每日安全简讯(20240325)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 SmokeLoader恶意软件针对金融部门发起网络钓鱼攻击
近期,一群以金融动机为驱动的黑客利用SmokeLoader恶意软件,广泛针对乌克兰政府和行政机构的财务部门进行了一系列的网络钓鱼攻击活动。根据研究人员共同跟踪,他们分析了从2023年5月到11月发生的23起网络钓鱼活动。在这些频繁且规模庞大的攻击中,利用诱骗性电子邮件,黑客锁定了政府、防务、电信、零售和金融部门的财务部门。攻击者使用之前泄露的电子邮件地址来构建信任感,邮件主题常关于支付和账单,且包含以前泄露事件中窃取的合法财务文件。虽然试图使电子邮件看起来可信,但邮件中常有拼写错误,并混杂乌克兰语和俄语单词。他们还使用Windows合法工具和双文件扩展名欺骗用户,以在网络中维持持久性、搜集信息和横向移动。攻击者还使用了过时的SmokeLoader版本,并依赖多义文件在某些情况下规避传统的电子邮件保护。研究人员预测,基于对过去7个月使用SmokeLoader攻击的周期性分析,类似的网络钓鱼活动每月至少会组织两次。
https://scpc.gov.ua/api/files/8e300d33-6257-4d7f-8f72-457224268343
2 AndroxGh0st恶意软件攻击Laravel应用窃取云凭证
研究人员近日揭示了一个名为AndroxGh0st的恶意软件,该软件针对使用Laravel框架的应用程序,窃取敏感数据,包括云服务凭证。研究人员表示,AndroxGh0st通过扫描和窃取.env文件中的重要信息,揭露了与AWS和Twilio等服务相关的登录详情。该恶意软件自2022年起就已在野外被检测到,利用者通过它访问Laravel环境文件,窃取包括亚马逊云服务(AWS)在内的各种云服务应用程序的凭证。AndroxGh0st利用已知的Apache HTTP服务、Laravel框架和PHPUnit中的安全漏洞,以获得初步访问权限,并进行权限提升与持久化控制。今年1月,美国网络安全和情报机构即警告攻击者正在部署AndroxGh0st恶意软件来构建一个用于“在目标网络中识别和利用受害者”的僵尸网络。此外,研究人员观察到针对CVE-2017-9841的活动有所增加,呼吁用户迅速更新到最新版本以避免风险。
https://blogs.juniper.net/en-us/security/shielding-networks-against-androxgh0st
3 Sign1恶意软件攻击3.9万WordPress网站
研究人员近日发现,一个名为Sign1的大规模恶意软件活动在过去六个月中已经感染了超过39000个WordPress网站。该活动通过将恶意JavaScript注入到Web插件和HTML小部件中,使访问者被重定向到带有恶意内容的网站。通过查询SiteCheck,研究人员在过去两个月内发现有超过2500个网站被感染。研究人员揭示,Sign1利用动态URL技术和每10分钟变化一次的JavaScript代码来执行恶意操作,进而导致访问者遭受不必要的重定向和广告。这个代码的特别之处在于其只在访问者通过像谷歌、脸书、雅虎或Instagram这样的知名网站跳转时才执行,使用这种手段来避免被检测到。Sign1活动最初由研究人员在2023年下半年发现,并且自2023年7月31日以来,攻击者已经利用了多达15个不同的域名。2023年10月,攻击者开始使用不同的混淆技术,并移除了"sign1"参数。报告提醒,加强管理员面板的安全性和使用网站监控工具对网站所有者来说是首要任务。
https://blog.sucuri.net/2024/03/sign1-malware-analysis-campaign-history-indicators-of-compromise.html
4 Mozilla修复Firefox在Pwn2Own大赛中被利用的零日漏洞
Mozilla迅速应对了在2024年温哥华Pwn2Own黑客大赛中被利用的两个Firefox零日漏洞。研究人员在比赛中通过OOB(越界)写操作以及暴露的高风险功能漏洞成功实现了对Mozilla Firefox的沙箱逃逸并执行远程代码。研究人员的这次黑客攻击为他赢得了10万美元和10个“Pwn之王”积分。Firefox安全顾问公布的两个问题涉及的CVE编号分别为CVE-2024-29943和CVE-2024-29944,并指出这两个问题仅影响桌面版Firefox,移动版Firefox未受影响。Mozilla已发布Firefox 124.0.1和Firefox ESR 115.9.1版本来解决这些问题。在为期一周的Pwn2Own温哥华2024大赛中,参赛者们展示了29个独特的零日漏洞,共赢得了1132500美元奖金。大赛第一天,Synacktiv团队成功展示了针对特斯拉汽车的漏洞攻击。Manfred Paul以总共20.25万美元奖金和25个积分赢得了“Pwn之王”的称号。
https://www.mozilla.org/en-US/security/advisories/mfsa2024-15/#CVE-2024-29943
5 研究人员发现800余npm包存在差异可导致"清单混淆"漏洞
最新研究发现,npm注册表中有超过800个软件包与其注册条目存在差异,其中18个可能被用来利用一种名为“清单混淆”的技术。研究人员指出,恶意行为者可能利用这一问题,诱使开发人员运行恶意代码。此问题最初在2023年7月由研究人员记录,他发现manifest文件与软件包元数据之间的不匹配可能被用来发起软件供应链攻击。问题源于npm注册表未校验上传过程中提供给npm服务器的清单文件(package.json)与tarball中包含的清单文件是否一致。由此,攻击者可以利用这种缺乏交叉验证的漏洞,提供一个包含隐藏依赖的不同清单,这些依赖项在安装过程中会被悄无声息地安装在开发人员的系统上。研究人员表示:“可见的或‘伪造的’清单可能会误导开发者甚至是依赖npm注册表数据库中可用数据的审计工具。而安装程序实际上是从tarball中提取package.json文件,这可能与在HTTP PUT请求中提供的清单完全不同。”研究人员发现了800多个manifest在npm注册表和tarball内的package.json文件之间不匹配的软件包。尽管这些不匹配中的许多只是由于协议规范差异或包文件脚本部分的变化,但有18个据说是被设计用来利用清单混淆。一个值得注意的例子是yatai-web-ui软件包,其设计目的是向服务器发送一个包含已安装包机器IP地址信息的HTTP请求。
https://thehackernews.com/2024/03/over-800-npm-packages-found-with.html
6 美国商用卡车电子日志设备存在严重安全漏洞
科罗拉多州立大学的研究人员在2024年网络和分布式系统安全研讨会上提出,美国商用卡车普遍使用的电子日志设备(ELDs)存在安全漏洞,可能影响超过1400万辆中型和重型车辆。研究团队发现这些设备可以通过蓝牙或Wi-Fi连接被访问,从而控制卡车,操纵数据并在车辆间传播恶意软件。虽然市场上注册的设备超过880种,但实际上路的商用卡车使用的ELD模型并不多。ELDs跟踪驾驶时间、引擎运行、车辆移动和行驶距离等数据,但这些系统没有经过安全控制测试的要求。研究人员通过实验室级别的测试和在一辆搭载易受攻击ELD的2014 Kenworth T270 Class 6研究卡车上的附加测试,指出ELDs的三个安全漏洞。这些设备出厂默认配置可能导致严重安全风险,例如对外公开的API允许通过空中下载(OTA)更新固件,以及默认启用的Wi-Fi和蓝牙功能配有"可预测"的蓝牙标识符和SSID,以及弱的默认密码。攻击者可以很容易地连接到装置,并获取对车辆其它系统的网络访问权限。研究团队向制造商和美国网络安全与基础设施安全局(CISA)披露这些漏洞,并表明制造商正在开发固件更新,但怀疑这些问题可能并非仅限于单个设备或案例。
https://www.ndss-symposium.org/wp-content/uploads/vehiclesec2024-47-paper.pdf
页:
[1]