每日安全简讯(20240601)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 攻击者滥用Stack Overflow网站推广恶意Python包
网络安全研究人员警告称,Python Package Index (PyPI) 存储库中发现了一个新的恶意Python包,该包作为更大范围的加密货币盗窃活动的一部分。该恶意包名为 pytoileur,截至撰写本文时已被下载316次。有趣的是,包的作者名为PhilipsPY,在PyPI维护者于2024年5月28日撤下之前的版本(1.0.1)后,上传了具有相同功能的新版本(1.0.2)。恶意代码嵌入在包的setup.py脚本中,允许它执行一个Base64编码的有效负载,该有效负载负责从外部服务器检索一个Windows二进制文件。检索到的二进制文件 Runtime.exe 通过利用Windows PowerShell和VBScript命令在系统上运行。一旦安装,该二进制文件会建立持久性并投放其他有效负载,包括间谍软件和能够收集来自Web浏览器和加密货币服务数据的盗窃软件。
https://www.sonatype.com/blog/pypi-crypto-stealer-targets-windows-users-revives-malware-campaign
2 LilacSquid组织针对IT和能源以及制药行业发起网络攻击
一个名为LilacSquid的前所未有的网络间谍威胁行为者被发现自2021年以来一直对美国、欧洲和亚洲的各个行业进行有针对性的攻击,目的是窃取数据。研究人员在今天发布的一份新技术报告中表示:“这次活动旨在建立对受害者组织的长期访问,以便LilacSquid能够将感兴趣的数据转移到攻击者控制的服务器上。”受攻击的目标包括在美国为研究和工业部门开发软件的信息技术组织、欧洲的能源公司以及亚洲的制药行业,显示出广泛的受害者分布。攻击链已知利用公开的漏洞来入侵面向互联网的应用服务器,或使用被攻陷的远程桌面协议(RDP)凭据来交付混合的开源工具和定制的恶意软件。该活动的最显著特点是使用一个名为MeshAgent的开源远程管理工具,该工具作为传送一种名为PurpleInk的定制版本Quasar RAT的渠道。
https://blog.talosintelligence.com/lilacsquid/
3 巴西银行成为新型AllaKore RAT变种AllaSenha的攻击目标
巴西的银行机构成为了一场新型网络攻击的目标,该攻击分发了一种名为AllaSenha的Windows版AllaKore远程访问木马(RAT)的定制变种。研究人员在技术分析中表示,“该恶意软件专门针对盗取访问巴西银行账户所需的凭证,并利用Azure云作为指挥和控制(C2)基础设施。”此次攻击的目标包括Banco do Brasil、Bradesco、Banco Safra、Itaú Unibanco、Sicoob 和 Sicredi等银行。虽然初步访问向量尚未确定,但有迹象表明使用了钓鱼消息中的恶意链接。攻击的起点是一个伪装成PDF文档的恶意Windows快捷方式(LNK)文件(“NotaFiscal.pdf.lnk”),自2024年3月以来一直托管在WebDAV服务器上。还有证据表明,背后攻击者之前滥用了Autodesk A360 Drive和GitHub等合法服务来托管这些有效载荷。
https://harfanglab.io/en/insidethelab/allasenha-allakore-variant-azure-c2-steal-banking-latin-america/
4 FlyingYeti利用WinRAR漏洞在乌克兰传播COOKBOX恶意软件
研究人员已经采取措施破坏一个由俄罗斯支持的名为FlyingYeti的威胁行为者针对乌克兰长达一个月的网络钓鱼活动。研究人员在今天发布的一份新报告中表示:“FlyingYeti活动利用人们对失去住房和公共设施访问的担忧,通过债务主题诱饵引诱目标打开恶意文件。”一旦打开,这些文件将导致感染名为COOKBOX的PowerShell恶意软件,使FlyingYeti能够支持后续目标,例如安装其他负载并控制受害者的系统。FlyingYeti是该网络基础设施公司用来跟踪的一个活动集群名称,乌克兰计算机应急响应小组(CERT-UA)将其称为UAC-0149。此前由该网络安全机构披露的攻击活动涉及通过Signal即时消息应用发送恶意附件,以传送COOKBOX,这是一种基于PowerShell的恶意软件,能够加载并执行cmdlet。
https://blog.cloudflare.com/disrupting-flyingyeti-campaign-targeting-ukraine
5 CISA警告联邦机构修补正在被利用的Linux内核漏洞
美国网络安全和基础设施安全局(CISA)周四将一个影响Linux内核的安全漏洞添加到已知被利用的漏洞(KEV)目录中,理由是有证据表明该漏洞正在被积极利用。该漏洞编号为CVE-2024-1086(CVSS评分:7.8),是一个高严重性问题,涉及netfilter组件中的一个使用后释放漏洞,允许本地攻击者从普通用户提升权限至root,可能执行任意代码。“Linux内核包含netfilter:nf_tables组件中的一个使用后释放漏洞,允许攻击者实现本地权限提升。”CISA表示。Netfilter是Linux内核提供的一个框架,允许以自定义处理程序的形式实现各种与网络相关的操作,以便进行包过滤、网络地址转换和端口转换。该漏洞已在2024年1月得到解决。尽管如此,目前尚不清楚利用该漏洞的攻击的具体性质。
https://www.cisa.gov/news-events/alerts/2024/05/30/cisa-adds-two-known-exploited-vulnerabilities-catalog
6 5.6亿Ticketmaster客户的数据在疑似泄露后被出售
一名被称为ShinyHunters的威胁行为者在最近复活的BreachForums黑客论坛上以50万美元的价格出售他们声称是5.6亿Ticketmaster客户的个人和财务信息。据称被盗的数据库最初在俄罗斯黑客论坛Exploit上出售,据称包含1.3TB的数据和客户的完整详细信息(即姓名、家庭和电子邮件地址、电话号码)、票务销售、订单和活动信息。这些数据库还包含客户的信用卡信息,包括散列的信用卡号码、卡号的最后四位数字、信用卡和认证类型以及到期日期,财务交易时间跨度从2012年至2024年。当被问及数据何时以及如何被盗时,威胁行为者表示“不能透露任何信息”。网络安全组织声称与一些据称入侵Ticketmaster的威胁行为者进行了交谈。他们表示,通过从一个托管服务提供商(MSP)转向,得以从公司的AWS实例中窃取数据。
https://www.bleepingcomputer.com/news/security/data-of-560-million-ticketmaster-customers-for-sale-after-alleged-breach/
页:
[1]