每日安全简讯(20240307)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 乌克兰情报部门宣称成功入侵俄罗斯国防部
乌克兰国防部主要情报总局(GUR)宣布,其网络专家成功侵入俄罗斯国防部的服务器,并获得了大量机密文件。这些文件披露了俄罗斯国防部的领导层,包括俄罗斯国防部各部门的其他高级官员。这包括代表、助理和专家,以及使用被称为“官僚”的电子文件管理系统的个人。据悉,这些文件包括俄国防部副部长Timur Vadimovich Ivanov的官方文件。GUR表示,这次网络攻击的成功,使得乌克兰情报部门能够详细地描绘出俄军的指挥结构和指挥通道。这次事件是乌克兰和俄罗斯之间网络战争的最新进展,也显示出乌克兰在网络空间的活跃和能力。
https://gur.gov.ua/content/soft-shyfry-sekretni-dokumenty-kiberfakhivtsi-hur-zlamaly-minoborony-rosii.html
2 新的CHAVECLOAK银行木马通过恶意PDF针对巴西用户
研究人员近日发现,一种名为“CHAVECLOAK”的新型银行木马正在通过恶意PDF文件针对巴西用户。这种攻击涉及下载ZIP文件,并使用DLL侧加载技术执行最终的恶意软件。CHAVECLOAK专门设计用来窃取与金融活动相关的敏感信息。攻击流程如下:受害者被诱导点击PDF中的按钮以查看和签署附件文档,但实际上PDF中嵌入了恶意下载链接。这个链接通过“Goo.su”这样的免费链接缩短服务进行处理,最终重定向到一个ZIP文件的下载链接。解压后,ZIP文件释放出一个MSI文件。MSI安装程序解压后包含多个与不同语言设置相关的TXT文件,一个合法的执行文件,以及一个名为“Lightshot.dll”的恶意DLL。这个DLL文件的修改日期比安装程序中所有其他文件都要新,这进一步强调了它的异常性质。通过DLL侧加载技术,合法的执行文件“Lightshot.exe”将加载并运行恶意代码,从而悄无声息地进行数据窃取等未授权活动。CHAVECLOAK的命令和控制(C2)服务器遥测数据显示了这种恶意软件的活动。
https://www.fortinet.com/blog/threat-research/banking-trojan-chavecloak-targets-brazil
3 TA577组织转向盗取NTLM认证信息
研究人员发现,TA577这一威胁行为体现出不寻常的攻击链路,其目标是盗取NT LAN Manager(NTLM)认证信息。TA577通过电子邮件中的压缩HTML附件,对全球数百个组织发起了数万条信息攻击。这些附件一旦被打开,就会触发系统尝试连接到外部的Server Message Block(SMB)服务器。TA577的目的是从SMB服务器获取NTLMv2挑战/响应对,以窃取NTLM哈希值。这些哈希值可能被用于密码破解或在特定组织内部进行“传递哈希”攻击。研究人员还注意到,越来越多的威胁行为者滥用文件URI方案,并引导收件人连接到外部文件共享以传递恶意软件。TA577最近转向使用Pikabot作为其初始载荷,这一前所未有的转变表明,该威胁行为者具有快速迭代和测试新传递方法的时间、资源和经验。这种适应性使TA577能够保持在检测机制之前,并提高其有效载荷传递的效果。
https://www.proofpoint.com/uk/blog/threat-insight/ta577s-unusual-attack-chain-leads-ntlm-data-theft
4 研究人员发现一种自传播的零点击Gen AI蠕虫
研究人员发现了一种名为“Morris II”的新型Gen AI蠕虫,它能够通过智能提示工程和注入技术欺骗生成式AI应用程序,从而传播恶意软件。这种蠕虫利用对抗性自复制提示,导致生成式AI系统在响应时复制输入作为输出,进而将恶意软件传播给其他AI代理。研究人员强调,设计生成式AI生态系统时,应考虑到由底层Gen AI层引起的威胁。这种蠕虫的自我复制能力使其能够在网络中自主传播,无需攻击者进一步操作。研究人员展示了“Morris II”如何渗透并利用生成式AI驱动的电子邮件系统,展示了其在没有直接人类监督的情况下执行广泛网络攻击的潜力。
https://sites.google.com/view/compromptmized
5 黑客滥用QEMU隧道隐藏网络流量
研究人员发现,黑客在针对一家大型公司的网络攻击中滥用开源虚拟化平台QEMU作为隧道工具。这种攻击涉及使用“Angry IP Scanner”进行网络扫描、“mimikatz”进行凭证盗窃,并利用QEMU创建复杂的网络隧道设置,以建立隐蔽的通信渠道。这种隧道通常加密流量,以逃避防火墙和入侵检测系统的监控。研究人员指出,攻击者利用QEMU的能力来模拟操作系统和硬件平台,将其操纵为创新的隧道机制。这一发现突显了网络安全领域中的新挑战,以及保护组织免受此类隐蔽攻击的重要性。
https://securelist.com/network-tunneling-with-qemu/111803/
6 苹果修复iPhone遭攻击的两个零日漏洞
苹果公司近日发布了紧急安全更新,修复了两个在攻击中被利用的iOS零日漏洞。这两个漏洞被发现存在于WebKit浏览器引擎和操作系统的核心——内核中。第一个零日漏洞(追踪编号CVE-2024-23225)允许拥有内核读写权限的攻击者绕过内核内存保护。同样,第二个零日漏洞(追踪编号CVE-2024-23296)存在于运行在所有苹果芯片或嵌入式设备上的RTKitOS中。如果被具有内核读写权限的攻击者利用,这个漏洞也能被用来绕过内核内存保护。尽管苹果公司目前对这些漏洞的具体细节保持谨慎,以便用户有时间更新他们的设备,但强烈建议所有用户下载并安装这些紧急安全更新,以避免潜在的网络攻击。
https://support.apple.com/en-us/HT214081
页:
[1]