每日安全简讯(20241004)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 朝鲜黑客组织Andariel转向美国组织进行金融攻击
2024年8月,朝鲜国家支持的黑客组织Andariel对美国的三家机构发起了攻击,尽管未成功部署勒索软件,但这些攻击很可能是出于经济动机。Andariel是臭名昭著的Lazarus集团的子分支,长期以来主要进行勒索和间谍活动,现已转向金融攻击。此次攻击中,该组织使用了自定义后门工具Dtrack和新发现的Nukebot,并利用开源工具Mimikatz等进行进一步渗透。尽管自2019年以来,Andariel的活动重点是间谍行动,但其转向金融勒索的趋势引起了美国政府的持续关注。这些攻击还涉及伪造软件证书等高级技巧,展现了黑客的高超手段。
https://symantec-enterprise-blogs.security.com/threat-intelligence/stonefly-north-korea-extortion
2 FIN7利用虚假AI裸照生成器网站传播信息窃取恶意软件
黑客组织FIN7近日推出了一系列虚假的AI裸照生成器网站,吸引用户上传照片以生成伪造的裸照。实际上,这些网站分发信息窃取恶意软件,如Lumma Stealer和Redline Stealer。用户在点击下载所谓的“生成图像”后,会被重定向至包含恶意软件的压缩包。FIN7通过搜索引擎优化(SEO)技术提升这些网站的排名,广泛吸引受害者。该组织与DarkSide等勒索软件团伙有关,过去也曾利用复杂的网络钓鱼和社会工程攻击。尽管这些恶意网站已被关闭,已下载文件的用户应采取措施清除感染。
https://www.silentpush.com/blog/fin7-malware-deepfake-ai-honeypot/
3 假冒浏览器更新传播新版本WarmCookie恶意软件
最近一场名为“FakeUpdate”的网络攻击活动在法国展开,攻击者通过受感染的网站显示虚假的浏览器和应用程序更新提示,传播名为WarmCookie的后门恶意软件。攻击者冒充合法更新,如Google Chrome、Mozilla Firefox、Microsoft Edge和Java,诱骗用户下载伪装的更新文件。一旦执行,WarmCookie会窃取数据、执行任意命令,并通过指令控制(C2)服务器接收进一步的恶意任务。研究显示,该恶意软件在最新版本中新增了从临时文件夹运行DLL和传输可执行文件的功能。
https://www.bleepingcomputer.com/news/security/fake-browser-updates-spread-updated-warmcookie-malware/
4 CosmicSting漏洞致Adobe Commerce和Magento商店大规模被黑
研究人员披露,约5%的Adobe Commerce和Magento商店因名为CosmicSting的漏洞被攻击。该漏洞(CVE-2024-34102)是一个严重的XML外部实体引用(XXE)漏洞,CVSS评分为9.8,允许远程代码执行。尽管Adobe已于2024年6月发布补丁,但该漏洞仍被大规模利用,攻击速度每小时达3至5次。攻击者利用该漏洞窃取加密密钥,并通过Magento API注入恶意脚本,窃取支付数据。多家知名公司如Ray Ban和思科已成为受害者,且至少有七个不同的黑客团伙参与此次攻击。
https://sansec.io/research/cosmicsting-fallout
5 70万台DrayTek路由器因14个新漏洞面临攻击风险
DrayTek路由器被发现存在14个安全漏洞,其中两个为严重漏洞,CVSS评分最高达10.0。漏洞合集被称为“DRAY”,可能允许攻击者通过注入恶意代码控制设备,进而渗透企业网络。最严重的漏洞包括CVE-2024-41592,一个导致远程代码执行(RCE)的缓冲区溢出漏洞,以及CVE-2024-41585的操作系统命令注入漏洞。全球约有70多万台DrayTek路由器的Web UI暴露在互联网上,尤其在美国、越南和荷兰等地。DrayTek已发布补丁,用户需及时更新并加强安全设置。
https://www.forescout.com/resources/draybreak-draytek-research/
6 法新社向法国当局通报可能存在数据泄露
法新社(AFP)近日通知法国监管机构,因遭遇网络攻击,可能发生数据泄露。该攻击影响了部分新闻传送服务,法新社正在与法国国家信息系统安全局(ANSSI)合作处理此事件。虽然法新社尚未确认客户数据是否受影响,也未提供进一步细节,但有报道称用户的文件传输协议(FTP)凭证可能遭到泄露。法国数据保护机构CNIL已收到该事件的通知。根据欧洲《通用数据保护条例》(GDPR),法新社在发现潜在数据泄露后的72小时内上报了此事件。攻击者身份及动机目前尚未查明。
https://www.afp.com/en/agency/press-releases-newsletter/afp-detects-attack-its-it-systems
页:
[1]