Atgiant 发表于 2024-7-1 19:18

每日安全简讯(20240702)

免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 OpenSSH发布安全更新及未来弃用计划

OpenSSH项目团队7月1日发布了OpenSSH 9.8版本,其中修复了两个关键安全问题,包括一个影响sshd服务的严重漏洞(CVE-2021-32604)和一个逻辑错误ObscureKeystrokeTiming。此外,OpenSSH宣布计划于2025年初完全弃用DSA密钥,因其安全性已不再符合当前标准。新版本还引入了多项功能改进和错误修复,提高了SSH协议的安全性和用户体验。用户被建议尽快更新至最新版本,以确保其系统的安全性。

https://www.openssh.com/releasenotes.html

2新型勒索软件Brain Cipher攻击印尼数据中心

一款名为Brain Cipher的勒索软件对印度尼西亚的国家数据中心发起攻击,造成移民服务、护照管制等关键政府服务中断。该勒索软件团伙索要高达800万美元的门罗币作为解密赎金,并威胁若不支付将公开被盗数据。Brain Cipher基于泄露的LockBit 3.0源代码,但进行了定制化修改,包括加密文件名和创建特定的勒索信。此外,该团伙还启动了数据泄露网站,作为其双重勒索策略的一部分。基于以往的研究推测受害者能够恢复文件的可能性很小。

https://www.bleepingcomputer.com/news/security/meet-brain-cipher-the-new-ransomware-behind-indonesia-data-center-attack/


3 UAC-0184组织在DLL侧载分发XWorm远程访问木马

研究人员发现一个名为UAC-0184的威胁行为体利用一种新的技术手段,通过DLL侧载和Python相关文件,针对乌克兰发动了恶意软件攻击活动。该活动使用了XWorm远程访问木马(RAT),通过伪装的诱饵文件和精心设计的PowerShell脚本进行传播。攻击者可能通过网络钓鱼或垃圾邮件传播带有ZIP附件的恶意软件。研究人员警告一旦设备被XWorm RAT感染,攻击者将获得远程访问权限,可能用于数据盗窃、DDoS攻击等恶意活动。

https://cyble.com/blog/uac-0184-abuses-python-in-dll-sideloading-for-xworm-distribution/

4 类似Mirai的僵尸网络利用漏洞攻击Zyxel NAS设备

研究人员近期揭露了一个与Mirai僵尸网络相似的新僵尸网络,它正针对两款已停产的Zyxel网络附加存储(NAS)设备发起攻击。2024年3月,漏洞研究部门已向Zyxel通报了NAS端点的三个严重安全漏洞。目前,这个僵尸网络正利用这些漏洞,将易受攻击的设备纳入其控制之下,这些设备一旦被攻陷,可能被用于对关键基础设施和企业进行DDoS攻击。研究人员建议Zyxel NAS的用户识别自己的设备型号和版本,对于存在漏洞的设备,应立即下载并安装最新的安全补丁,同时考虑采取禁用远程访问等额外安全措施,以防止设备被僵尸网络所利用。

https://hackread.com/mirai-botnet-zyxel-nas-devices-europe-ddos-attacks/#google_vignette

5 MerkSpy间谍软件利用Microsoft Office漏洞渗透系统

2024年6月27日,安全研究人员揭露了一起攻击活动,该活动利用了Microsoft Office中的CVE-2021-4044漏洞。攻击者通过伪装的Word文档传播MerkSpy间谍软件,该软件能够秘密监控用户行为、捕获敏感信息,并在受感染的系统上建立持久性。攻击流程包括下载恶意HTML文件、执行shellcode、解码注入MerkSpy间谍软件,以及将窃取的数据上传到远程服务器。研究人员对这次复杂的攻击链进行了剖析,以便帮助相关组织深入理解网络犯罪分子的技术手段,从而加强自身的防御准备,并采取有效措施抵御此类网络入侵。

https://www.fortinet.com/blog/threat-research/merkspy-exploiting-cve-2021-40444-to-infiltrate-systems?&web_view=true

6 Mercku客服门户网站遭入侵向用户发送网络钓鱼邮件

网络安全研究人员发现加拿大路由器制造商Mercku的客服门户遭受入侵,开始自动回复提交支持请求的用户,附带假冒MetaMask加密货币钱包网络钓鱼邮件。邮件中包含的链接实际指向攻击者控制的网站,而非真正的MetaMask官网。该攻击利用了URL的userinfo部分误导用户,实际重定向至另一个恶意网站。目前,相关域名已被暂停,进一步的攻击已被阻止。Mercku的客户和潜在客户被建议避免与该制造商的支持门户进行任何交互。

https://www.bleepingcomputer.com/news/security/router-makers-support-portal-responds-with-metamask-phishing/








页: [1]
查看完整版本: 每日安全简讯(20240702)