Atgiant 发表于 2024-2-12 12:18

每日安全简讯(20240213)

免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 研究人员发现无文件运行的Revenge RAT恶意软件

研究人员最近发现包裹在普通工具中的 Revenge RAT 恶意软件正在传播。经确认,攻击者使用了名为“smtp-validator”、“Email To Sms”等工具,并在执行时同时创建并执行正常工具和恶意文件,导致用户难以识别该恶意活动正在发生。攻击者首先创建并执行Setup.exe(恶意),然后再执行smtp-verifier.exe(普通工具),同时创建的文件的属性将更改为“隐藏”,因此该文件在正常环境下的Windows资源管理器中不可见。

https://asec.ahnlab.com/ko/61288/

2 Zardoor后门针对伊斯兰组织开展长期网络间谍活动

研究人员发现了一种新的隐秘间谍活动,该活动可能至少自 2021 年 3 月以来一直持续存在。所观察到的活动影响了一家伊斯兰非营利组织,该组织使用了之前未报告的恶意软件系列的后门,研究人员将其命名为“Zardoor”。高级威胁行为者正在实施这种攻击,其基础是部署自定义后门 Zardoor、使用修改后的反向代理工具以及多年来逃避检测的能力。 目前,只发现了一个受感染的目标,但是,威胁行为者能够在不被发现的情况下保持对受害者网络的长期访问的能力表明可能还有其他目标。

https://blog.talosintelligence.com/new-zardoor-backdoor/?&web_view=true

3ExpressVPN修复漏洞以保护用户DNS不被泄露

ExpressVPN表示在 Windows 应用程序版本 12.23.1–12.72.0(在 2022 年 5 月 19 日至 2024 年 2 月 7 日之间发布)存在一个错误,导致激活分割隧道时某些用户的 DNS 请求不受保护。在某些情况下,应该使用 VPN 的应用程序可能会将 DNS 请求发送到第三方 DNS 服务器而不是ExpressVPN的服务器。从ExpressVPN的 Windows 应用程序版本 12.73.0 开始,分割隧道功能已被暂时删除,同时解决了可能导致某些用户的 DNS 请求不受保护的问题。当问题得到解决后,分割隧道功能将在未来版本中回归。

https://www.expressvpn.com/support/troubleshooting/split-tunneling-not-available-in-version-12-of-windows-app/

4 新的Ivanti Auth绕过漏洞影响Connect Secure和ZTA网关

Ivanti 已提醒客户,其 Connect Secure、Policy Secure 和 ZTA 网关设备中存在另一个高严重性安全漏洞,攻击者可能会利用该漏洞绕过身份验证。该问题的编号为CVE-2024-22024,CVSS 评分系统的评分为 8.3 分(满分 10 分)。该公司表示没有证据表明该漏洞被积极利用,但随着CVE-2023-46805、CVE-2024-21887和CVE-2024-21893受到广泛滥用,用户必须迅速采取行动以应用最新的修复程序。

https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US

5美国司法部查封Warzone RAT远程木马基础设施

美国司法部 (DoJ) 周五宣布查封用于销售名为Warzone RAT 的远程访问木马 (RAT) 的在线基础设施。美国司法部表示,这些域名(www.warzone[.]ws和其他三个域名)“被网络犯罪分子用来销售计算机恶意软件,以秘密访问和窃取受害者计算机中的数据” 。除了此次行动之外,国际执法机构还逮捕并起诉了马耳他和尼日利亚的两名个人,因为他们参与销售和支持该恶意软件,并帮助其他网络犯罪分子将 RAT 用于恶意目的。

https://www.justice.gov/opa/pr/international-cybercrime-malware-service-dismantled-federal-authorities-key-malware-sales

6 美联储再次警告卫生部门警惕Akira勒索软件组织

美国联邦当局再次警告医疗保健部门有关 Akira 勒索软件组织的威胁。最新警报是在该团伙最近发生几起袭击事件之后发布的,其中包括上个月发生在宾夕法尼亚州巴克斯县的一次袭击,该袭击导致紧急响应人员使用的 IT 系统关闭了一个多星期。虽然该勒索软件团伙自 2023 年 3 月才开始运作,但它已成为对网络安全的“重大威胁”。 Akira 已成为全球威胁 - 迄今为止已造成约 81 名受害者 - 该组织似乎将注意力集中在美国, 除了医疗保健之外,其他目标行业还包括材料、制造、商品和服务、建筑、教育、金融和法律。目前的 Akira 勒索软件即服务组织(专注于双重勒索攻击)似乎与现已解散的 Conti 团伙有联系。

https://www.hhs.gov/sites/default/files/akira-randsomware-analyst-note-feb2024.pdf





页: [1]
查看完整版本: 每日安全简讯(20240213)