每日安全简讯(20240425)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 研究人员披露ToddyCat组织在攻击活动中使用的多种工具
ToddyCat组织主要针对位于亚太地区的政府组织(其中一些与国防有关)进行攻击。该组织的主要目标之一是从受害主机中窃取敏感信息。该组织为了从许多主机中收集大量数据,尽可能地自动化数据收集过程,并提供多种替代方法来持续访问和监控他们攻击的系统。该组织使用的方法包括创建反向SSH隧道、使用SoftEther VPN软件、使用Ngrok和Krong代理、安装FRP客户端等。该组织还会利用cuthread、WAExp、TomBerBil等工具窃取数据。
https://securelist.com/toddycat-traffic-tunneling-data-extraction-tools/112443
2 研究人员披露一种名为Sharpil RAT的恶意软件
Sharpil RAT由C#编写,运行后立即尝试与Telegram bot建立连接。攻击者利用Telegram bot与恶意软件进行通信,发送命令以收集系统信息以及计算机中已安装的浏览器信息(如Google Chrome、Yandex、Brave、Edge、Slimjet、Comodo和UR浏览器)。此外,它还从Minecraft游戏服务器“Vime World”收集受害者的地理位置和用户信息。该恶意软件中使用的Telegram bot指向一个使用俄语的攻击者,该攻击者以10美元(租金)和30美元(永久买断)的价格对恶意软件进行出售。该Telegram频道创建于2024年4月3日,并发布了两条带有小更新的消息。
https://www.gdatasoftware.com/blog/2024/04/37894-sharp-info-stealer
3 攻击者利用反病毒产品eScan更新机制中的缺陷传播GuptiMiner
研究人员发现并分析了一个恶意软件活动,该活动劫持了反病毒产品eScan的更新机制中的缺陷,通过执行中间人攻击投放后门和挖矿程序。GuptiMiner是一种长期存在的恶意软件,可以追溯到2018年或者更早的时间。研究人员发现,通过观察Kimsuky使用的键盘记录器与GuptiMiner中部分操作之间的相似之处,GuptiMiner可能与APT组织Kimsuky存在联系。
https://decoded.avast.io/janrubin/guptiminer-hijacking-antivirus-updates-for-distributing-backdoors-and-casual-mining/
4 WordPress响应式主题中存在安全漏洞
WordPress响应式主题中存在一个安全漏洞,允许攻击者将任意HTML内容注入至网站。该漏洞被标记为CVE-2024-2848,对网站完整性和用户安全构成严重风险。该漏洞是在响应式主题的页脚部分发现的,这个安全漏洞是由于save_footer_text_callback功能中缺少功能检查,攻击者可以在未经授权的情况下修改页脚文本而无需身份验证。响应式主题的开发人员已在最新更新中解决该漏洞。建议网站管理员尽快更新到5.0.3或更高版本。
https://cybersecuritynews.com/wordpress-responsive-theme-flaw-let-attackers-inject-malicious-html-scripts
5 UnitedHealth已向勒索组织支付赎金
UnitedHealth集团已确认向网络犯罪分子支付赎金,以保护在2月下旬勒索软件攻击期间被盗的敏感数据。该公司称,此次网络攻击造成了8.72亿美元的经济损失。研究人员检查了RansomHub勒索组织的数据泄露网站,可以确认攻击者已将UnitedHealth从其受害者名单中删除。该公司向患者保证,只有22张被盗文件的屏幕截图被发布在暗网上,其中一些包含个人身份信息,目前没有发现该事件中泄露的其他数据。
https://www.bleepingcomputer.com/news/security/unitedhealth-confirms-it-paid-ransomware-gang-to-stop-data-leak
6 LockBit勒索组织声称从Tyler Technologies窃取数据
LockBit勒索组织声称从政府承包商Tyler Technologies窃取了数据。该勒索组织声称拥有800Gb与DISB、美国证券交易委员会(SEC)、特拉华州银行机构和其他金融机构相关的数据,并威胁说除非支付赎金,否则将会泄露这些数据。这些数据似乎是在3月下旬从DISB的STAR系统客户端窃取的,当时该组织对公共部门的软件和服务提供商Tyler Technologies进行了网络攻击。在4月19日的公告中,Tyler证实据称从STAR系统窃取的信息已在网上泄露,但表示尚未确定数据泄露的全部范围。该承包商表示,可能泄露的信息可能包括姓名、出生日期、社会安全号码、驾驶执照号码和其他信息。
https://www.securityweek.com/ransomware-gang-leaks-data-allegedly-stolen-from-government-contractor
页:
[1]