每日安全简讯(20240111)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Water Curupira组织在垃圾邮件活动中传播PikaBot Loader恶意软件
据观察,名为 Water Curupira 的攻击者在 2023 年垃圾邮件活动中积极传播PikaBot加载程序恶意软件。PikaBot 的操作员开展网络钓鱼活动,通过其两个组件(加载程序和核心模块)瞄准受害者,这两个组件允许未经授权的远程访问,并允许通过与其命令和控制 (C&C) 服务器建立的连接执行任意命令。该活动于 2023 年第一季度开始,一直持续到 6 月底,然后在 9 月再次升温。它还与之前使用类似策略传播 QakBot 的活动重叠,特别是由TA571 和 TA577 等网络犯罪组织精心策划的活动。据信,与 PikaBot 相关的网络钓鱼活动数量的增加是 QakBot 在 8 月份被摧毁的结果,而 DarkGate 则成为另一个替代品。PikaBot 主要是一个加载程序,这意味着它旨在启动另一个有效负载,包括 Cobalt Strike,这是一种合法的后利用工具包,通常充当勒索软件部署的先驱。
https://www.trendmicro.com/en_us/research/24/a/a-look-into-pikabot-spam-wave-campaign.html
2 土耳其攻击者在全球范围内攻击安全性较差的MS SQL服务器
作为正在进行的出于经济动机以获得初始访问权限的活动的一部分,美国、欧盟和拉丁美洲 (LATAM) 地区的安全性较差的 Microsoft SQL (MS SQL) 服务器成为目标。研究人员经过分析的威胁活动似乎以两种方式之一结束,要么出售受感染主机的‘访问权’,要么最终交付勒索软件有效负载。网络安全公司将这场与土耳其裔演员有关的活动代号为RE#TURGENCE 。对服务器的初始访问需要进行暴力攻击,然后使用xp_cmdshell 配置选项在受感染的主机上运行 shell 命令。此活动与 2023 年 9 月曝光的先前名为DB#JAMMER的活动相似。此阶段为从远程服务器检索 PowerShell 脚本铺平了道路,该脚本负责获取模糊的 Cobalt Strike 信标有效负载。然后使用后利用工具包从安装的网络共享下载 AnyDesk 远程桌面应用程序,用于访问计算机并下载其他工具,例如用于收集凭据的 Mimikatz 和用于执行侦察的高级端口扫描器。
https://www.securonix.com/blog/securonix-threat-research-security-advisory-new-returgence-attack-campaign-turkish-hackers-target-mssql-servers-to-deliver-domain-wide-mimic-ransomware/
3 CISA披露影响Apple等主流平台的安全漏洞正被攻击者积极利用
美国网络安全和基础设施安全局 (CISA) 引用了主动利用的证据,在其已知被利用的漏洞 ( KEV ) 目录中添加了六个安全漏洞。其中包括CVE-2023-27524(CVSS 评分:8.9),这是一个影响 Apache Superset 开源数据可视化软件的高严重性漏洞,该软件可以实现远程代码执行。在 2.1 版本中已修复。该问题的详细信息于 2023 年 4 月首次曝光,Horizon3.ai 的 Naveen Sunkavally 将其描述为“Apache Superset 中的危险默认配置,允许未经身份验证的攻击者获取远程代码执行、获取凭据并泄露数据”。目前尚不清楚该漏洞是如何在野外被利用的。CISA 还添加了其他五个缺陷。
https://www.cisa.gov/news-events/alerts/2024/01/08/cisa-adds-six-known-exploited-vulnerabilities-catalog
4 QNAP和Kyocera Device Manager中存在新漏洞可能遭受攻击
Kyocera 的设备管理器产品中已披露了一个安全漏洞,不良行为者可能会利用该漏洞在受影响的系统上执行恶意活动。如果未启用‘限制 NTLM:到远程服务器的传出 NTLM 流量’安全策略,则此漏洞允许攻击者强制尝试对其自己的资源(例如恶意 SMB 共享)进行身份验证,以捕获或中继 Active Directory 散列凭据。Kyocera 在上个月末发布的公告中将其跟踪为CVE-2023-50916,将其描述为路径遍历问题,使攻击者能够拦截指向数据库备份位置的本地路径并将其更改为通用命名约定( UNC)路径。这反过来会导致 Web 应用程序尝试对恶意 UNC 路径进行身份验证,从而导致对客户帐户的未经授权的访问和数据被盗。此外,根据环境的配置,它可以被用来发起 NTLM 中继攻击。Kyocera Device Manager 版本 3.1.1213.0 已解决该缺陷。
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/cve-2023-50916-authentication-coercion-vulnerability-in-kyocera-device-manager/
5 叙利亚攻击者向网络犯罪者分发基于C#的Silver RAT恶意软件
以 Anonymous Arabic 命名的攻击者发布了一种名为Silver RAT的远程访问木马 (RAT) ,该木马能够绕过安全软件并秘密启动隐藏的应用程序。开发人员在多个黑客论坛和社交媒体平台上开展业务,展示了活跃而复杂的存在。据评估,这些参与者来自叙利亚,与另一种名为 S500 RAT 的 RAT 的开发有关,他们还运营一个 Telegram 频道,提供各种服务,例如分发破解的 RAT、泄露的数据库、梳理活动以及销售 Facebook 和X(以前称为 Twitter)机器人。然后,其他网络犯罪分子利用社交媒体机器人通过自动参与和评论用户内容来推广各种非法服务。Silver RAT v1.0 的野外检测首次在 2023 年 11 月被观察到,尽管威胁行为者发布该木马的计划在一年前首次正式公布。它于 2023 年 10 月左右在 Telegram 上被破解并泄露。
https://www.cyfirma.com/outofband/a-gamer-turned-malware-developer-diving-into-silverrat-and-its-syrian-roots/
6 美国证券交易委员会的X账户被盗并虚假宣布称比特币ETF获得批准
美国证券交易委员会的 X 账户今天遭到黑客攻击,发布了关于批准比特币 ETF 在证券交易所上市的虚假公告。今天下午,美国证券交易委员会被黑的 X 账户发布了一条推文,该推文现已删除。“今天,美国证券交易委员会批准比特币 ETF 在注册的国家证券交易所上市,”假 X 帖子中写道。“批准的比特币 ETF 将接受持续的监督和合规措施,以确保持续保护投资者。”该推文包含 SEC 主席加里·詹斯勒 (Gary Gensler) 的照片,并引用了宣传所谓批准的言论。这个消息迅速传播开来,许多加密货币和主流新闻网站都报道了这个故事,比特币价格短暂飙升。然而,比特币价格的上涨是短暂的,因为有消息称 SEC 在 X 上的账户被黑客入侵以传播假消息,比特币价格的上涨也随之回落。
https://www.bleepingcomputer.com/news/security/us-secs-x-account-hacked-to-announce-fake-bitcoin-etf-approval/
页:
[1]