Atgiant 发表于 2023-12-26 11:47

每日安全简讯(20231227)

免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 研究人员披露Kimsuky组织使用的AppleSeed恶意软件

Kimsuky 组织自 2013 年以来一直活跃。最初对韩国的朝鲜相关研究机构进行了攻击,并确认了 2014 年对韩国能源机构的攻击, 2017 年以来,针对韩国以外国家的袭击也已得到证实。主要通过鱼叉式网络钓鱼攻击攻击国防、军工、媒体、外交、政府机构、学术领域,旨在窃取组织内部信息和技术。Kimsuky 组织通常使用鱼叉式网络钓鱼攻击作为初始渗透路线,但最近,许多攻击案例都是使用LNK格式的快捷方式恶意软件进行的。LNK 恶意软件在近期攻击中所占比例很高,但利用 JavaScript 恶意软件或恶意文档文件进行攻击的案例也不断得到证实。研究人员披露使用 JavaScript 恶意软件的攻击主要用于分发 AppleSeed 恶意软件。AppleSeed 是一种后门恶意软件,可以执行从 C&C 服务器接收到的攻击者命令。攻击者可以使用 AppleSeed 来控制受感染的系统,它还支持安装额外恶意代码的下载程序功能、键盘记录和屏幕捕获,以及从用户系统收集和传输文件的信息盗窃功能。

https://asec.ahnlab.com/ko/59933/

2 研究人员披露基于Rust的恶意软件针对印度政府实体的RusticWeb行动

印度政府实体和国防部门已成为网络钓鱼活动的目标,该活动旨在投放基于 Rust 的恶意软件以进行情报收集。该活动于 2023 年 10 月首次检测到,企业安全公司 SEQRITE 将该活动代号为“Operation RusticWeb”。新的基于 Rust 的有效负载和加密的 PowerShell 命令已被用来将机密文档泄露到基于 Web 的服务引擎,而不是专用的命令和控制 (C2) 服务器。该集群与被广泛追踪的“Transparent Tribe”和“SideCopy ”集群之间已发现战术上的重叠,这两个集群均被评估为与巴基斯坦有关。SideCopy 也是透明部落中可疑的从属元素。上个月,SEQRITE详细介绍了该威胁行为者针对印度政府机构发起的多次活动,以传播 AllaKore RAT、Ares RAT 和 DRat 等众多木马。

https://www.seqrite.com/blog/operation-rusticweb-targets-indian-govt-from-rust-based-malware-to-web-service-exfiltration/

3 UAC-0099组织利用LONEPAGE恶意软件攻击乌克兰公司

攻击者 UAC-0099 组织与针对乌克兰的持续攻击有关,其中一些攻击利用 WinRAR 软件中的高严重性缺陷来传播名为 LONEPAGE 的恶意软件。攻击者的目标是在乌克兰境外公司工作的乌克兰员工。UAC-0099首次由乌克兰计算机紧急响应小组 (CERT-UA) 于 2023 年 6 月记录,详细说明了其出于间谍动机对国家组织和媒体实体的攻击。攻击链利用包含 HTA、RAR 和 LNK 文件附件的网络钓鱼消息,导致部署LONEPAGE,这是一种 Visual Basic Script (VBS) 恶意软件,能够联系命令和控制 (C2) 服务器来检索其他有效负载,例如如键盘记录程序、窃取程序和屏幕截图恶意软件。HTA 附件的使用只是三个不同感染链之一,另外两个利用自解压 (SFX) 档案和 Bobby-trapped ZIP 文件。ZIP文件利用WinRAR漏洞(CVE-2023-38831,CVSS评分:7.8)来分发LONEPAGE。

https://www.deepinstinct.com/blog/threat-actor-uac-0099-continues-to-target-ukraine

4 欧洲刑警组织警告443家网上商店遭受信用卡盗窃者攻击

欧洲刑警组织已通知 400 多个网站,它们的网上商店遭到恶意脚本的攻击,这些脚本会窃取顾客购物时的借记卡和信用卡。浏览器是添加到结账页面或从远程资源加载以逃避检测的 JavaScript 代码小片段。它们旨在拦截和窃取支付卡号、有效期、验证码、姓名和送货地址,然后将信息上传到攻击者的服务器。攻击者利用窃取的数据执行未经授权的交易,例如在线购买,或将其转售给暗网市场上的其他网络犯罪分子。这些攻击可能在数周甚至数月内都未被发现,并且根据被破坏的电子商务平台的受欢迎程度,网络犯罪分子可以收集大量支付卡详细信息。欧洲刑警组织解释说:“在国家计算机安全事件响应小组 (CSIRT) 的支持下,为期两个月的行动使欧洲刑警组织及其合作伙伴能够通知 443 家在线商家,他们的客户的信用卡或支付卡数据已被泄露。”

https://www.group-ib.com/media-center/press-releases/digital-skimming-action/

5 攻击者利用恶意Chrome拓展程序针对俄语用户发起网络攻击

三个冒充 VPN(虚拟专用网络)感染的恶意 Chrome 扩展程序被下载了 150 万次,充当浏览器劫持者、现金返还黑客工具和数据窃取者。它们是通过隐藏在《侠盗猎车手》、《刺客信条》和《模拟人生 4》等流行视频游戏的盗版副本中的安装程序进行传播的,这些游戏是从 torrent 网站分发的。研究人员将其调查结果通知了谷歌,这家科技巨头从 Chrome 网上应用店中删除了这些违规扩展,但前提是这些扩展的下载总量已达到 150 万次。具体来说,恶意扩展是 netPlus(100 万次安装)、netSave 和 netWin(50 万次安装)。大多数感染发生在俄罗斯以及乌克兰、哈萨克斯坦和白俄罗斯等国家,因此该活动似乎针对讲俄语的用户。

https://reasonlabs.com/research/the-cashback-extension-killer

6 ESET修复了多个产品的安全流量扫描功能中的高严重性漏洞

ESET 修复了安全流量扫描功能中的一个高严重性漏洞,该缺陷可能被利用导致 Web 浏览器信任不应信任的网站。ESET 解决了安全流量扫描功能中的一个漏洞(CVE-2023-5594,CVSS 评分 7.5),防止潜在的漏洞利用,该漏洞可能导致 Web 浏览器信任使用过时且不安全的算法签名的证书的网站。该问题存在于 ESET 产品中实施的 SSL/TLS 协议扫描功能中。ESET 已意识到其 SSL/TLS 协议扫描功能中存在漏洞,该功能在下面受影响的产品部分列出的 ESET 产品中可用。此漏洞会导致浏览器信任一个网站,该网站的证书是用过时的算法签名的,而该算法不应被信任。

https://support.eset.com/en/ca8562-eset-customer-advisory-improper-following-of-a-certificates-chain-of-trust-in-eset-security-products-fixed


页: [1]
查看完整版本: 每日安全简讯(20231227)