每日安全简讯(20240510)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 伊朗Storm-1364组织利用以色列-哈马斯冲突发起Emerald Divide活动
研究描述了一场名为 Emerald Divide 的复杂影响力活动,据信该活动是由与伊朗结盟的参与者发起的 Storm-1364 组织,自 2021 年以来一直活跃。该活动旨在通过扩大意识形态分歧和削弱对以色列政府的信任来操纵以色列社会。特别是利用对以色列-哈马斯冲突和其他社会和政治问题的反应。Emerald Divide 活动以其动态的方式而闻名,能够迅速调整其影响力叙事以适应以色列不断变化的政治格局。它利用现代数字工具,例如人工智能生成的深度伪造品和战略运营的社交媒体帐户网络,这些帐户针对不同且往往是对立的受众,有效地煽动社会分歧,并鼓励抗议和传播反政府信息等实际行动。该行动还涉及严重的网络安全威胁,例如收集个人身份信息和对以色列官员进行人肉搜索。它的持续发展和适应性使其成为持续的安全威胁,未来的行动可能会集中于利用以色列社会内的其他有争议的问题。
https://go.recordedfuture.com/hubfs/reports/ta-2024-0508.pdf
2 研究人员披露伪装成证书的LNK文件分发RokRAT恶意软件
研究人员已确认持续传播异常大小的快捷方式文件(*.LNK),用于传播后门型恶意软件。最近确认的快捷方式文件(*.LNK)被发现是针对韩国用户,特别是与朝鲜有关的用户。确认的LNK文件名机翻的名称为:国家信息学院第八期综合课程证书(最终).lnk、门禁名册2024.lnk、东北项目(美国国会研究服务处(CRS 报告).lnk、设施清单.lnk。
https://asec.ahnlab.com/en/65076/
3 研究人员披露TunnelVision新攻击方法利用恶意DHCP服务器泄露VPN流量
一种名为“TunnelVision”的新攻击可以将流量路由到 VPN 加密隧道之外,从而使攻击者能够窥探未加密的流量,同时保持安全 VPN 连接的外观。它依赖于动态主机配置协议 (DHCP) 选项 121 的滥用,该选项允许在客户端系统上配置无类静态路由。攻击者设置一个恶意 DHCP 服务器来更改路由表,以便所有 VPN 流量直接发送到本地网络或恶意网关,而不会进入加密的 VPN 隧道。报告中写道: “我们的技术是在与目标 VPN 用户相同的网络上运行 DHCP 服务器,并将我们的 DHCP 配置设置为将自身用作网关。”“当流量到达我们的网关时,我们会使用 DHCP 服务器上的流量转发规则将流量传递到合法网关,同时进行监听。”
https://www.leviathansecurity.com/blog/tunnelvision
4 F5 Central Manager中存在两个严重漏洞可允许攻击者启用完全设备接管
F5 Next Central Manager 中发现了两个安全漏洞,攻击者可能会利用这些漏洞来夺取设备的控制权并创建隐藏的流氓管理员帐户以实现持久性。这些可远程利用的缺陷“可以让攻击者获得对设备的完全管理控制,随后允许攻击者在 Next Central Manager 管理的任何 F5 资产上创建帐户”。两个问题的描述:CVE-2024-21793(CVSS 评分:7.5)- OData 注入漏洞,可能允许未经身份验证的攻击者通过 BIG-IP NEXT Central Manager API 执行恶意 SQL 语句。CVE-2024-26026(CVSS 评分:7.5)- SQL 注入漏洞,可能允许未经身份验证的攻击者通过 BIG-IP Next Central Manager API 执行恶意 SQL 语句。
https://eclypsium.com/blog/big-vulnerabilities-in-next-gen-big-ip/
5 新型Pathfinder攻击针对英特尔CPU可导致泄露加密密钥和数据
研究人员发现了两种针对高性能英特尔 CPU 的新颖攻击方法,可利用这些方法对高级加密标准 (AES) 算法发起密钥恢复攻击。这些技术被来自加州大学圣地亚哥分校、普渡大学、北卡罗来纳大学教堂山分校、佐治亚理工学院和谷歌的一组学者统称为 Pathfinder 。Pathfinder 允许攻击者读取和操纵分支预测器的关键组件,从而实现两种主要类型的攻击:重建程序控制流历史记录和发起高分辨率 Spectre 攻击。这包括从 libjpeg 等库中提取秘密图像,并通过中间值提取从 AES 中恢复加密密钥。
https://dl.acm.org/doi/10.1145/3620666.3651382
6 英国政府确认攻击者入侵国防部导致大规模工资数据泄露暴露了军事人员的详细信息
英国政府今天证实,一名攻击者最近侵入了该国国防部并获得了部分武装部队支付网络的访问权限。受到攻击的系统包含现役和预备役人员以及一些最近退役的退伍军人的个人数据。今天,国防部长格兰特·沙普斯在向下议院发表的一份声明中表示,国防部“最近几天”发现了这次入侵。在得知遭到入侵后,国防部立即隔离了系统以防止入侵蔓延,并停止处理所有付款。尽管如此,该事件并未对工资、费用支付和退伍军人养老金产生重大影响。沙普斯说:“我可以同时确认四月份的所有工资都已支付。”
https://www.gov.uk/government/speeches/defence-secretary-oral-statement-to-provide-a-defence-personnel-update-07-may-2024?utm_medium=email&utm_campaign=govuk-notifications-topic&utm_source=8257ab59-9aa6-4522-a85f-94c668dbca49
页:
[1]