Atgiant 发表于 2024-6-8 21:06

每日安全简讯(20240609)

免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 SPECTR恶意软件针对乌克兰防御部队发起攻击

乌克兰计算机应急响应小组(CERT-UA)警告称,针对该国防御部队的网络攻击使用了一种名为SPECTR的恶意软件,这是名为SickSync的间谍活动的一部分。该机构将这些攻击归因于一个被称为UAC-0020的威胁行为者,该行为者也被称为Vermin,被评估为与卢甘斯克人民共和国(LPR)的安全机构有关。LPR在2022年2月俄罗斯对乌克兰的军事入侵前几天被俄罗斯宣布为一个主权国家。攻击链始于包含一个RAR自解压存档文件的钓鱼电子邮件,该文件包含一个诱饵PDF文件、一个包含SPECTR负载的被木马化的SyncThing应用程序版本和一个启动可执行文件的批处理脚本。SPECTR作为信息窃取者,每10秒抓取一次屏幕截图,收集文件,收集来自可移动USB驱动器的数据,并从网页浏览器和应用程序(如Element、Signal、Skype和Telegram)中窃取凭证。

https://cert.gov.ua/article/6279600

2 Commando Cat组织劫持Docker服务器部署挖矿程序

名为Commando Cat的威胁行为者被指与利用配置不当的Docker实例部署加密货币矿工以获取财务收益的持续加密劫持攻击活动有关。攻击者使用cmd.cat/chattr docker映像容器,从其自己的命令和控制(C&C)基础设施检索payload。Commando Cat因其使用开源的Commando项目生成一个无害的容器而得名,今年早些时候由Cado Security首次记录。这些攻击的特点是针对配置错误的Docker远程API服务器,部署名为cmd.cat/chattr的Docker映像,然后使用chroot命令突破其限制,获得主操作系统的访问权限。

https://www.trendmicro.com/en_no/research/24/f/commando-cat-a-novel-cryptojacking-attack-.html

3 Muhstik僵尸网络利用Apache RocketMQ漏洞发起DDoS攻击

分布式拒绝服务(DDoS)僵尸网络Muhstik被观察到利用一个现已修补的Apache RocketMQ安全漏洞,来控制易受攻击的服务器并扩大其规模。Muhstik是一个知名的威胁,针对物联网设备和基于Linux的服务器,以其感染设备并利用它们进行加密货币挖矿和发起分布式拒绝服务(DDoS)攻击而臭名昭著。首次记录于2018年,涉及该恶意软件的攻击活动有利用已知安全漏洞,特别是与Web应用程序相关的漏洞进行传播的历史。最新加入到被利用的漏洞列表的是CVE-2023-33246(CVSS评分:9.8),这是一个影响Apache RocketMQ的严重安全漏洞,允许远程和未经身份验证的攻击者通过伪造RocketMQ协议内容或使用更新配置功能执行远程代码。

https://www.aquasec.com/blog/muhstik-malware-targets-message-queuing-services-applications/

4 黑客组织滥用BoxedApp商业打包软件规避恶意软件检测

威胁行为者越来越多地滥用BoxedApp等合法且商业可用的打包软件以规避检测并分发远程访问木马和信息窃取者等恶意软件。绝大多数被归因的恶意样本针对金融机构和政府行业。以BoxedApp打包提交到Google拥有的VirusTotal恶意软件扫描平台的样本数量在2023年5月左右出现了激增,Israeli网络安全公司补充说,样本提交主要来自土耳其、美国、德国、法国和俄罗斯。通过这种方式分发的恶意软件家族包括Agent Tesla、AsyncRAT、LockBit、LodaRAT、NanoCore、Neshta、NjRAT、Quasar RAT、Ramnit、RedLine、Remcos、RevengeRAT、XWorm和ZXShell。打包器是自解压存档,通常用于打包软件并使其变小。但多年来,此类工具已被威胁行为者重新用于为其payload添加另一层混淆,以抵抗分析。

https://research.checkpoint.com/2024/inside-the-box-malwares-new-playground/

5 FBI向受害者公开7000个LockBit勒索软件解密密钥

美国联邦调查局(FBI)披露,它掌握了超过7000个与LockBit勒索软件相关的解密密钥,以帮助受害者免费找回他们的数据。“我们正在联系已知的LockBit受害者,并鼓励任何怀疑自己是受害者的人访问我们的互联网犯罪投诉中心(ic3.gov),”FBI网络部助理局长布莱恩·沃恩德兰在2024年波士顿网络安全大会(BCCS)的主题演讲中说道。LockBit曾经是一个活跃的勒索软件团伙,与全球超过2,400起攻击有关,其中至少有1,800起影响了美国的实体。今年2月,由英国国家犯罪局(NCA)领导的代号为Cronos的国际执法行动拆除了其在线基础设施。

https://www.fbi.gov/news/stories/fbi-cyber-lead-urges-potential-lockbit-victims-to-contact-internet-crime-complaint-center

6 Google Maps时间轴数据将存储于本地设备以保护隐私

Google宣布计划从2024年12月1日起将Maps时间轴数据存储在用户的设备上,而不是其Google账户中。这项变化最初由科技巨头在2023年12月宣布,伴随着启用位置历史记录时的自动删除控制更新,将其默认设置为三个月,而不是之前的18个月。顾名思义,Google Maps时间轴帮助用户跟踪路线、行程和他们曾到过的地方,假设启用了位置历史记录和Web与应用活动设置。但随着最新的更改以在用户设备上托管数据,公司还表示将取消在网页上查看时间轴数据的功能。

https://blog.google/products/maps/updates-to-location-history-and-new-controls-coming-soon-to-maps/


页: [1]
查看完整版本: 每日安全简讯(20240609)