每日安全简讯(20241107)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 新型SteelFox木马伪装成软件激活器实现窃密和挖矿
2024年8月,安全研究团队在调查中发现了一种由矿工和窃密恶意软件组成的未知捆绑包引起的大量感染,并且将其命名为“SteelFox”。SteelFox主要传播途径是论坛帖子、torrent追踪器、博客和模仿流行的软件如Foxit PDF Editor和AutoCAD。安全研究人员发现,SteelFox使用窃密恶意软件提取受害者的信用卡数据和受感染设备的详细信息,随后利用受感染设备的计算资源进行加密货币挖矿,通过易受攻击的驱动程序提升权限,以便更深入地控制系统,最后利用SSL pinning和TLSv1.3与C2服务器通信,确保通信的安全性和隐蔽性。
https://securelist.com/steelfox-trojan-drops-stealer-and-miner/114414/
2 攻击者利用DocuSign API发送大量的钓鱼发票
DocuSign API是DocuSign(一家领先的电子签名和数字交易管理平台)提供的一个强大的工具,允许开发者和企业通过编程方式集成和自动化电子签名流程。但近期发现一些攻击者利用DocuSign API发送钓鱼邮件,据安全研究员最新发现,攻击者利用DocuSign API发送钓鱼发票,成功绕过垃圾邮件过滤器。通过利用DocuSign的合法服务,攻击者能够避开电子邮件安全措施,诱使收件人提供敏感信息或点击恶意链接。安全研究员指出,这种攻击手法不仅能够绕过传统的邮件过滤机制,还能够利用DocuSign的品牌信誉,使受害者更容易上当受骗。他建议企业和个人用户提高警惕,仔细核实邮件来源和内容,避免点击不明链接或下载附件。同时,企业应加强员工的安全培训,提高对这类钓鱼攻击的识别能力。
https://lab.wallarm.com/attackers-abuse-docusign-api-to-send-authentic-looking-invoices-at-scale/
3 研究员披露IBM Security Verify Access中的36个漏洞
安全研究员披露了IBM Security Verify Access(ISVA)中存在的36个漏洞,这些漏洞可能导致攻击者完全破坏基于该授权和网络安全策略管理解决方案的整个认证基础设施。攻击者若想利用这些问题,需要进行中间人(MiTM)攻击或获取使用IBM ISVA设备和Docker镜像的组织内部网络的访问权限。至少一半的安全缺陷,包括七个远程代码执行漏洞、一个认证绕过漏洞、八个权限提升漏洞和其他一些问题,都可能被用于完全破坏系统。当IBM Security Verify Access(ISVA)运行时Docker实例(该解决方案的核心组件)在网络中可访问时,攻击者可以绕过所有认证,并作为任何用户与该后端实例进行交互,从而完全控制任何用户,而无需认证。
https://www.securityweek.com/researcher-discloses-32-vulnerabilities-found-in-ibm-security-verify-access/
4 黑客声称出售从诺基亚供应商处盗取的源代码和密钥
知名数据盗窃者IntelBroker在暗网论坛Breachforums上声称,他们与另一名黑客EnergyWeaponUser合作,从诺基亚的一家第三方供应商处盗取了大量敏感资料,包括源代码、SSH密钥、RSA密钥、Bitbucket登录信息、SMTP账户详情和凭据等。这些被盗材料中包含了大量JavaScript、JSON和PHP文档,更有价值的信息则被保留给论坛上的认证买家。IntelBroker在帖子中表示,这些数据是从一家直接与诺基亚合作开发内部工具的第三方承包商那里获取的。他们声称只会接受来自论坛上信誉良好的买家的报价。诺基亚目前正对此事进行调查,以确认是否真的发生了严重的安全入侵事件。截至发稿时,诺基亚尚未发表评论。
https://www.theregister.com/2024/11/06/nokia_data_theft/
5 勒索组织Hellcat声称已窃取Schneider Electric公司超过40GB的压缩数据
法国跨国能源管理公司Schneider Electric近日确认正在调查一起网络安全事件,原因是勒索组织Hellcat声称已窃取该公司超过40GB的压缩数据,其中包括了项目、标书和插件、超过400000行用户数据,并要求以125000法棍面包(baguettes)作为赎金,否则将公开泄露敏感的客户和运营信息。Baguettes是一种长条形的法国面包,勒索组织Hellcat这种要求显然是带有讽刺的意思,同时也吸引媒体和公众的注意。据统计,这是Schneider Electric在过去两年内遭遇的第三次重大数据泄露事件。今年2月,Cactus勒索软件感染了公司的可持续发展业务部门,2023年6月,该公司也是CL0P勒索组织通过MOVEit攻击窃取数据的数千个组织之一。
https://www.theregister.com/2024/11/05/schneider_electric_cybersecurity_incident/
6 GoZone勒索软件威胁并且指控受害者
GoZone勒索软件声称在目标计算机上发现了儿童性虐待材料,并威胁受害者支付1000美元的比特币解密文件否则将会举报它们。据安全研究人员的分析发现,GoZone勒索软件是由Go语言编写,利用Chacha20和RSA算法加密受害者的文件,并将文件扩展名改为.d3prU。受感染的计算机会被大量的勒索笔记淹没,包括每个加密文件目录中的.txt文件、桌面的.txt文件、默认浏览器打开的.html文件,以及替换系统壁纸的图像文件。如果受害者没有备份受影响系统之外的文件,他们很可能会永久失去这些文件。支付赎金并不是一个可靠的选项,因为攻击者可能不会提供解密密钥,或者提供的密钥可能无效。
https://www.helpnetsecurity.com/2024/11/06/gozone-ransomware-d3pru/
页:
[1]