每日安全简讯(20240528)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Transparent Tribe组织在印度目标上部署Python和Golang以及Rust恶意软件
与巴基斯坦有联系的透明部落(Transparent Tribe)黑客组织被发现使用用Python、Golang和Rust编写的跨平台恶意软件,针对印度政府、国防和航空航天部门进行新一轮攻击。这一活动群集从2023年底持续到2024年4月,并预计将继续下去。这一鱼叉式网络钓鱼活动还滥用Discord、Google Drive、Slack和Telegram等流行在线服务,再次强调了威胁行为者如何将合法程序整合到他们的攻击流程中。基于电子邮件的攻击目标包括印度国防生产部(DDP)的三个关键利益相关者和客户。这三家公司总部均位于印度班加罗尔市。尽管没有透露这些公司的名称,但有迹象表明,电子邮件消息的目标包括印度最大的航空航天和国防公司之一的印度斯坦航空有限公司(HAL)、政府拥有的航空航天和国防电子公司巴拉特电子有限公司(BEL)以及制造土方设备的公营企业BEML有限公司。据信该对手集体至少自2013年以来一直活跃,具有对印度的政府、军事和教育实体进行网络间谍活动的记录,尽管他们也对巴基斯坦、阿富汗、伊拉克、伊朗和阿联酋的受害者进行了高度针对性的移动间谍软件攻击。
https://blogs.blackberry.com/en/2024/05/transparent-tribe-targets-indian-government-defense-and-aerospace-sectors
2 研究人员发现Replicate AI服务漏洞可导致暴露客户模型和数据
网络安全研究人员发现了人工智能即服务提供商Replicate的一个关键安全漏洞,该漏洞可能允许威胁行为者访问专有的AI模型和敏感信息。利用这一漏洞可能允许未经授权访问所有Replicate平台客户的AI提示和结果。问题的根源在于AI模型通常以允许任意代码执行的格式打包,攻击者可以利用这种格式通过恶意模型执行跨租户攻击。Replicate使用一个名为Cog的开源工具来容器化和打包机器学习模型,这些模型可以在自托管环境中或部署到Replicate上。研究人员创建了一个恶意的Cog容器并上传到Replicate,最终利用它在服务基础设施上以提升的权限实现远程代码执行。研究人员怀疑这种代码执行技术是一种模式,公司和组织运行来自不受信任来源的AI模型,即使这些模型可能包含恶意代码
https://www.wiz.io/blog/wiz-research-discovers-critical-vulnerability-in-replicate
3 攻击者在最近的MITRE网络攻击中创建了恶意虚拟机来逃避检测
MITRE公司透露,在2023年12月底针对这家非营利公司的网络攻击中,黑客利用Ivanti Connect Secure (ICS)的零日漏洞,通过在其VMware环境中创建恶意虚拟机来进行攻击。对手在VMware环境中创建了自己的恶意虚拟机,利用了被攻陷的vCenter Server访问权限。攻击者在vCenter Server的Tomcat服务器下编写并部署了一个名为BEEFLUSH的JSP web shell,以执行一个基于Python的隧道工具,促进对手创建的虚拟机与ESXi虚拟化基础设施之间的SSH连接。这种做法的动机是通过从集中管理界面(如vCenter)隐藏其恶意活动来规避检测,并在减少被发现风险的同时保持持久访问。
https://medium.com/mitre-engenuity/infiltrating-defenses-abusing-vmware-in-mitres-cyber-intrusion-4ea647b83f5b
4 研究人员披露假冒杀毒软件网站传播安卓和Windows恶意软件
威胁行为者被发现利用假冒合法杀毒解决方案(如Avast、Bitdefender和Malwarebytes)的虚假网站传播恶意软件,这些恶意软件能够窃取安卓和Windows设备上的敏感信息。通过看似合法的网站托管恶意软件对普通消费者具有侵害性,尤其是那些希望保护设备免受网络攻击的人。这些网站包括:avast-securedownload[.]com,用于以Android软件包文件形式("Avast.apk")传播SpyNote木马,一旦安装,该木马会请求侵入性权限,如读取短信和通话记录、安装和删除应用程序、截屏、追踪位置,甚至挖掘加密货币。bitdefender-app[.]com,用于分发ZIP压缩文件("setup-win-x86-x64.exe.zip"),其中包含Lumma信息窃取恶意软件。malwarebytes[.]pro,用于分发RAR压缩文件("MBSetup.rar"),其中包含StealC信息窃取恶意软件。
https://www.trellix.com/blogs/research/a-catalog-of-hazardous-av-sites-a-tale-of-malware-hosting/
5 谷歌针对Chrome浏览器的零日漏洞推出了修复程序
谷歌在周四推出了修复程序,以解决其Chrome浏览器中的一个高严重性安全漏洞,该漏洞已在野外被利用。该漏洞被分配了CVE标识符CVE-2024-5274,涉及V8 JavaScript和WebAssembly引擎中的类型混淆错误。该漏洞于2024年5月20日报告。类型混淆漏洞发生在程序试图以不兼容的类型访问资源时。这可能会导致严重后果,因为它允许威胁行为者执行越界内存访问、引发崩溃以及执行任意代码。这是自本月初以来谷歌修补的第四个零日漏洞,此前的漏洞为CVE-2024-4671、CVE-2024-4761和CVE-2024-4947。这家科技巨头没有披露关于该漏洞的更多技术细节,但承认“意识到CVE-2024-5274在野外存在漏洞利用。”目前尚不清楚这一缺陷是否是CVE-2024-4947的修补绕过,后者也是V8中的类型混淆错误。
https://thehackernews.com/2024/05/google-detects-4th-chrome-zero-day-in.html
6 Windows 24H2版本将移除Cortana和WordPad应用
微软表示,系统升级到即将发布的Windows 11 24H2版本后,Cortana、Tips和WordPad应用程序将自动移除。这一消息在周四的博客中公布,宣布Windows 11版本24H2(Build 26100.712)现在可供Release Preview Channel的内部人员使用。公司在10月初发布的Canary Channel内部版本25967中移除了Cortana独立应用程序。微软首先在六月发布的支持文档中宣布将终止对Cortana的支持,并在八月的另一个Canary版本中废弃了该应用程序。在九月,微软宣布将废弃自1995年以来自动安装在Windows系统上的WordPad,在2020年2月的Windows 10 Insider Build 19551版本发布后,它成为一个可选的Windows功能。十一月,公司还通知用户,Tips应用程序已被废弃,并将在未来的Windows版本中移除。
https://blogs.windows.com/windows-insider/2024/05/22/releasing-windows-11-version-24h2-to-the-release-preview-channel/
页:
[1]