Atgiant 发表于 2024-3-25 17:48

每日安全简讯(20240326)

免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 斋月期间网络诈骗活动激增

根据研究人员的观察,斋月期间,网络诈骗和欺诈活动急剧增加,伴随着零售和在线交易的激增。特别是在沙特阿拉伯王国,消费者支出超过160亿美元,引起网络犯罪分子的注意,他们利用这些平台执行诈骗行为,给消费者和企业造成了巨大的财务损失。这些活动造成的估计总财务影响在7000万至1亿美元之间,涉及针对外籍人士、居民和外国游客的欺诈行为。由于在中东许多客户的品牌保护工作的持续努力,研究人员成功阻止了超过320个冒充主要物流供应商和电子政府服务的欺诈资源。网络犯罪分子频繁滥用像Sadad、Musaned、Ajeer、Ejar等平台以及知名物流服务,欺骗互联网用户参与不同的诈骗行动。这些恶意行为者利用Softr、Netlify和Vercel等基于云的托管服务,这些服务提供预定义的模板,使用人工智能创建网站。这种方法使他们能够有效地扩大操作规模,节省时间和精力,以前所未有的速度快速生成新的欺诈性网站。

https://www.resecurity.com/blog/article/cybercriminals-accelerate-online-scams-during-ramadan-and-eid-fitr

2 俄罗斯黑客利用TinyTurla-NG入侵欧洲NGO网络

据研究人员最新发布的报告,与俄罗斯有关联的网络威胁行动组织Turla,成功侵入了一个未命名欧洲非政府组织(NGO)的多个系统,并部署了名为TinyTurla-NG(TTNG)的后门程序。攻击者首次渗透系统后,建立了持久性并修改了端点上运行的防病毒产品设置。此后,通过一个名为Chisel的通讯渠道来窃取数据,并向网络中其他可访问的系统拓展其控制范围。有证据显示,这些系统最早在2023年10月就已遭到破坏,Chisel在2023年12月部署,数据窃取活动在2024年1月12日左右发生。TinyTurla-NG首次被记录是在上个月,当时它被用于针对一家支持乌克兰抵抗俄罗斯入侵的波兰NGO的网络攻击中。攻击链条涉及Turla利用初期访问权限配置Microsoft Defender防病毒排除项来躲避检测,并部署TinyTurla-NG,该恶意软件被伪装成一个名为“System Device Manager”的服务以实现持久化。TinyTurla-NG作为一个后门,用于进行后续侦察、将感兴趣的文件窃取到命令与控制(C2)服务器,以及部署定制版本的Chisel隧道软件。具体的入侵途径仍在调查中。一旦攻击者获得对新系统的访问权限,他们将重复创建Microsoft Defender排除项、部署恶意组件并实现持久化的活动。

https://blog.talosintelligence.com/tinyturla-full-kill-chain/

3 StrelaStealer网络钓鱼攻击影响逾百个欧美机构

研究人员最新发现了一波针对性的网络钓鱼攻击,这次攻击主要通过传播名为StrelaStealer的信息窃取恶意软件。据研究人员发布的报告,这次攻击波及了超过100家欧盟和美国的组织。研究者发现,攻击者通过垃圾邮件附件的形式散布恶意软件,并不断更换邮件附件文件格式以躲避安全检测。StrelaStealer主要用于盗取知名邮件客户端的登录数据,并将其传送至攻击者控制的服务器。自2022年11月首次揭露StrelaStealer以来,研究人员在2023年11月和2024年1月监测到两次大规模使用该恶意软件的攻击行动,目标涉及高科技、金融、专业及法律、制造业、政府、能源、保险以及建筑行业。此外,攻击者还传播了采用更多混淆和反分析技术的新变种,并改用装有ZIP附件的发票主题邮件。ZIP压缩包内含有JavaScript文件,该文件会释放一个批处理文件进而运行恶意的DLL载荷。恶意软件还利用多种混淆手段,使得在沙箱环境中的分析变得困难。与此同时,Broadcom旗下的Symantec公司揭露,伪造的知名软件安装程序或在GitHub、Mega或Dropbox上托管的破解软件正成为传播名为Stealc的窃取恶意软件的渠道。另有研究显示,钓鱼活动还传播了Revenge RAT和Remcos RAT(又名Rescoms),其中后者是通过名为AceCryptor的加密程序即服务(CaaS)传播的。

https://unit42.paloaltonetworks.com/strelastealer-campaign/

4 AWS修复Apache Airflow严重的“FlowFixation”会话劫持漏洞

亚马逊网络服务(AWS)近期修复了其托管的Apache Airflow(MWAA)服务中的一个关键安全漏洞。根据研究人员的报告,此漏洞允许恶意攻击者劫持用户会话,并可能在底层实例上实现远程代码执行。这一漏洞被Tenable公司命名为FlowFixation,并已由AWS地址解决。Tenable的高级安全研究员在一项技术分析中指出,攻击者在接管受害者账户后,可以执行读取连接字符串、添加配置以及触发有向无环图(DAGS)等任务。在某些情况下,此类操作可能会在MWAA底层实例上导致远程代码执行(RCE),并横向移动到其他服务。漏洞的根本原因是AWS MWAA的网络管理面板上存在会话固定现象,以及AWS域配置错误,从而导致跨站脚本攻击(XSS)。会话固定是一种网络攻击技术,当用户被服务认证而不使任何现有会话标识符无效时,就会发生这种情况。这使得敌手可以强行将一个已知的会话标识符固定到用户上,以便一旦用户完成认证,攻击者就可以访问已认证的会话。利用这一短板,攻击者可以迫使受害者使用并验证攻击者已知的会话,最终接管受害者的网络管理面板。

https://www.tenable.com/blog/flowfixation-aws-apache-airflow-service-takeover-vulnerability-and-why-neglecting-guardrails

5 GoFetch攻击威胁苹果M系列芯片可致安全加密遭泄露

一种名为"GoFetch"的新型旁道攻击手段影响了苹果的M1、M2和M3处理器,此攻击手段可用于从CPU缓存中窃取密钥。GoFetch攻击利用现代苹果CPU中的数据存储器依赖预取器(DMPs),并瞄准了执行时间恒定的密码实现,从而重建包括OpenSSL Diffie-Hellman、Go RSA、CRYSTALS Kyber和Dilithium在内的多种算法的私钥。这一攻击由来自美国多所大学的七名研究人员开发,并于2023年12月5日向苹果报告了他们的发现。然而,由于这是一个基于硬件的漏洞,目前无法在受影响的CPU中修复它。虽然可以通过软件修复来减轻缺陷,但这会影响这些CPU的密码功能的性能。研究者们发现了苹果DMP系统实现中的一个缺陷,违反了恒定时间编程方式的良好实践原则。攻击者可以精心制作特殊输入,诱使预取器解引用数据,如果正确猜测了密钥的某些位,则该数据将呈现为指针。然后,他们观察DMP是否激活,逐渐推断出密钥的位。通过反复执行这一过程,可以逐步重建整个密钥。

https://gofetch.fail/

6 KDE警告官方主题或存在擦除用户文件风险

KDE团队警告Linux用户安装全局主题时要极为谨慎,哪怕是从官方KDE Store下载。这些主题通过运行任意代码来自定义桌面外观,但KDE Store目前允许任何人上传新的主题和插件,且没有恶意行为检查机制。KDE坦言,目前缺乏资源去审查提交到官方商店中每个全局主题的代码。如果这些主题存在缺陷或恶意设计,可能会导致不可预料的后果。在一个Reddit帖子中,至少有一名用户在安装某个全局Plasma主题后,个人文件被擦除。该主题使用了危险的UNIX命令'rm -rf'删除了挂载驱动器上的所有个人数据,这一命令会强制递归删除目录内容,不提供任何警告且不提示确认。KDE团队承诺将开始对商店内容进行审查,并改善系统在用户安装社区开发的主题和插件之前显示的警告。同时,KDE呼吁社区举报KDE商店中已有的有问题软件。在此之前,用户在安装全局主题时仍会收到警告,提示内容未经发行版审核。直到KDE或用户所用的发行版直接提供的软件外,KDE建议用户在安装和运行软件时保持警惕。

https://www.bleepingcomputer.com/news/linux/kde-advises-extreme-caution-after-theme-wipes-linux-users-files/



页: [1]
查看完整版本: 每日安全简讯(20240326)