每日安全简讯(20240606)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 俄罗斯电力公司及政府机构遭遇Decoy Dog木马攻击
俄罗斯的组织正遭遇网络攻击,这些攻击被发现是传递一种名为诱饵狗的Windows版本恶意软件。网络安全公司正在跟踪这一活动集群,名为“Operation Lahat”,并将其归因于一个名为“HellHounds”的高级持续威胁(APT)组织。HellHounds小组会攻破他们选择的组织并在其网络中隐藏多年未被发现。在此过程中,该组织利用的主要入侵媒介包括从易受攻击的Web服务到可信任的关系。HellHounds首次被该公司记录是在2023年11月底,紧随一个未披露的电力公司被Decoy Dog木马攻破之后。迄今为止,已确认其入侵了48个俄罗斯受害者,包括IT公司、政府、航天工业公司和电信供应商。有证据表明,自2021年以来,该威胁行为者一直在针对俄罗斯公司,恶意软件的开发可以追溯到2019年11月。
https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/hellhounds-operation-lahat-part-2/
2 攻击者利用Excel宏在乌克兰发起多阶段恶意软件攻击
研究人员观察到一场新的复杂网络攻击,目标是定位在乌克兰的终端,旨在部署Cobalt Strike并控制被攻破的主机。根据Fortinet FortiGuard Labs的报告,攻击链涉及一个嵌入VBA宏的Microsoft Excel文件以启动感染。安全研究员在周一的报告中表示:“攻击者使用多阶段恶意软件策略来传递臭名昭著的‘Cobalt Strike’有效载荷,并与命令与控制(C2)服务器建立通信。此次攻击采用了各种规避技术,以确保成功传递有效载荷。”Cobalt Strike由Fortra开发和维护,是用于红队操作的合法对抗模拟工具。然而,多年来,软件的破解版本已被威胁行为者广泛用于恶意目的。攻击的起点是Excel文档,当启动时,显示内容为乌克兰语并敦促受害者“启用内容”以激活宏。值得注意的是,自2022年7月起,微软已默认在Microsoft Office中阻止宏。
https://www.fortinet.com/blog/threat-research/menace-unleashed-excel-file-deploys-cobalt-strike-at-ukraine
3 Telerik报告产品漏洞可能允许恶意创建管理员账号
Progress Software已经推出更新,以解决影响Telerik报告服务器的一个关键安全漏洞,该漏洞可能被远程攻击者利用绕过身份验证并创建恶意管理员用户。该问题被跟踪为CVE-2024-4358,具有最高10.0分中的CVSS评分9.8。该公司在一份咨询报告中表示:“在Progress Telerik报告服务器2024 Q1版本(10.0.24.305)或更早版本中,运行在IIS上,未经认证的攻击者可以通过身份验证绕过漏洞访问Telerik报告服务器的受限功能。”该缺陷已在报告服务器2024 Q2版本(10.1.24.514)中得到解决。除了更新到最新版本,Progress Software还敦促客户检查其报告服务器的用户列表,以查找任何他们可能没有添加的新本地用户。
https://docs.telerik.com/report-server/knowledge-base/registration-auth-bypass-cve-2024-4358
4 FBI警告攻击者发布虚假远程工作广告诈骗加密货币
FBI发出警告,称诈骗者利用虚假的远程工作广告,以合法公司招聘人员的身份,诱骗美国各地的求职者并窃取加密货币。这些在家工作的骗局旨在通过简单易完成的任务,如在线评价各种企业或“优化”某项服务,吸引潜在受害者。FBI警告称:“诈骗者冒充合法企业,如人力资源或招聘机构,可能通过未经请求的电话或消息联系受害者。”诈骗者设计了一个复杂的报酬结构,要求受害者支付加密货币才能赚更多的钱或‘解锁’工作,而这些支付直接进入诈骗者的口袋。为了使其欺诈计划更具说服力,诈骗者还会要求受害者使用一个虚假的门户网站,展示他们赚了多少钱,但实际上无法提现。
https://www.ic3.gov/Media/Y2024/PSA240604
5 美国无线电中继联盟ARRL称其遭遇网络攻击
美国无线电中继联盟(ARRL)分享了有关5月份一起网络攻击的更多信息,该攻击使其“世界日志簿”(Logbook of the World)离线。ARRL是美国的业余无线电全国协会,代表业余无线电的利益向政府监管机构反映,并为全国的爱好者推广活动和教育计划。5月16日,ARRL宣布其网络和总部系统遭遇了一起“涉及非法访问的严重事件”。由于ARRL没有提供进一步的信息,成员们对组织的透明度表示担忧。今天,ARRL终于分享了有关此次网络攻击的更多细节,称这次攻击是由一个“国际恶意网络组织”发起的。ARRL在最新更新中表示:“大约在2024年5月12日,ARRL成为一个国际恶意网络组织复杂网络攻击的受害者。”ARRL立即联系了FBI,并与第三方专家合作进行调查。这起严重事件影响广泛,被FBI分类为‘独特’,可能破坏了网络设备、服务器、云系统和PC。
https://www.arrl.org/news/arrl-systems-service-disruption
6 澳大利亚矿业公司Northern Minerals披露遭遇数据泄露
Northern Minerals今天早些时候发布公告,警告其遭遇了一起网络安全事件,导致部分被盗数据在暗网上被公布。Northern Minerals是一家澳大利亚公司,专注于重稀土元素(HRE)的勘探和开发,特别是用于电子产品、电池和飞机的镝和铽。该公司被认为对澳大利亚政府具有重要的战略意义,最近呼吁中国股东出售其在这家稀土矿业公司的股份便是证明。该公司今天披露,未指明肇事者,称其系统中的数据在2024年3月底被盗,并随后在暗网上发布。"Northren Minerals Limited告知其已成为网络安全事件的受害者,并于今天被其网络安全顾问告知部分被外泄的数据现已在暗网上发布。" ASX公告中写道。
https://wcsecure.weblink.com.au/pdf/NTU/02814126.pdf
页:
[1]