每日安全简讯(20241106)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 一种仿真Linux环境的新型网络钓鱼攻击
安全研究员发现了一种名为“CRON#TRAP”的新型网络钓鱼攻击,该攻击利用仿真Linux环境绕过安全措施并建立持久的后门。CRON#TRAP网络钓鱼是一个多阶段的攻击过程,攻击者首先会将包含恶意ZIP文件和快捷方式文件(如OneAmerica Survey.zip和OneAmerica Survey.lnk)的钓鱼邮件传播,接着部署仿真Linux环境然后伪造成浏览器进程掩盖活动,最后通过Chisel隧道工具以及使用QEMU和Chisel工具,建立隐蔽的通信通道以及获得隐蔽访问权限,以窃取数据和控制系统。CRON#TRAP攻击展示了网络犯罪分子不断演化的战术,包括仿真环境和合法软件的滥用。这种方法使攻击者能够获得持久的访问权限,强调了对可疑邮件保持警惕的重要性。
https://hackread.com/hackers-crontrap-persistent-linux-system-backdoors/
2 Android系统存在活跃利用的漏洞
Google在其安全公告中指出,威胁行为者正在积极利用两个漏洞,分别为CVE-2024-43093和CVE-2024-43047,这两个漏洞在Android操作系统中被发现。其中CVE-2024-43093是Android Framework组件特权提升漏洞,该漏洞可导致未经授权访问“Android/data”、“Android/obb”和“Android/sandbox”目录及其子目录。CVE-2024-43047是Qualcomm组件中的内核问题,这是一个潜在的释放后使用(UAF)漏洞,涉及DSP(数字信号处理器)处理直接内存访问(DMA)文件描述符(FD)的方式,该漏洞可导致内存损坏。Google建议用户尽快更新到最新版本的Android系统,以减少被这些漏洞利用的风险。对于企业和组织,建议采取额外的安全措施,如定期更新设备、启用安全补丁管理和监控异常活动。
https://securityaffairs.com/170581/uncategorized/cve-2024-43093-android-flaw-actively-exploited.html
3 Synology NAS设备面临零点击攻击风险(CVE-2024-10443)
该设备厂商Synology 最近发布了针对一个未认证的“零点击”远程代码执行漏(CVE-2024-10443,代号RISK:STATION)的修复补丁,该漏洞会影响其流行的DiskStation和BeeStation网络附加存储(NAS)设备。尽管目前没有证据显示该漏洞在野外被利用,但研究人员称,CVE-2024-10443具有很高的被滥用潜力,当前的补丁可能很快被逆向分析,从而导致攻击者创建和部署新的exploit。他们建议用户手动验证系统是否已安装最新补丁,并在必要时手动更新,将Synology Photos升级到版本1.7.0-0795或1.6.2-0720及以上(适用于DiskStation Manager v7.2)以及BeePhotos升级到版本1.1.0-10053或1.0.2-10026及以上(分别适用于BeeStation OS v1.1和v1.0)。此外,研究人员建议通过禁用SynologyPhotos/BeePhotos组件从而停用易受攻击的代码,减轻漏洞风险。通过断开互联网连接、禁用端口转发、关闭5000和5001端口、禁用QuickConnect服务,以防止漏洞被远程利用。
https://www.helpnetsecurity.com/2024/11/04/cve-2024-10443/
4 ABB智能建筑软件漏洞可能引发黑客攻击
电气工程公司ABB的智能建筑能源管理系统Cylon Aspect软件存在多个严重漏洞,其中一个容易被利用的漏洞CVE-2023-0636已存在两年,但仍未广泛修补。这些漏洞可能让黑客接管配置不当并允许互联网访问的系统。工业控制系统研究员强调的这些缺陷带有关键的CVSS分数的漏洞CVE-2023-0636和CVE-2024-6209影响了电气工程公司ABB制造的Cylon Aspect软件。其中,加州大学欧文分校和纽约市的美国自然历史博物馆是电器公司ABB的主要能源管理系统客户,它们所采用的Aspect软件允许自动控制建筑物的灯光、温度和湿度。
https://www.govinfosecurity.com/abb-smart-building-software-flaws-invite-in-hackers-a-26722
5 俄亥俄州哥伦布市已有50万人遭到Rhysida勒索软件攻击导致数据泄露
2024年7月18日,俄亥俄州哥伦布市遭受了一次严重的勒索软件攻击,导致50万人的个人和财务数据被访问并可能被盗。7月29日,市府确认了这一攻击,称已成功阻止威胁并切断互联网连接,但仍在调查可能被访问的数据量。Rhysida勒索软件团伙声称对此负责,窃取了6.5TB的敏感数据,包括员工凭据、市府应急服务应用服务器的完整数据转储、市视频摄像头访问权限等,并要求30个比特币(约合190万美元)的赎金。市长Ginther最初表示被盗数据可能“损坏”且“无法使用”,但网络安全研究员David Leroy Ross透露,数十万哥伦布市居民的个人信息已在暗网上列出。9月,市府起诉Ross,指控他威胁分享被盗数据。Rhysida团伙已在其暗网泄漏网站上发布了45%的被盗数据,总计3.1TB,包含258270个文件。市府确认此次攻击泄露了50万人的姓名、出生日期、地址、银行账户信息、驾照号码、社会安全号码等敏感信息,并为受影响的个人提供了24个月的Experian信用监控和暗网监控服务。
https://securityaffairs.com/170568/data-breach/city-of-columbus-ransomware-attack-impacted-500000-people.html
6 加拿大警方逮捕与Snowflake数据泄露案相关的嫌疑人
2024年10月30日,加拿大执法机构逮捕了Alexander “Connor” Moucka(又称Judische和Waifu),他被指控与今年早些时候针对云数据仓库平台Snowflake的系列攻击有关。Moucka在美国的临时逮捕令下被拘留,具体指控尚未披露。据《彭博加拿大》报道,Moucka涉嫌对Snowflake的165家客户进行黑客攻击,包括AT&T、LendingTree、Neiman Marcus、Santander和Ticketmaster等大型企业。今年6月,Snowflake透露,其部分客户遭到UNC5537这一北美金融动机黑客组织的攻击,安全研究人员协助调查后发现,UNC5537利用窃取的客户凭证侵入Snowflake客户实例,将数据在网络犯罪论坛上出售,并尝试勒索受害者。
https://securityaffairs.com/170587/cyber-crime/canadian-authorities-arrested-snowflake-hacker.html
页:
[1]