Atgiant 发表于 2024-1-21 18:14

每日安全简讯(20240122)

免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 研究人员披露俄罗斯ColdRiver组织部署新型Spica后门软件

谷歌表示,俄罗斯支持的 ColdRiver 黑客组织正在使用伪装成 PDF 解密工具的有效负载来推送以前未知的后门恶意软件。攻击者发送似乎通过网络钓鱼电子邮件加密的 PDF 文档,冒充与目标有关联的个人(这种策略于 2022 年 11 月首次观察到)。当收件人回复说他们无法读取“加密”文档时,他们会收到一个链接,用于下载看似 PDF 解密器可执行文件(名为 Proton-decrypter.exe),以查看诱饵文档的内容。COLDRIVER 将这些文档作为假冒帐户希望发布的新专栏或其他类型的文章呈现,要求目标提供反馈。当用户打开良性 PDF 时,文本会显示为加密的。然而,尽管这个假解密软件会显示一个诱饵 PDF 文档,但它会使用发现这些攻击的研究人员称为 Spica 的恶意软件菌株对受害者的设备进行后门。

https://blog.google/threat-analysis-group/google-tag-coldriver-russian-phishing-malware/

2 堪萨斯州立大学遭遇网络攻击导致IT网络和服务中断

堪萨斯州立大学 (K-State) 宣布正在处理一起网络安全事件,该事件导致某些网络系统中断,包括 VPN、K-State Today 电子邮件以及 Canvas 和 Mediasite 上的视频服务。堪萨斯州立大学是一所公立赠地研究型大学,提供 65 个硕士项目和 45 个博士项目。目前拥有 20000 名学生和 1400 名学术人员。周二上午,该大学在其媒体门户网站上宣布,部分 IT 系统出现中断,下午确认是网络攻击造成的。受影响的系统在检测到攻击后立即离线,导致 VPN、电子邮件、Canvas 和 Mediasite 视频、打印、共享驱动器和邮件列表管理服务 (Listservs) 不可用。

https://www.k-state.edu/media/update/

3 Have I Been Pwned网站新增Naz.API被盗帐户列表中的7100万封邮件

Have I Been Pwned 已将 Naz.API 数据集中与被盗帐户相关的近 7100 万个电子邮件地址添加到其数据泄露通知服务中。Naz.API 数据集是使用撞库列表和信息窃取恶意软件窃取的数据编译而成的 10 亿个凭证的庞大集合。撞库列表是从之前的数据泄露事件中窃取的登录名和密码对的集合,这些数据泄露事件用于破坏其他网站上的帐户。信息窃取恶意软件试图从受感染的计算机窃取各种数据,包括浏览器、VPN 客户端和 FTP 客户端中保存的凭据。此类恶意软件还尝试窃取 SSH 密钥、信用卡、cookie、浏览历史记录和加密货币钱包。被盗数据被收集在文本文件和图像中,这些文件存储在称为“日志”的档案中。然后,这些日志会上传到远程服务器,以便攻击者稍后收集。

https://www.bleepingcomputer.com/news/security/have-i-been-pwned-adds-71-million-emails-from-nazapi-stolen-account-list/

4 Atlassian Jira产品平台持续中断影响多个云服务

1 月 18 日,多个 Atlassian Jira 产品正在经历持续中断。Jira Work Management、Jira Software、Jira Service Management 和 Jira Product Discovery 的用户面临连接问题。东部时间 18 日上午 5:52:Atlassian 已实施修复,应该可以解决该问题并继续监控该事件。 Jira 服务从 18 日早上开始(至少截至东部时间凌晨 3:34)遇到连接问题。该事件影响了多个 Atlassian 产品,Atlassian 正在调查原因。“我们正在调查影响 Jira Work Management、Jira Software、Jira Service Management 和 Jira Product Discovery 的中断问题。我们将在下一小时内提供更多详细信息,” 该公司的产品状态页面说道。

https://jira-software.status.atlassian.com/incidents/z9kvvpkbngws

5 研究人员披露LeftoverLocals漏洞影响AMD和Apple等公司GPU产品

一个名为“LeftoverLocals”的新漏洞影响 AMD、Apple、Qualcomm 和 Imagination Technologies 的图形处理单元,允许从本地内存空间检索数据。该安全问题被追踪为 CVE-2023-4969,可以从易受攻击的 GPU 中恢复数据,特别是在大型语言模型 (LLM) 和机器学习 (ML) 流程的背景下。该安全漏洞源于以下事实:某些 GPU 框架没有完全隔离内存,机器上运行的一个内核可以读取另一个内核写入的本地内存中的值。研究人员解释说,攻击者只需运行 GPU 计算应用程序(例如 OpenCL、Vulkan、Metal)即可读取用户留在 GPU 本地内存中的数据。

http://blog.trailofbits.com/2024/01/16/leftoverlocals-listening-to-llm-responses-through-leaked-gpu-local-memory/

6 GitHub使用轮换密钥以减轻凭证暴露漏洞的影响

GitHub 在针对 12 月份的漏洞修补中使用了轮换秘钥来降低可能的秘钥暴露风险,该漏洞可能让攻击者通过环境变量访问生产容器中的凭据。这个不安全的反射漏洞(追踪为CVE-2024-0200)可以允许攻击者在未修补的服务器上获得远程代码执行。周二,GitHub Enterprise Server (GHES) 版本 3.8.13、3.9.8、3.10.5 和 3.11.3 也对此进行了修补,该公司敦促所有客户尽快安装安全更新。虽然允许威胁参与者访问生产容器的环境变量(包括凭据),但成功利用需要通过组织所有者角色(具有组织的管理员访问权限)进行身份验证。

https://www.bleepingcomputer.com/news/security/github-rotates-keys-to-mitigate-impact-of-credential-exposing-flaw/


页: [1]
查看完整版本: 每日安全简讯(20240122)