每日安全简讯(20240525)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 攻击者利用Foxit PDF Reader漏洞传播多种恶意软件
多个威胁行为者正在利用Foxit PDF Reader中的设计漏洞,传播各种恶意软件,如Agent Tesla、AsyncRAT、DCRat、NanoCore RAT、NjRAT、Pony、Remcos RAT和XWorm。该漏洞触发的安全警告可能会欺骗毫无防备的用户执行有害命令。值得注意的是,Adobe Acrobat Reader,更常见于沙箱或杀毒解决方案中,不易受此特定漏洞的影响,这也导致了该活动的低检测率。当用户被要求在启用某些功能之前信任文档以避免潜在的安全风险时,应用程序在弹出窗口中将“确定”设为默认选项。一旦用户点击“确定”,会显示第二个弹出窗口,警告文件即将执行附加命令,并将“打开”设为默认选项。然后,该命令用于下载并执行托管在Discord内容交付网络(CDN)上的恶意负载。
https://research.checkpoint.com/2024/foxit-pdf-flawed-design-exploitation/
2 多重攻击活动滥用GitHub和FileZilla等合法服务传播窃取软件和银行木马
最近观察到一个“多重攻击活动”滥用GitHub和FileZilla等合法服务,传播多种窃取软件和银行木马,如Atomic(又名AMOS)、Vidar、Lumma(又名LummaC2)和Octo,假冒可信软件如1Password、Bartender 5和Pixelmator Pro。多种恶意软件变种的存在表明了一种广泛的跨平台目标策略,而重叠的C2基础设施则指向了一个集中指挥设置——可能提高了攻击的效率。研究人员将这一活动追踪为“GitCaught”,并表示该活动不仅凸显了滥用合法互联网服务来组织网络攻击,还依赖多种针对Android、macOS和Windows的恶意软件变种,以提高成功率。
https://www.recordedfuture.com/gitcaught-threat-actor-leverages-github-repository-for-malicious-infrastructure
3 GhostEngine挖矿攻击利用漏洞驱动程序关闭EDR安全功能
恶意加密挖矿活动代号'REF4578',部署名为GhostEngine的恶意负载,利用漏洞驱动程序关闭安全产品并部署XMRig矿工。安天的研究人员和国外厂商在分别发布的报告中指出了这些加密挖矿攻击的非同寻常的复杂性,并分享了检测规则以帮助防御者识别和阻止这些攻击。两份报告均未将该活动归因于已知的威胁行为者,也未分享有关目标或受害者的详细信息,因此该活动的来源和范围仍不明。
https://thehackernews.com/2024/05/ghostengine-exploits-vulnerable-drivers.html
4 LockBit声称针对加拿大连锁药店London Drugs发起了勒索软件攻击
LockBit勒索软件团伙声称他们是四月对加拿大连锁药店London Drugs进行网络攻击的幕后黑手,并威胁将在谈判失败后公开被盗数据。London Drugs在阿尔伯塔省、萨斯喀彻温省、马尼托巴省和不列颠哥伦比亚省的80多家门店中拥有超过9000名员工,提供医疗保健和药房服务。4月28日的一次网络攻击迫使London Drugs关闭了整个加拿大西部的所有零售店。该公司表示,尚未发现客户或员工数据受到影响的证据。“如果我们的调查显示任何个人信息被泄露,我们将根据适用的隐私法通知受影响者和相关隐私专员,”该药店连锁店当时表示。
https://www.bleepingcomputer.com/news/security/lockbit-says-they-stole-data-in-london-drugs-ransomware-attack/
5 西悉尼大学发布公告称数据泄露事件曝光了学生数据
西悉尼大学(Western Sydney University, WSU)已通知学生和学术人员有关数据泄露事件,威胁行为者入侵了其Microsoft 365和SharePoint环境。WSU是澳大利亚的一所教育机构,提供广泛的本科、研究生和研究项目,涵盖多个学科。该校拥有47000名学生和超过4500名固定和季节性员工,运营预算为6亿美元(USD)。在西悉尼大学网站上发布的公告中,大学警告称黑客访问了其Microsoft Office 365环境,包括电子邮件账户和SharePoint文件。“调查显示,最早的未经授权访问发生在2023年5月17日,包括对一些电子邮件账户和SharePoint文件的访问,”WSU的公告中写道。
https://www.westernsydney.edu.au/newscentre/news_centre/lead_story/western_sydney_university_statement_on_cyber_incident
6 Atlassian Bitbucket工件文件可能泄露明文身份验证密钥
研究人员发现攻击者利用在Atlassian Bitbucket工件对象中以明文形式泄露的身份验证密钥入侵AWS账户。研究人员在调查最近曝光的Amazon Web Services (AWS)机密时发现了这个问题,威胁行为者利用这些机密获得了对AWS的访问权限。尽管这个问题是在调查背景下发现的,但它说明了以前被认为是安全的数据如何以明文形式泄露到公共存储库中。Bitbucket是由Atlassian运营的一个与Git兼容的基于Web的版本控制存储库和托管服务,为开发人员提供代码管理和协作平台。
https://cloud.google.com/blog/topics/threat-intelligence/bitbucket-pipeline-leaking-secrets
页:
[1]