每日安全简讯(20240718)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Void Banshee组织利用零日漏洞进行网络攻击
APT组织Void Banshee被发现利用编号为CVE-2024-38112的零日漏洞,该漏洞存在于Windows系统中已禁用的Internet Explorer浏览器中。通过精心构造的恶意文件,攻击者能够绕过安全防护,执行远程代码。该攻击主要针对北美、欧洲和东南亚地区的用户,通过伪装成书籍PDF的zip文件传播。安全研究团队在5月发现并报告了此漏洞,随后Microsoft在7月的补丁星期二中对其进行了修复。此次事件再次凸显了对遗留系统进行及时更新和修补的重要性,以及对APT攻击持续监控的必要性。
https://www.trendmicro.com/en_us/research/24/g/CVE-2024-38112-void-banshee.html?&web_view=true
2 Killer Ultra恶意软件绕过EDR强化勒索攻击
安全研究团队分析了一种名为“Killer Ultra”的恶意软件,该软件被设计用来绕过和终止流行的端点检测和响应(EDR)以及防病毒(AV)工具。Killer Ultra通过利用Zemana AntiLogger中的一个已知漏洞CVE-2024-1853,获取内核级权限,以终止关键安全进程。此外,该恶意软件还具备清除事件日志、持久化以及潜在的下载和执行远程工具的能力。
https://www.binarydefense.com/resources/blog/technical-analysis-killer-ultra-malware-targeting-edr-products-in-ransomware-attacks/
3 研究人员揭露Kubelet API安全隐患
安全研究人员揭露了Kubernetes集群中Kubelet API的安全隐患。Kubelet API负责管理节点上的Pod和容器,通常不直接面向用户,但若被错误配置暴露于互联网,将带来严重的安全风险。通过蜜罐技术,研究人员观察到了攻击者利用Kubelet API进行的各种恶意活动,包括但不限于环境映射、网络扫描和秘密信息的搜集。为了应对这些威胁,研究人员提出了一系列安全措施,包括限制对Kubelet API的访问、加强身份验证机制、持续监控和审计、及时进行安全修补、遵循最小特权原则,以及实施自动化的Kubernetes态势管理等。
https://www.aquasec.com/blog/kubernetes-exposed-exploiting-the-kubelet-api/
4 研究人员揭露Konfety广告欺诈活动
安全研究团队近日揭露了一起名为“Konfety”的大规模广告欺诈活动。该活动通过在Google Play Store上部署超过250个无害的诱饵应用程序,通过其“邪恶双胞胎”进行广告欺诈、监控网络搜索、安装浏览器扩展程序等恶意行为。研究人员指出,这种“诱饵/邪恶双胞胎”混淆机制是威胁行为体将欺诈流量伪装成合法流量的一种新方法,其高峰期的程序化请求量达到每天100亿次。目前,这一广告欺诈活动已被有效遏制。
https://www.humansecurity.com/learn/blog/the-partys-over-humans-satori-threat-intelligence-and-research-team-cleans-up-konfety-mobile-ad-fraud-campaign
5 伪造AWS软件包通过JPEG藏匿C2通信
Phylum平台发现npm软件包注册表中出现伪造的AWS软件包,这些软件包表面看似合法,实则在JPEG文件中隐藏了命令和控制(C2)功能。安全研究团队对此进行了深入分析,发现攻击者通过合法项目aws-s3-object-multipart-copy克隆并植入恶意脚本。通过分析loadformat.js文件,揭露了攻击者在图像文件中隐藏恶意代码的手法,这些代码在软件包安装时执行,实现对受害者机器的远程控制。
https://blog.phylum.io/fake-aws-packages-ship-command-and-control-malware-in-jpeg-files/
6 CISA警告GeoServer GeoTools漏洞正被积极利用
美国网络安全和基础设施安全局(CISA)根据积极利用的证据,将影响OSGeo GeoServer GeoTools的严重安全漏洞CVE-2024-36401添加到其已知被利用漏洞(KEV)目录中。该漏洞评分为9.8,涉及通过特制输入触发的远程代码执行情况。GeoServer是一个用Java编写的开源软件服务器,用于共享和编辑地理空间数据。该漏洞由于不安全地将属性名称评估为XPath表达式,允许未经身份验证的用户通过特制的OGC请求参数执行远程代码执行(RCE)。该问题已在GeoServer的2.23.6、2.24.4和2.25.2版本中得到解决。
https://www.cisa.gov/news-events/alerts/2024/07/15/cisa-adds-one-known-exploited-vulnerability-catalog
页:
[1]