每日安全简讯(20240505)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 研究人员披露APT42组织的两个自定义后门NICECURL和TAMECAT
APT42是伊朗国家资助的网络间谍活动者,它正在使用增强的社会工程方案来访问受害者网络,包括云环境。该组织的目标是西方和中东非政府组织、媒体组织、学术界、法律服务机构和活动人士。APT42 冒充记者和活动组织者,通过持续通信与受害者建立信任,并发送会议邀请或合法文件。这些社会工程方案使 APT42 能够获取凭据并使用它们来获得对云环境的初始访问权限。之后,攻击者秘密窃取了对伊朗具有战略利益的数据,同时依靠内置功能和开源工具来避免检测。研究人员还发现最近使用两个自定义后门的基于恶意软件的 APT42 操作:NICECURL 和 TAMECAT。这些后门通过鱼叉式网络钓鱼提供,为攻击者提供了初始访问权限,可用作命令执行接口或作为部署其他恶意软件的跳转点。
https://cloud.google.com/blog/topics/threat-intelligence/untangling-iran-apt42-operations/
2 新型Latrodectus恶意软件攻击利用Microsoft和Cloudflare主题诱饵发起钓鱼攻击
Latrodectus 恶意软件现在正在使用 Microsoft Azure 和 Cloudflare 诱饵在网络钓鱼活动中传播,使其看起来合法,同时使电子邮件安全平台更难将电子邮件检测为恶意。Latrodectus(又名 Unidentified 111 和 IceNova)是一种分布日益广泛的 Windows 恶意软件下载程序,它充当后门,下载额外的 EXE 和 DLL 有效负载或执行命令。根据分布和基础设施,研究人员将恶意软件与广泛分布的 IcedID 模块化恶意软件加载程序的开发人员联系起来。虽然目前尚不清楚他们是否计划逐步淘汰 IcedID,转而使用 Latrodectus,但这种较新的恶意软件越来越多地用于网络钓鱼活动和联系表单垃圾邮件,以获得对企业网络的初始访问权限。Latrodectus 使用各种 PDF 诱饵和主题的情况,最新的活动利用伪造的 Cloudflare 验证码来逃避安全软件。
https://www.bleepingcomputer.com/news/security/new-latrodectus-malware-attacks-use-microsoft-cloudflare-themes/
3 BlackCat勒索组织使用被盗的Citrix帐户在没有MFA的情况下攻击了Change Healthcare公司
UnitedHealth 确认 Change Healthcare 的网络遭到 BlackCat 勒索软件组织的破坏,该团伙使用窃取的凭据登录该公司的 Citrix 远程访问服务,该服务未启用多重身份验证。针对 Change Healthcare 的勒索软件攻击发生于 2024 年 2 月下旬,导致 Optum 的 Change Healthcare 平台严重运营中断。这影响了美国各地医疗保健提供者使用的广泛关键服务,包括支付处理、处方书写和保险索赔,并造成了估计达 8.72 亿美元的财务损失。该医疗保健组织最近承认 ,它支付了赎金以保护泄露后的人们的数据,但没有正式披露有关此次攻击或实施者的详细信息。RansomHub 此后已从其网站上删除了 Change Healthcare 条目,表明已支付了额外的赎金。
https://www.bleepingcomputer.com/news/security/change-healthcare-hacked-using-stolen-citrix-account-with-no-mfa/
4 研究人员披露西门子软件中的反序列化漏洞可导致远程代码执行
研究人员详细介绍了用于监控工业环境中能源消耗的西门子软件中的反序列化漏洞,并将该缺陷归因于这家德国企业集团决定使用已知安全风险的编程方法。西门子在两年前修补了该漏洞(编号为CVE-2022-23450),对于西门子客户来说,时间足够长,可以在对他们发现的缺陷进行详细解释之前应用补丁。西门子 Simatic Energy Manager 中没有采取对策,该软件使用专有消息协议将工厂能源使用数据从 Web 服务器传输到用户应用程序。研究人员对消息传递协议进行了逆向工程,发现了包含短语 的消息类型 BinaryFormatter。
https://claroty.com/team82/research/exploiting-a-classic-deserialization-vulnerability-in-siemens-simatic-energy-manager
5 微软表示4月份的Windows更新会中断客户端和服务器平台的VPN连接
Microsoft 已确认 2024 年 4 月的 Windows 安全更新会中断客户端和服务器平台之间的 VPN 连接。安装 2024 年 4 月安全更新或 2024 年 4 月非安全预览更新后,Windows 设备可能会面临 VPN 连接失败。受影响的 Windows 版本列表包括 Windows 11、Windows 10 和 Windows Server 2008 及更高版本。虽然微软尚未提供这些 VPN 故障背后的根本原因,但它建议家庭用户如果需要个人或家庭帐户的支持,请使用 Windows “获取帮助”应用程序。
https://learn.microsoft.com/en-us/windows/release-health/status-windows-11-23h2#vpn-connections-might-fail-after-installing-the-april-2024-security-update
6 Philadelphia Inquirer报纸披露其报社因2023年数据泄露导致超25000客户数据被盗
Philadelphia Inquirer 披露,2023 年 5 月发生的安全漏洞背后的攻击者窃取了 25549 人的个人和财务信息。Philadelphia Inquirer是费城发行量最大的报纸,自 1829 年创刊以来已荣获 20 项普利策奖。它也是美国运营时间第三长的日报。2023 年 5 月,Philadelphia Inquirer 披露,其内容管理系统意外停机后检测到的网络攻击导致其系统遭到破坏。作为回应,新闻机构关闭了一些计算机系统以遏制安全漏洞,并聘请克罗尔取证专家来调查异常活动。此次攻击扰乱了纸质报纸的出版,送货上门的订户被要求通过该报纸的网站 (inquirer.com) 了解最新消息,该网站并未受到影响。
https://www.bleepingcomputer.com/news/security/philadelphia-inquirer-data-of-over-25-000-people-stolen-in-2023-breach/
页:
[1]