Atgiant 发表于 2024-1-9 17:07

每日安全简讯(20240110)

免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 研究人员披露BlueNoroff组织使用新型macOS后门SpectralBlur进行网络攻击

研究人员发现了一个名为 SpectralBlur 的新 Apple macOS 后门,该后门与已知的恶意软件家族重叠,该恶意软件家族被认为是朝鲜攻击者者 BlueNoroff 所为。SpectralBlur 是一个功能中等的后门,可以根据 [命令和控制服务器] 发出的命令上传/下载文件、运行 shell、更新其配置、删除文件、休眠或睡眠。该恶意软件与KANDYKORN (又名 SockRacket)有相似之处,后者是一种高级植入程序,充当远程访问木马,能够控制受感染的主机。KANDYKORN 活动还与 Lazarus 子组织 BlueNoroff(又名 TA444)精心策划的另一项活动相交叉,该活动最终部署了一个名为 RustBucket 的后门和一个名为 ObjCShellz 的后期有效负载。近几个月来,研究人员观察到攻击者将这两个感染链的不同部分结合起来,利用 RustBucket droppers 来传播 KANDYKORN。

https://g-les.github.io/yara/2024/01/03/100DaysofYARA_SpectralBlur.html

2 抵押贷款公司LoanDepot遭遇网络攻击影响其IT系统和支付门户

美国抵押贷款公司 LoanDepot 遭受网络攻击,导致该公司 IT 系统离线,无法在线支付贷款。LoanDepot 是美国最大的非银行零售抵押贷款机构之一,拥有约 6,000 名员工,提供超过 1,400 亿美元的贷款。昨天,客户在尝试登录该公司的支付门户支付贷款或通过电话联系他们时开始遇到问题。一些客户向 X 询问造成中断的原因,loanDepot 回应称他们遇到了网络事件。该公司在 X 上表示:“loanDepot 正在经历网络事件,影响了我们的电话线路。我们正在努力尽快恢复正常业务运营。对于给您带来的不便,我们深表歉意。”

https://twitter.com/HoneysWorld007/status/1743669764461899831

3 攻击者滥用X应用程序传播恶意加密货币广告呈现上升趋势

攻击者正在滥用 X 广告来推广导致加密货币流失、虚假空投和其他诈骗的网站。与所有广告平台一样,X(以前称为 Twitter)声称会根据用户的活动展示广告, 从而产生符合用户兴趣的广告。虽然 Elon 此前曾在推特上表示 YouTube 是不间断的诈骗广告,但 X 似乎也有自己的问题,越来越多地展示宣传加密货币诈骗的广告。这些诈骗包括宣传拉高和转储的 Telegram 频道的链接、网络钓鱼页面以及托管加密货币流失者的网站的链接,这些都是恶意脚本,会窃取联网钱包中的所有资产。由于X根据用户的兴趣展示广告,因此那些不涉及加密货币的人可能看不到这些广告。然而,那些经常光顾该空间的人现在却受到了源源不断的恶意广告的轰炸。

https://www.bleepingcomputer.com/news/security/x-users-fed-up-with-constant-stream-of-malicious-crypto-ads/

4 攻击者针对存在远程命令执行漏洞的Apache RocketMQ服务器发起攻击

安全研究人员每天都会检测到数百个 IP 地址,这些地址扫描或试图利用易受 CVE-2023-33246 和 CVE-2023-37582 远程命令执行缺陷影响的 Apache RocketMQ 服务。这两个漏洞均具有严重严重性评分,并指的是供应商于 2023 年 5 月发布初始补丁后仍然存在的问题。最初,该安全问题被跟踪为 CVE-2023-33246,并影响多个组件,包括 NameServer、Broker 和 Controller。Apache 发布了针对 RocketMQ 中的 NameServer 组件的不完整修复,并继续影响分布式消息传递和流媒体平台的 5.1 及更早版本。RocketMQ NameServer 组件仍然存在远程命令执行漏洞,因为 CVE-2023-33246 问题在 5.1.1 版本中尚未完全修复。在存在漏洞的系统上,当名称服务器的地址在网上暴露且未经适当的权限检查时,攻击者可以利用该漏洞通过使用名称服务器上的更新配置功能来执行命令。

https://www.bleepingcomputer.com/news/security/hackers-target-apache-rocketmq-servers-vulnerable-to-rce-attacks/

5 Web3安全公司CertiK的X账户被盗取并用于散布钓鱼网站

区块链安全公司CertiK的Twitter/X帐户被盗取,超过343,000名关注者被重定向到一个推送加密货币钱包盗取程序的恶意网站。加密货币欺诈侦探ZachXBT 随后公开了网络钓鱼攻击的私信屏幕截图,显示攻击者使用一名记者的被黑账户发送网络钓鱼消息,该记者自2020 年以来一直处于休眠状态,拥有超过100万粉丝,攻击者者利用这个被黑的账户联系了 Certik,询问他们为《福布斯》撰写的一篇涉嫌文章,并要求安排采访,然而站点的链接实际上是一个网络钓鱼网站,用于窃取Certik员工的凭据,攻击者劫持CertiK 的帐户后发布了一条包含钱包盗取代码的钓鱼链接的推文。CertiK公司通过其CertiKAlert帐户警告说:“我们目前正在调查我们的X帐户@CertiK 的泄露情况。在我们确认该帐户安全之前,请勿与任何帖子互动。”

https://www.bleepingcomputer.com/news/security/web3-security-firm-certiks-x-account-hacked-to-push-crypto-drainer/

6 攻击者利用YouTube视频传播破解软件以分发Lumma窃取器

攻击者利用包含与破解软件相关内容的 YouTube 视频来诱骗用户下载名为 Lumma 的信息窃取恶意软件。这些 YouTube 视频通常包含与破解应用程序相关的内容,为用户提供类似的安装指南,并包含通常使用 TinyURL 和 Cuttly 等服务缩短的恶意 URL。这并不是 YouTube 上的盗版软件视频第一次成为窃取恶意软件的有效诱饵。此前曾观察到类似的攻击链会传播窃取程序、剪切程序和加密货币挖矿恶意软件。在此过程中,威胁行为者不仅可以利用受感染的机器窃取信息和加密货币,还可以滥用资源进行非法采矿。在 YouTube 上搜索 Vegas Pro 等合法视频编辑工具的破解版本的用户会被提示点击视频描述中的链接,从而导致下载 MediaFire 上托管的虚假安装程序。

https://www.fortinet.com/blog/threat-research/lumma-variant-on-youtube


页: [1]
查看完整版本: 每日安全简讯(20240110)