每日安全简讯(20240214)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 研究人员破解Rhysida勒索软件并免费发布解密工具
研究人员对 2023 年下半年造成重大损害的 Rhysida 勒索软件进行了调查,并提出了一种解密方法。Rhysida与另一个名为 Vice Society 的勒索软件团队有重叠,利用一种称为双重勒索的策略,通过威胁公布被盗数据来向受害者施加压力,迫使其付款。Rhysida 勒索软件采用安全随机数生成器来生成加密密钥,然后对数据进行加密。然而,该勒索软件存在一个实现漏洞,使能够在感染时重新生成随机数生成器的内部状态。研究人员使用重新生成的随机数生成器成功解密了数据。据知,这是 Rhysida 勒索软件首次成功解密。该研究也是继Magniber v2、Ragnar Locker、Avaddon和Hive之后,利用勒索软件中的实现漏洞实现数据解密的最新研究。
https://arxiv.org/abs/2402.06440
2 攻击者利用Ivanti漏洞在670多个IT基础设施上安装DSLog后门
攻击者正在利用最近披露的影响 Ivanti Connect Secure、Policy Secure 和 ZTA 网关的安全漏洞,在易受影响的设备上部署代号为DSLog 的后门。研究人员表示在公开发布概念验证 (PoC) 代码后的几个小时内,就观察到了 CVE-2024-21893 的利用情况。DSLog 植入程序有自己的技巧来阻碍分析和检测,包括为每个设备嵌入一个唯一的哈希值,从而使得无法使用该哈希值来联系另一台设备上的相同后门。攻击者向设备发出的 HTTP 请求中的User-Agent 标头字段提供相同的哈希值,以允许恶意软件从名为“cdi”的查询参数中提取要执行的命令。然后以 root 用户身份运行解码后的指令。
https://thehackernews.com/2024/02/ivanti-vulnerability-exploited-to.html
3研究人员持续关注针对Microsoft Azure攻击活动
在针对Microsoft Azure 企业云的持续攻击活动中,数十个环境和数百个个人用户帐户已受到损害。该活动在某些方面是分散的而经过精心设计的,涉及数据泄露、财务欺诈、冒充等,针对不同地理区域和行业垂直领域的组织,并针对沿途具有高度战略意义的个人进行量身定制的网络钓鱼。虽然攻击者的做法可能显得投机取巧,但广泛的妥协后活动表明攻击者的复杂程度越来越高。威胁行为者通过从不同的工具包中选择适当的工具、策略和程序 (TTP) 来适应每种独特的情况,从而表现出适应性。这种适应性反映了云威胁领域不断增长的趋势。
https://www.darkreading.com/cloud-security/senior-executives-targeted-ongoing-azure-account-takeover?&web_view=true
4 CISA将Roundcube电子邮件攻击漏洞加入KEV中
美国网络安全和基础设施安全局 (CISA) 根据主动利用的证据,将影响 Roundcube 电子邮件软件的中等严重性安全漏洞添加到其已知被利用的漏洞 ( KEV ) 目录中。该问题编号为CVE-2023-43770(CVSS 评分:6.1),涉及跨站点脚本 (XSS) 缺陷,该缺陷源于纯文本消息中 linkref 的处理。CISA 表示:“Roundcube Webmail 包含一个持久性跨站点脚本 (XSS) 漏洞,可能会通过纯文本/文本消息中的恶意链接引用导致信息泄露。”根据 NIST 国家漏洞数据库 (NVD) 上对该漏洞的描述,该漏洞影响 Roundcube 1.4.14 之前的版本、1.5.4 之前的 1.5.x 以及 1.6.3 之前的 1.6.x 版本。
https://www.cisa.gov/news-events/alerts/2024/02/12/cisa-adds-one-known-exploited-vulnerability-catalog
5 勒索软件攻击迫使罗马尼亚21家医院关闭
罗马尼亚外交部说道“2024 年 2 月 11 日至 12 日夜间,大规模勒索软件网络攻击针对运行 HIS 信息系统的生产服务器。此次攻击导致系统瘫痪,文件和数据库被加密。”包括国家网络安全局 (DNSC) 的网络安全专家在内的 IT 专家正在调查该事件,并正在评估恢复的可能性。此次勒索软件攻击影响了罗马尼亚各地的多家医院,包括地区医院和癌症治疗中心,DNSC 网络安全专家团队目前正在调查该网络事件。DNSC 分享了更新后的受影响医院列表。
https://www.bleepingcomputer.com/news/security/ransomware-attack-forces-21-romanian-hospitals-to-go-offline/
6 黑客泄露Facebook Marketplace部分数据库
臭名昭著的威胁者 IntelBroker 声称对泄露 Facebook Marketplace 的部分数据库负责。据称的违规行为显然是由另一名网络犯罪分子在 Discord 上使用化名“algoatson”实施的,发生于 2023 年 10 月。然而,该数据库直到 2024 年 2 月 11 日才公开。这次黑客攻击的目标是负责管理 Facebook 云服务的承包商。此次泄露导致用户数据库中约 200,000 个条目被盗,敏感个人信息遭到泄露。泄露的数据包括受影响用户的全名、Facebook ID、电话号码、实际 ID 和 Facebook 个人资料设置。Hackread.com 可以独家确认有 24,127 个电子邮件地址涉及泄露。
https://www.hackread.com/hackers-leak-facebook-marketplace-database/?web_view=true
页:
[1]