每日安全简讯(20240503)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 ZLoader恶意软件新变种中发现基于Zeus银行木马的反分析功能
ZLoader恶意软件背后的作者添加了一项最初存在于其所基于的 Zeus 银行木马中的功能,表明它正在积极开发中。最新版本 2.4.1.0 引入了一项功能,可以防止在与原始感染不同的机器上执行。泄露的 Zeus 2.X 源代码中也存在类似的反分析功能,但实现方式不同。ZLoader,也称为 Terdot、DELoader 或 Silent Night,在 2022 年初被下架后,在 2023 年 9 月左右中断近两年后出现。该恶意软件的最新版本是一种模块化木马,具有加载下一阶段有效负载的能力,添加了 RSA 加密以及对其域生成算法 (DGA) 的更新。ZLoader 发展的最新迹象是反分析功能,该功能将二进制文件的执行限制在受感染的机器上。
https://www.zscaler.com/blogs/security-research/zloader-learns-old-tricks
2 云服务提供商Dropbox披露影响所有用户的数字签名服务漏洞
云存储服务提供商 Dropbox 周三披露,Dropbox Sign(以前称为 HelloSign)遭到身份不明的威胁者的攻击,这些威胁参与者访问了与数字签名产品所有用户相关的电子邮件、用户名和常规帐户设置。该公司在向美国证券交易委员会 (SEC) 提交的文件中表示,它于 2024 年 4 月 24 日意识到“未经授权的访问”。Dropbox于 2019 年 1 月宣布计划收购 HelloSign。表格 8-K 文件中表示: “威胁行为者还访问了与 Dropbox Sign 所有用户相关的数据,例如电子邮件和用户名,以及一般帐户设置。对于部分用户,攻击者还访问了电话号码、哈希密码以及某些身份验证信息,例如 API 密钥、OAuth 令牌和多因素身份验证。”
https://www.sec.gov/Archives/edgar/data/1467623/000146762324000024/dbx-20240429.htm
3 新型Goldoon僵尸网络针对具有十年历史漏洞的D-Link路由器发起攻击
据观察,一种新型的名为 Goldoon 的僵尸网络针对具有近十年历史的关键安全漏洞的 D-Link 路由器,其目标是利用受感染的设备进行进一步攻击。该漏洞为 CVE-2015-2051(CVSS评分:9.8),影响 D-Link DIR-645 路由器,并允许远程攻击者通过特制的 HTTP 请求执行任意命令。如果目标设备受到损害,攻击者可以获得完全控制权,从而能够提取系统信息,与 C2 服务器建立通信,然后使用这些设备发起进一步的攻击,例如分布式拒绝服务 (DDoS)。
https://www.fortinet.com/blog/threat-research/new-goldoon-botnet-targeting-d-link-devices
4 CISA警告严重的GitLab密码重置漏洞在野外积极利用
美国网络安全和基础设施安全局 (CISA) 已将影响 GitLab 的严重漏洞添加到其已知被利用的漏洞 ( KEV ) 目录中。该漏洞在野外的积极利用。该漏洞的编号为 CVE-2023-7028(CVSS 评分:10.0),该漏洞可能通过向未经验证的电子邮件地址发送密码重置电子邮件来促进帐户被盗。GitLab 在今年 1 月初披露了该缺陷的详细信息,并表示该缺陷是作为 2023 年 5 月 1 日版本 16.1.0 代码更改的一部分引入的。在这些版本中,所有身份验证机制都会受到影响,此外,启用了双因素身份验证的用户很容易被密码重置,但不会被帐户接管,因为他们需要第二个身份验证因素才能登录。
https://www.cisa.gov/news-events/alerts/2024/05/01/cisa-adds-one-known-exploited-vulnerability-catalog
5 研究人员披露新型Cuttlefish恶意软件可劫持路由器连接
一种名为 Cuttlefish 的新恶意软件针对小型办公室和家庭办公室 (SOHO) 路由器,其目标是秘密监控通过设备的所有流量,并从 HTTP GET 和 POST 请求收集身份验证数据。这种恶意软件是模块化的,主要目的是窃取从相邻局域网 (LAN) 传输路由器的 Web 请求中发现的身份验证材料。第二个功能使其能够执行 DNS 和 HTTP 劫持,以连接到与内部网络上的通信相关的私有 IP 空间。有源代码证据表明与另一个先前已知的名为 HiatusRAT 的活动集群重叠,尽管迄今为止尚未观察到共享的受害者学。据说这两个操作是同时运行的。
https://blog.lumen.com/eight-arms-to-hold-you-the-cuttlefish-malware/
6 美国邮局警告钓鱼网站获得的流量通常与合法网站记录的流量相似
安全研究人员在分析针对美国邮政服务 (USPS) 的网络钓鱼活动时发现,虚假域名的流量通常与合法网站记录的流量相似,并且在节假日期间甚至更高。网络钓鱼操作通常针对人们的敏感信息(帐户凭据、银行卡详细信息),或试图诱骗用户向欺诈商店付款,或支付据称用于清算因各种原因而被搁置的物品所需的费用。
https://www.bleepingcomputer.com/news/security/us-post-office-phishing-sites-get-as-much-traffic-as-the-real-one/?&web_view=true
页:
[1]