Atgiant 发表于 2024-10-28 17:18

每日安全简讯(20241029)

免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 HeptaX利用LNK文件进行远程桌面连接入侵活动

研究人员发现了一个名为“HeptaX”的持续网络攻击活动,该活动由一个持久威胁组织发起,利用恶意LNK文件来实现未经授权的远程桌面协议(RDP)访问。攻击者通过复杂的多阶段攻击链,主要依靠PowerShell和BAT脚本来下载和执行额外的有效载荷。这种脚本化的方法帮助他们绕过传统安全解决方案的检测。攻击涉及在受害者的系统上创建一个新的管理员账户,并降低RDP的认证要求,以简化攻击者的非法访问。除了远程桌面入侵外,攻击者还部署了一个名为ChromePass的密码恢复工具,从Chromium浏览器中收集保存的密码,增加了账户被广泛入侵的风险。该活动的初始感染通常来自于钓鱼邮件中分发的ZIP文件,其中包含恶意LNK快捷方式文件。执行后,LNK文件触发PowerShell命令,从远程服务器下载并执行多个有效载荷。这些脚本协同工作,不仅创建了新的管理员账户,还修改了终端服务设置,降低了认证要求,方便攻击者进行远程访问以开展数据窃取、恶意软件安装等恶意活动。

https://cyble.com/blog/heptax-unauthorized-rdp-connections-for-cyberespionage-operations/

2 Fog勒索软件利用SonicWall VPN漏洞入侵企业网络

最近,Fog和Akira勒索软件团伙通过SonicWall VPN账户,利用CVE-2024-40766漏洞,频繁侵入企业网络。SonicWall在2024年8月底修复了该漏洞,并在随后一周警告称该漏洞已被积极利用。最新的报告指出,Akira和Fog勒索软件行动至少进行了30次入侵,这些入侵都始于通过SonicWall VPN账户的远程访问。在这些案例中,75%与Akira有关,其余的则归因于Fog勒索软件。值得注意的是,这两个威胁团伙似乎共享基础设施,显示出两者之间非正式合作的延续。尽管研究人员不能完全确定所有案例都利用了该漏洞,但所有被入侵的终端都运行着易受攻击的旧版本。在大多数情况下,从入侵到数据加密的时间很短,通常约为十个小时,最快甚至达到1.5至2小时。许多攻击中,攻击者通过VPN/VPS访问终端,隐藏其真实IP地址。在随后的攻击阶段,威胁者迅速加密,主要针对虚拟机及其备份。被侵入系统的数据窃取涉及文档和专有软件,但攻击者对超过六个月(或更敏感文件超过30个月)的文件不感兴趣。Fog勒索软件于2024年5月推出,通常利用被盗的VPN凭证进行初始访问。

https://arcticwolf.com/resources/blog/arctic-wolf-labs-observes-increased-fog-and-akira-ransomware-activity-linked-to-sonicwall-ssl-vpn/

3 研究人员监测到针对SPIP CMS的新攻击

研究人员近期报告了针对开源SPIP内容管理系统的新一轮网络攻击,同时,物联网设备及其他漏洞的利用活动也在持续进行。根据研究人员的每周传感器情报报告,活跃攻击活动涉及多个已知漏洞,其中包括新发现的针对SPIP CMS的攻击。此漏洞存在于SPIP版本4.3.2、4.2.16和4.1.18之前,具体为CVE-2024-8517的命令注入问题。攻击者可以通过发送特制的多部分文件上传HTTP请求,远程执行任意操作系统命令。此外,报告指出,针对PHP、Linux系统以及Java和Python框架的已知漏洞的攻击活动仍在持续。物联网设备和嵌入式系统中的旧漏洞也以惊人的速度被利用。

https://cyble.com/blog/cyble-sensors-detect-new-attacks-on-cms-iot-exploits-continue/

4 AWS Cloud Development Kit漏洞可能导致用户账户被接管

近期,研究人员披露了影响亚马逊网络服务(AWS)Cloud Development Kit(CDK)的安全漏洞,该漏洞在特定情况下可能导致账户接管。研究人员指出,攻击者在某些情况下可能获得目标AWS账户的管理访问权限,从而实现完全控制。该问题于2024年6月27日被负责任地披露,并在2024年7月发布的CDK版本2.149.0中得到修复。该漏洞与AWS的“影子资源”相关,利用了AWS简单存储服务(S3)桶的预定义命名约定。AWS CDK的引导过程会创建包括S3桶、Amazon Elastic Container Registry(ECR)和IAM角色在内的资源,而这些IAM角色的命名模式使得猜测桶名变得简单。当用户未自定义引导时,S3桶名的默认值“hnb659fds”使得攻击者可以通过已知的AWS账户ID和区域轻松预测桶名,从而实施S3桶名称抢注攻击。如果攻击者成功创建了与受害者CDK先前使用的桶相同名称的桶,他们可能会获得读取和写入数据的权限,从而篡改CloudFormation模板,执行恶意操作。研究人员指出,CloudFormation的部署角色默认具有管理员权限,这使得攻击者能够在受害者的AWS账户中创建特权资源。

https://www.aquasec.com/blog/aws-cdk-risk-exploiting-a-missing-s3-bucket-allowed-account-takeover/

5 四名REvil勒索软件成员在俄被判刑

四名REvil勒索软件组织的前成员在俄罗斯被判处多年监禁,此次判决标志着俄罗斯境内对黑客和洗钱活动的少见定罪。这四名男子分别是阿尔忒弥斯·扎耶茨(Artem Zaets)、阿列克谢·马洛泽莫夫(Alexei Malozemov)、达尼尔·普齐列夫斯基(Daniil Puzyrevsky)和鲁斯兰·汉斯维亚罗夫(Ruslan Khansvyarov)。他们因非法支付处理被定罪,普齐列夫斯基和汉斯维亚罗夫还因使用和传播恶意软件而受到指控。据俄罗斯媒体《生意人报》报道,圣彼得堡驻军军事法庭于10月25日宣布了对这四人的判决,扎耶茨和马洛泽莫夫分别被判处4.5年和5年的监禁,而汉斯维亚罗夫和普齐列夫斯基则被判处5.5年和6年的监禁。这四名男子是在美国要求下对REvil勒索软件组织进行调查的过程中被识别出来的,该组织的领导人与针对外国科技公司的网络攻击有关。

https://www.kommersant.ru/doc/7263987

6 Landmark保险公司数据泄露影响超80万人

保险行政服务公司Landmark Admin近日警告称,2024年5月发生的网络攻击导致超过80万人受到数据泄露影响。Landmark Admin为保险公司提供后端服务,包括新业务处理和索赔管理,服务对象涵盖多家大型保险公司,如美国纪念生命保险公司、佩勒林生命保险公司、美国福利生命保险公司、自由银行生命保险公司、大陆互助保险公司及国会生命保险公司。根据提交给缅因州总检察长办公室的文件,Landmark在2024年5月13日检测到可疑活动,随后关闭了IT系统并切断了对网络的远程访问,以防止攻击蔓延。Landmark随后与第三方网络安全公司合作,修复事件并调查数据是否被盗。在调查过程中,Landmark发现攻击者访问了一些包含806519人个人信息的文件。这些信息可能包括:姓名、地址、社会安全号码、税务识别号码、驾驶执照号码、护照号码、金融账户号码、医疗信息、出生日期、健康保险政策号码以及人寿和年金政策信息。Landmark表示,受影响的个人将通过邮件通知具体影响的信息。

https://www.maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/2bd97a04-38be-40f1-94fd-9d143ea4bc9f.html


页: [1]
查看完整版本: 每日安全简讯(20241029)