该公司副总裁在社交媒体上称,此次不是例行的安全更新,他们与隐私和安全专家密切协商,从头开始重建了该应用程序。Messenger中群组消息传递的E2EE仍处于测试阶段。Meta升级了100多项功能以纳入加密,还通过构建名为Labyrinth的新加密存储系统,为用户开发了管理设备之间消息历史记录的新方法,例如设置PIN。PIN用作Messenger中聊天升级后的恢复方法,以便在用户丢失、更改设备或向帐户添加设备时帮助用户恢复消息。

https://about.fb.com/news/2023/12/default-end-to-end-encryption-on-messenger/

5 攻击者可以利用AWS STS渗透云帐户

攻击者可以利用Amazon Web Services安全令牌服务(AWS STS)作为渗透云帐户并进行后续攻击的方式。AWS STS是一项Web服务,使用户能够请求临时的、有限权限的凭证,以便用户访问AWS资源,而无需创建AWS身份。这些STS令牌的有效期为15分钟到36小时。攻击者可以通过恶意软件感染、公开暴露的凭据和网络钓鱼电子邮件等多种方法窃取长期IAM令牌,然后通过API调用使用它们来确定与这些令牌关联的角色和权限。

https://redcanary.com/blog/aws-sts/

6 攻击者可使用新型蓝牙漏洞控制多平台设备

攻击者可能会利用一个关键的蓝牙安全漏洞来控制Android、Linux、macOS和iOS设备。该漏洞编号为CVE-2023-45866,涉及身份验证绕过的情况,该情况使攻击者能够连接到易受影响的设备并注入击键以实现作为受害者的代码执行。多个蓝牙堆栈存在身份验证绕过漏洞,允许攻击者在无需用户确认的情况下连接到可发现的主机并注入击键。

https://github.com/skysafe/reblog/tree/main/cve-2023-45866



页: [1]
查看完整版本: 每日安全简讯(20231209)