每日安全简讯(20240529)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 研究人员披露BLOODALCHEMY恶意软件针对南亚和东南亚政府网络发起攻击
网络安全研究人员发现,用于攻击南亚和东南亚政府组织的BLOODALCHEMY恶意软件实际上是Deed RAT的更新版本,后者被认为是ShadowPad的继任者。BLOODALCHEMY和Deed RAT的起源是ShadowPad,考虑到ShadowPad在众多APT攻击活动中的历史,特别关注这种恶意软件的使用趋势是至关重要的。BLOODALCHEMY首次是在2023年10月记录,当时与其追踪的REF5961入侵组织在东南亚国家联盟(ASEAN)国家的攻击活动有关。这是一个用C语言编写的基础x86后门,通过一种名为DLL侧加载的技术注入到签名的良性进程(“BrDifxapi.exe”)中,能够覆盖工具集、收集主机信息、加载额外的负载,并自行卸载和终止。虽然尚未确认,但存在如此少的有效命令表明该恶意软件可能是更大入侵集或恶意软件包的一个子功能,仍在开发中,或者是针对特定战术用途的极其专注的恶意软件。
https://blog-en.itochuci.co.jp/entry/2024/05/23/090000
2 攻击者利用木马化扫雷游戏的Python克隆代码攻击金融组织
黑客利用微软经典扫雷游戏的Python克隆代码,在针对欧洲和美国金融机构的攻击中隐藏恶意脚本。研究人员将这些攻击归因于被追踪为“UAC-0188”的威胁行为者,后者使用合法代码隐藏下载并安装SuperOps RMM的Python脚本。SuperOps RMM是一款合法的远程管理软件,能够使远程攻击者直接访问受感染系统。在最初发现此次攻击后,研究显示在欧洲和美国的金融和保险机构中,至少有五次潜在的入侵由相同的文件导致。
https://cert.gov.ua/article/6279419
3 谷歌广告恶意广告利用新发布的Arc浏览器发起攻击
与Arc浏览器Windows版发布同时进行的一场谷歌广告恶意软件活动,诱骗用户下载被植入木马的安装程序,从而感染恶意软件。Arc浏览器是一款具有创新用户界面设计的新型网络浏览器,与传统浏览器不同。在2023年7月发布macOS版本后,获得了科技媒体和用户的高度评价,其近期在Windows上的发布备受期待。网络犯罪分子为产品发布做了准备,在谷歌搜索上设置恶意广告,诱骗想要下载新浏览器的用户。谷歌的广告平台存在一个重大问题,允许威胁行为者投放显示合法URL的广告,这个漏洞被用于攻击亚马逊、Whales Market、WebEx以及谷歌自己的视频平台YouTube。研究人员发现搜索“arc installer”和“arc browser windows”这两个关键词的推广结果显示了Arc的正确URL,但点击这些广告会下载带有恶意软件的安装程序。
https://www.threatdown.com/blog/threat-actors-ride-the-hype-for-newly-released-arc-browser/
4 攻击者篡改pcTattletale间谍软件网站和泄露数据库以及源代码
一名黑客篡改了pcTattletale间谍应用程序的网站,并泄露了包含数据库和源代码数据的十多个档案。该应用程序在美国几家温德姆酒店的预订系统中被发现。根据三年前的报道,这款间谍软件还被发现泄露来自安卓手机的实时截图。pcTattletale被其开发者描述为“员工和儿童监控软件”,由于API安全漏洞,该软件泄露了从酒店入住系统中捕获的客人详细信息和客户信息。安全研究员在酒店系统中发现了该间谍软件,并发布了一篇博客文章,解释了他发现的pcTattletale漏洞可以用来访问恶意软件在其他设备上拍摄的截图。
https://www.ericdaigle.ca/pctattletale-leaking-screen-captures/
5 制药服务提供商Cencora遭遇数据泄露暴露了11家制药公司的美国患者信息
由于Cencora在2024年2月遭受的网络攻击,一些全球最大的制药公司披露了数据泄露事件。Cencora是他们在制药和业务服务方面的合作伙伴。Cencora,前身为AmerisourceBergen,是一家专注于药品分销、特殊药房、咨询和临床试验支持的制药服务提供商。这家总部位于宾夕法尼亚州的公司在50个国家开展业务,拥有46000名员工,2023年收入为2620亿美元。2024年2月,Cencora在向美国证券交易委员会(SEC)提交的Form 8-K文件中披露了一起数据泄露事件,称未经授权的方访问了其信息系统并窃取了个人数据。当时,公司选择不分享关于事件及其对客户潜在影响的更多信息。此外,没有任何勒索软件组织对这次攻击负责。加利福尼亚州总检察长办公室发布了过去几天由美国一些最大的制药公司提交的多个数据泄露通知样本,所有这些都将数据泄露归因于2月份的Cencora事件。“Cencora公司及其Lash Group子公司与制药公司、药房和医疗保健提供者合作,通过药品分销、免费试用优惠、共付优惠券、患者支持和服务以及其他服务,促进处方治疗的获取。”相关数据泄露通知中写道。
https://www.bleepingcomputer.com/news/security/cencora-data-breach-exposes-us-patient-info-from-11-drug-companies/
6 微软Copilot在全球停机24小时后恢复正常
在超过24小时的停机后,微软的Bing、Copilot和Windows中的Copilot服务已在全球范围内恢复正常,但尚未发布有关导致问题的原因的信息。这次大规模停机始于周四凌晨3点(美国东部时间),主要影响亚洲和欧洲的用户,导致许多人无法访问这些服务。在停机期间,Bing.com显示空白页面或429 HTTP错误代码,但直接的Bing搜索仍然可用。微软在一天内不断分享更新,最初表示,“我们正在努力寻找问题的原因。更多信息可以在管理中心的CP795190下找到。”随后,公司表示他们正在将请求切换到替代服务组件,以加快恢复速度。服务逐渐恢复,首先是DuckDuckGo恢复正常,随后是Bing.com和Copilot的部分恢复。
https://www.bleepingcomputer.com/news/microsoft/microsoft-copilot-fixed-worldwide-after-24-hour-outage/
页:
[1]