每日安全简讯(20240101)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 APT28组织使用新型恶意软件针对乌克兰发起网络攻击
乌克兰计算机紧急响应小组 (CERT-UA) 警告称,与俄罗斯有关的 APT28 组织精心策划了一场新的网络钓鱼活动,该活动部署了 OCEANMAP、MASEPIE 和 STEELHOOK 等以前未记录的恶意软件,以获取敏感信息。该机构于 2023 年 12 月 15 日至 25 日期间发现了这一活动,该活动针对乌克兰政府实体和波兰组织,通过电子邮件敦促收件人点击链接查看文档。
https://cert.gov.ua/article/6276894
2 研究人员发布近3个月内典型僵尸网络活动情报信息
研究人员总结了从2023年10月到12月期间发现的有关僵尸网络黑产活动的恶意软件威胁情报,包括通过Microsoft Teams分发或者带有欺骗DocuSign的虚假发票或账单的邮件附件进行分发的DarkGate恶意软件,以及网络犯罪威胁行为者TA577通过Cobalt Strike远程投放Pikabot的感染连活动,多次尝试利用WS_FTP服务器严重漏洞传播Meterpreter有效载荷的攻击活动,BackConnect、Anubis VNC、CobaltStrike和ConnectWise ScreenConnect的交叉感染活动,2023年10月网络犯罪分子利用Citrix 远程代码执行漏洞 CVE-2023-3519的多项攻击迹象,报告最后汇总了研究人员通过各种渠道发布的相关IOC情报数据以供排查。
https://unit42.paloaltonetworks.com/unit42-threat-intelligence-roundup/
3 信息窃取器利用新型Google OAuth2漏洞进行会话劫持
研究人员警告说,多个恶意软件即服务信息窃取程序现在能够操纵身份验证令牌,使用户能够持续访问受害者的 Google 帐户,即使在用户重置密码后也是如此。2023 年 10 月,开发人员发现了一个关键漏洞,该漏洞允许通过令牌操作生成持久性 Google cookie。即使在用户重置密码后,此漏洞也可以持续访问 Google 服务。一位客户(威胁行为者)后来对该脚本进行了逆向工程,并将其合并到 Lumma Infostealer 中,使用先进的黑盒技术保护该方法。这标志着连锁反应的开始,因为该漏洞利用在各个恶意软件组中迅速传播,以保持独特的功能。 研究人员确定了该漏洞的根源在于名为“MultiLogin”的未记录的 Google Oauth 端点。
https://www.cloudsek.com/blog/compromising-google-accounts-malwares-exploiting-undocumented-oauth2-functionality-for-session-hijacking
4 阿尔巴尼亚的议会和电信公司遭受网络攻击
阿尔巴尼亚国家电子认证和网络安全局 (AKCESK) 本周透露,阿尔巴尼亚共和国议会和电信公司 One Albania 已成为网络攻击的目标。AKCESK表示:“根据现行立法,这些基础设施目前并未被归类为关键或重要的信息基础设施。”拥有近150万用户的 One Albania 在12月25日的 Facebook 帖子中表示,该公司已经处理了此次安全事件,没有出现任何问题,其包括移动、固定电话和 IPTV 在内的服务并未受到影响。AKCESK 进一步指出,入侵并非源自阿尔巴尼亚 IP 地址,并补充说它设法“实时识别潜在案例”。
https://cesk.gov.al/deklarate-zyrtare-3/
5 新型Black Basta解密器使用勒索软件漏洞以恢复文件
研究人员创建了一种解密器,该解密器利用 Black Basta 勒索软件中的漏洞,使受害者可以免费恢复其文件。该解密器允许 Black Basta 受害者从 2022 年 11 月到本月免费恢复他们的文件。然而Black Basta 开发人员大约一周前修复了其加密例程中的错误,从而防止了这种解密技术被用于新的攻击。“Black Basta Buster”解密器来自安全研究实验室发现勒索软件团伙的加密器使用的加密算法存在一个弱点,该弱点允许发现用于异或加密文件的 ChaCha 密钥流。
https://github.com/srlabs/black-basta-buster
6 攻击者在暗网中发起Leaksmas活动泄露大量PII和受损数据
平安夜,研究人员观察到暗网上有多个行为者泄露了大量数据。超过 5000 万条包含世界各地消费者 PII 的记录已被泄露。此活动造成的实际损失可能高达数百万美元。由于个人数据和数字身份之间错综复杂的互连,减轻这种损害尤其具有挑战性。对于普通消费者来说,在实践中更改这些信息是一个复杂且通常困难的过程。尽管新年临近,全世界都在庆祝圣诞佳节,但网络犯罪社区并没有停止他们的活动。相反,攻击者以自己独特的方式庆祝假期。
https://www.resecurity.com/blog/article/cybercriminals-launched-leaksmas-event-in-the-dark-web-exposing-massive-volumes-of-leaked-pii-and-compromised-data
页:
[1]