每日安全简讯(20231213)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 ITG05行动利用以色列与哈马斯冲突的诱饵来传播Headlace恶意软件
截至2023年12月,研究人员已发现多个诱饵文件,主要涉及正在进行的以色列-哈马斯战争,以促进ITG05独有的Headlace后门的交付。新发现的活动针对全球至少13个国家的目标,并利用学术、金融和外交中心创建的真实文件。ITG05的基础设施确保只有来自单个特定国家/地区的目标才能接收恶意软件,这表明该活动具有高度针对性。
https://securityintelligence.com/x-force/itg05-ops-leverage-israel-hamas-conflict-lures-to-deliver-headlace-malware/
2 研究人员发现针对主要金融机构的加密npm恶意软件包
2023年11月上旬,研究人员开始跟踪npm上的可疑出版物。有问题的包包含一个加密的blob,该blob似乎是针对目标计算机的密钥:只有使用一些本地计算机信息和解密密钥才能解密。然后将解密的blob传递给eval(...)执行。研究人员解密此负载,发现密钥是一家主要金融机构的domain.tld。此解密的有效负载包含一个嵌入的二进制文件,该二进制文件巧妙地将用户凭据泄露到相关目标公司内部的Microsoft Teams Webhook2。这表明存在内部工作、非常好的内部红队模拟或在网络中拥有强大立足点的外部攻击者。
https://blog.phylum.io//encrypted-npm-packages-found-targeting-major-financial-institution/
3 研究人员披露AutoSpill攻击可从安卓密码管理器窃取凭据
安全研究人员开发了一种新的攻击,他们将其命名为AutoSpill,在自动填充操作期间窃取安卓上的帐户凭据。研究人员表示,他们的测试表明,即使没有JavaScript注入,大多数安卓密码管理器也容易受到AutoSpill的攻击。安卓应用程序通常使用WebView控件来呈现Web内容,例如应用程序内的登录页面,而不是将用户重定向到主浏览器,这在小屏幕设备上会是一种更麻烦的体验。当应用程序加载Apple、Facebook、Microsoft或Google等服务的登录页面时,安卓上的密码管理器使用该平台的WebView框架自动输入用户的帐户凭据。
https://www.blackhat.com/eu-23/briefings/schedule/index.html#autospill-zero-effort-credential-stealing-from-mobile-password-managers-34420
4 微软称拥有大量文件夹的用户存在Outlook电子邮件发送问题
微软承认存在一个影响Microsoft 365用户Outlook的新问题,并导致嵌套文件夹过多的用户出现电子邮件发送问题。这可能与涉及超过500个共享文件夹的邮箱的旧问题有关,该限制已于2019年解除。然而,微软似乎没有考虑到用户的主邮箱中也有那么多文件夹的情况。使用Outlook桌面发送电子邮件时,您收到意外的未送达报告(NDR),其中包含错误代码0x80040305。此问题类似于Outlook团队之前修复的500个文件夹限制(解除Outlook中的500个文件夹限制)。该解决方案以共享文件夹为目标,但不包括用户主邮箱中发生的情况。
https://support.microsoft.com/en-us/office/emails-sent-using-outlook-desktop-results-in-non-delivery-report-0x80040305-0x00000000-0x00000000-cafc5cd5-2f8f-41b6-a2e9-24baf21e9830
5 研究人员称超过一半的内部攻击使用特权提升漏洞
特权提升缺陷是企业内部人员在网络上进行未经授权的活动时最常见的漏洞,无论是出于恶意目的还是以危险的方式下载有风险的工具。根据2021年1月至2023年4月期间收集的数据发布的一份报告显示,内部威胁正在上升,而利用权限升级漏洞是未经授权活动的重要组成部分。该报告称,该公司记录的内部威胁中有55%依赖于权限升级漏洞,而其余45%通过下载或滥用攻击性工具无意中引入了风险。利用权限升级漏洞来获取管理权限对于许多内部攻击至关重要,因为在大多数情况下,流氓内部人员都会从对其网络环境的低级别访问开始。
https://www.crowdstrike.com/blog/how-malicious-insiders-use-known-vulnerabilities-against-organizations/
6 肯塔基州卫生系统Norton Healthcare承认勒索软件攻击后数据泄露
肯塔基州卫生系统Norton Healthcare已确认5月份的勒索软件攻击泄露了属于患者、员工和家属的个人信息。Norton Healthcare拥有超过20000名员工、超过1750名医疗服务提供者以及超过3000名医疗服务提供者,是路易斯维尔的第二大雇主,在大路易斯维尔和印第安纳州南部设有140多个分支机构。
http://nortonhealthcare.com/news/norton-healthcare-network-update/
页:
[1]