每日安全简讯(20241025)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Lazarus黑客利用虚假DeFi游戏对个体发起攻击
Lazarus黑客组织通过一个假冒的去中心化金融(DeFi)游戏,利用了Google Chrome的零日漏洞CVE-2024-4947,针对加密货币领域的个体展开攻击。该攻击最早由Kaspersky于2024年5月发现,并向Google报告了该漏洞。Lazarus使用了名为"Manuscrypt"的后门恶意软件,并通过一个名为DeTankZone的NFT在线游戏网站传播,该网站伪装成一款多人坦克对战游戏,实则暗中利用Chrome漏洞执行远程代码。通过该漏洞,攻击者能够获取用户的登录信息、密码和浏览历史。尽管该游戏的后端基础设施已被关闭,Chrome漏洞仍在其网站上被利用。研究人员认为,Lazarus的最终目标可能是窃取加密货币。
https://securelist.com/lazarus-apt-steals-crypto-with-a-tank-game/114282/
2 Gophish工具被滥用发起钓鱼攻击传播远程访问木马
近日,一场针对俄语用户的钓鱼攻击活动利用了开源钓鱼框架Gophish,传播DarkCrystal RAT(DCRat)和新发现的PowerRAT远程访问木马。该攻击通过恶意的Microsoft Word文档或嵌入JavaScript的HTML文件进行感染,受害者需手动触发恶意宏或点击钓鱼链接。恶意代码会在受害者设备中执行PowerShell脚本,进而下载并运行PowerRAT或DCRat。这些木马会收集设备信息、执行远程命令,并通过俄罗斯的远程服务器获取进一步指令。攻击者通过伪装的Yandex Disk链接和VK网页引诱受害者,显示出高度针对性。
https://blog.talosintelligence.com/gophish-powerrat-dcrat/
3 研究人员对DarkComet RAT攻击链进行分析
DarkComet是一款远程访问木马(RAT),最早由Jean-Pierre Lesueur于2008年开发,现已被攻击者广泛用于远程控制系统、窃取敏感信息并执行恶意活动。该恶意软件可以在受感染的系统上静默运行,收集系统和网络活动的详细信息,包括存储的凭证、用户名、密码等。DarkComet不仅能传输窃取的数据,还允许攻击者在目标设备上安装更多恶意软件或将设备纳入僵尸网络,用于发送垃圾邮件或执行其他恶意操作。其分发方式多样,包括通过免费软件捆绑、伪装成电子邮件中的无害程序或利用网站漏洞。DarkComet因其易于使用的图形界面而迅速流行,用户很难察觉到感染症状,因为它能够禁用防病毒程序和其他安全功能。
https://any.run/cybersecurity-blog/darkcomet-rat-technical-analysis/
4 勒索软件攻击冒用LockBit名声以恐吓受害者
最近的勒索软件攻击中,攻击者利用亚马逊S3加速功能窃取数据,并伪装其勒索软件为臭名昭著的LockBit,以加剧对受害者的威胁。据研究人员研究,攻击者在勒索软件中嵌入了硬编码的AWS凭证,通过S3存储加速功能将窃取的数据上传到其控制的云存储桶。此勒索软件能够攻击Windows和macOS系统,并加密特定文件,随后更改设备壁纸以展示LockBit 2.0的名称。此举旨在利用LockBit的恶名迫使受害者支付赎金。
https://www.trendmicro.com/en_us/research/24/j/fake-lockbit-real-damage-ransomware-samples-abuse-aws-s3-to-stea.html
5 CISA将Microsoft SharePoint漏洞列入已知被利用漏洞目录
美国网络安全和基础设施安全局(CISA)已将Microsoft SharePoint反序列化漏洞CVE-2024-38094添加至其已知被利用漏洞(KEV)目录。此漏洞允许拥有站点所有者权限的攻击者注入并执行任意代码,可能导致服务器被控制。漏洞源于SharePoint服务器搜索组件的输入验证错误,攻击者可以通过发送精心构造的HTTP请求利用该漏洞。CISA要求联邦机构在2024年11月12日前修复该漏洞,专家建议私营企业也应尽快修补相关系统,以降低风险。
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38094
6 流行应用暴露云密钥致数百万iOS和Android用户面临风险
研究人员发现,数百万iOS和Android用户的敏感数据因流行应用中的硬编码云服务密钥而面临泄露风险。开发者在应用代码中嵌入未加密的云服务凭证,如AWS和Azure密钥,容易被攻击者利用,从而造成数据泄露和服务中断。受影响的Android应用包括下载量超500万的Pic Stitch,以及Meru Cabs和Sulekha Business等;iOS应用如Crumbl、Eureka和Videoshop也同样存在此类问题,进一步简化了攻击路径。专家建议开发者立即采取安全存储措施。
https://www.security.com/threat-intelligence/exposing-danger-within-hardcoded-cloud-credentials-popular-mobile-apps
页:
[1]