每日安全简讯(20240429)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 研究人员发现一起疑似针对乌克兰的攻击活动
研究人员发现了一项疑似针对乌克兰的攻击活动。涉及的样本是一个PPSX文件,从内容上看似乎是美国陆军坦克扫雷刀片(MCB)的旧说明手册。该PPSX文件中包含对CVE-2017-8570的恶意利用。该文件将从指定服务器中获取经过高度混淆的脚本,它负责实现持久化、对后续代码进行解码并将DLL载荷文件保存至磁盘中。该DLL文件会将Cobalt Strike Beacon加载至内存中并等待来自C&C服务器的指令,并且使用了多种对抗检测及分析的手段。研究人员无法将这些攻击归咎于任何已知的攻击者,也无法排除这可能是某次红队演习的一部分。
https://www.deepinstinct.com/blog/uncorking-old-wine-zero-day-cobalt-strike-loader
2 研究人员发现利用Electron制作的恶意程序
研究人员发现了一种由Electron制成的窃密木马样本。Electron应用程序使用NSIS安装程序,攻击者利用Electron将恶意程序打包在NSIS安装程序中。研究人员发现两种案例:一种是攻击者将恶意代码添加至JS脚本中,由于Electron通过node.js与操作系统交互,因此攻击者利用这一点执行恶意代码,窃取用户的信息;第二种则是恶意程序伪装成TeamViewer相关文件并将收集到的用户信息上传到gofile中,上传的数据包括系统信息、浏览器历史记录以及保存的ID和密码信息。
https://asec.ahnlab.com/en/64445
3 Brocade SANnav中存在多个安全漏洞
研究人员称,Brocade SANnav存储区域网络(SAN)管理应用程序中的多个漏洞可能被利用来破坏设备和光纤通道交换机。研究人员在该设备中总共发现了18个安全漏洞,包括未经身份验证的漏洞,允许远程攻击者以root身份登录易受攻击的设备。其中,有9个漏洞被分配了CVE标识符:CVE-2024-2859和CVE-2024-29960到CVE-2024-29967。研究人员称,其中三个问题可能允许攻击者发送恶意数据并拦截以明文形式发送的凭据,从而可能危及整个光纤通道基础设施。
https://www.securityweek.com/vulnerabilities-expose-brocade-san-appliances-switches-to-hacking
4 攻击者针对Okta进行撞库攻击
Okta警告说,针对其身份和访问管理解决方案的撞库攻击激增,一些客户帐户在攻击中遭到破坏。攻击者使用凭据填充来破坏用户帐户,方法是以自动方式尝试从网络犯罪分子那里购买的用户名和密码列表。Okta表示,这些攻击中似乎使用了与Cisco Talos此前报道的暴力破解和密码喷射攻击中相同的基础设施。在Okta观察到的所有攻击中,请求都来自 TOR匿名化网络以及多种代理(例如 NSOCKS、Luminati和DataImpulse)。
https://www.bleepingcomputer.com/news/security/okta-warns-of-unprecedented-credential-stuffing-attacks-on-customers
5 攻击者使用Megazord勒索软件针对医疗和政府机构进行攻击
Megazord是一种针对医疗保健、教育和政府机构、使用Rust开发的勒索软件。其传播通常始于鱼叉式网络钓鱼以及漏洞利用。其攻击者使用RDP和IP扫描器来检测受害者内部网络并横向移动,入侵后会在加密本地数据存储和文件之前终止进程和服务。该勒索软件对加密的文件添加“POWERRANGES”扩展名,并在每个受影响的文件夹中写入一个名为“powerranges.txt”的勒索信。该勒索信指示受害者使用唯一的Telegram频道链接通过TOX联系攻击者。此外,Megazord与Akira有几处相似代码,因此它被认为可能与Akira勒索软件存在关联。
https://cybersecuritynews.com/megazord-ransomware-attacks
6 佐治亚州科菲县遭受网络攻击
佐治亚州科菲县本月遭受了网络攻击,迫使该县关闭了该州选民登记系统。调查人员认为,这起事件是一次勒索软件攻击。选民登记系统,被称为GARViS,是一项相对较新的技术,是确保数百万佐治亚州选民准确登记的一种方式。没有迹象表明GARViS被黑客渗透,作为预防措施,科菲县关闭了GARViS的网络连接。GARViS被关闭了多天,该县官员正在通过备份笔记本电脑和蜂窝网络重新连接到该选民登记系统。相关人员表示,联邦网络安全和基础设施安全局(CISA)于4月15日向该县通报了这一事件,联邦和县官员正试图确定是谁实施了黑客攻击。
https://edition.cnn.com/2024/04/26/politics/georgia-coffee-county-cyberattack-voter-system/index.html
页:
[1]