每日安全简讯(20241003)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 PyPI仓库发现假冒加密钱包恢复工具窃取用户数据
近日,研究人员发现多个伪装成加密钱包恢复工具的恶意软件包被上传至Python Package Index(PyPI)仓库。这些软件包声称为Atomic、Trust Wallet、Metamask 等流行钱包提供恢复服务,但实际上盗取用户私钥、助记词等敏感信息,并将其发送至远程服务器。恶意软件通过伪装热门工具和显示虚假下载量欺骗用户,部分软件包还通过动态解析器来更新恶意服务器地址,规避安全检测。此次攻击是针对加密货币领域的最新供应链攻击,凸显了开源社区的信任危机和加密生态系统的安全隐患。在软件下架前,这些恶意包累计吸引了数百次下载,影响范围广泛。
https://checkmarx.com/blog/crypto-stealing-code-lurking-in-python-package-dependencies/
2 AI驱动的Rhadamanthys木马通过图像识别窃取加密钱包
Rhadamanthys信息窃取木马添加了人工智能驱动的光学字符识别功能,能够从图像中提取加密货币钱包的助记词。这一新功能使得Rhadamanthys成为针对加密货币用户的高度危险威胁,窃取的助记词可用于访问受害者的钱包和资产。Rhadamanthys自2022年首次出现后,作为恶意软件即服务(MaaS)模式的一部分,迅速发展,并以每月250美元的价格向网络犯罪分子出租。最新版本0.7.0在程序稳定性和提取能力上有所提升,增加了多个钱包破解算法及文本识别功能。研究表明,该恶意软件的快速发展和创新功能使其成为组织需密切关注的威胁。
https://www.recordedfuture.com/research/rhadamanthys-stealer-adds-innovative-ai-feature-version
3 Mobidash安卓广告软件通过网络钓鱼和在线链接传播
研究人员最近发现了一场通过网络钓鱼邮件、社交媒体链接和色情网站传播Mobidash安卓广告软件的新攻击活动。Mobidash是一种早在2015年就已出现的安卓广告软件,通常通过重打包的合法APK进行传播。恶意行为者将广告软件SDK嵌入到应用程序中,用户在下载游戏或应用的同时也会无意间感染该广告软件。Mobidash的独特之处在于,它会在安装后最多延迟三天才开始展示广告,使用户难以察觉受感染的来源。本次活动利用Facebook链接进行重定向,引导用户下载恶意APK文件,感染范围广泛。
https://www.threatdown.com/blog/watch-out-mobidash-android-adware-spread-through-phishing-and-online-links/?_ga=2.156676796.649804783.1727863750-1426177466.1724308776
4 勒索软件攻击迫使UMC医疗系统转移部分患者
近日,美国德克萨斯州的UMC医疗系统遭遇勒索软件攻击,导致其IT系统瘫痪。UMC在其官网发布公告,宣布为应对网络攻击,已主动关闭部分系统,并开始调查。虽然医院仍对外开放,但所有紧急和非紧急患者均被转移到其他地点处理。作为唯一的一级创伤中心,UMC在西德克萨斯和新墨西哥东部的30家诊所每年接待约40万名患者,系统瘫痪对其医疗服务造成了严重影响。目前,包括放射科在内的多个科室的服务已被迫中断,处方单信息也无法获取。此外,在线沟通渠道不稳定,患者需亲自前往诊所处理紧急情况。UMC尚未确认任何数据泄露,调查仍在进行中,后续信息将在调查完成后更新。
https://www.umchealthsystem.com/it-outage/
5 研究人员对Zimbra Postjournal漏洞遭恶意利用发出警告
研究人员警告称,Zimbra Collaboration软件的新漏洞CVE-2024-45519正在被黑客积极利用。自2024年9月28日起,研究人员监测到攻击者利用该漏洞通过伪造的Gmail邮件发送到Zimbra服务器,从而执行任意命令。此漏洞存在于Zimbra的postjournal服务中,未经身份验证的攻击者可以通过命令注入远程执行代码。虽然Zimbra已于9月4日发布了修复补丁,但部分系统可能尚未更新,攻击活动仍在持续。研究人员建议立即应用最新补丁,或在无法及时更新的情况下暂时删除postjournal二进制文件以减少风险。目前,攻击者尚未被归属于任何已知威胁组织。
https://blog.projectdiscovery.io/zimbra-remote-code-execution/
6 Rackspace监控数据在ScienceLogic零日攻击中被盗
云托管服务提供商Rackspace遭遇数据泄露,攻击者通过ScienceLogic SL1平台中的零日漏洞获取了有限的客户监控数据。此次攻击涉及一个第三方工具的远程代码执行漏洞,ScienceLogic迅速发布了修复补丁并分发给受影响客户。Rackspace证实,黑客通过该漏洞访问了其三台内部监控服务器,窃取了包括客户账户名称、用户名、设备ID和IP地址等信息。尽管泄露的数据有限,但暴露的IP地址可能会被用于DDoS攻击或进一步的漏洞利用。Rackspace已采取措施,包括轮换加密凭证,并告知客户无需采取额外行动。
https://www.bleepingcomputer.com/news/security/rackspace-monitoring-data-stolen-in-sciencelogic-zero-day-attack/
页:
[1]