每日安全简讯(20241110)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 CloudComputating APT组织在网络间谍活动中使用多插件恶意软件框架QSC
2021年,安全研究人员在调查南亚电信行业的一次攻击时,发现了QSC(一个多插件恶意软件框架)。QSC能够在内存中加载和运行插件(模块),包括Loader、Core模块、Network模块、Command Shell模块和File Manager模块。该框架既可以作为一个独立的可执行文件,也可以与加载器DLL一起作为有效载荷文件投放。QSC是一个模块化框架,其中只有初始加载器保留在磁盘上,而核心和网络模块始终在内存中。使用基于插件的架构使攻击者能够根据感兴趣的目标控制按需将哪个插件(模块)加载到内存中。据调查了发现CloudComputating APT组织采用了QSC框架以及之前发现的Quarian后门及其变体发起了有限但有针对性的活动,尤其是电信行业。
https://securelist.com/cloudcomputating-qsc-framework/114438/
2 VEEAM漏洞再次用于新的勒索软件Frag
据近期多起管理检测和响应(MDR)的案例中,安全研究人员发现威胁行为者利用了Veeam备份服务器中的一个漏洞,同时还部署了一种新的勒索软件 “Frag”,该勒索软件在此之前从未被记录。初始访问时,威胁行为者通常会通过被 compromized 的VPN设备获得初始访问权限。接着通过利用CVE-2024-40711漏洞创建新的管理员账户,进一步渗透目标系统,最后在威胁行为者获得控制权后,便部署勒索软件Frag,该勒索软件的参数可以指定加密受害者单个文件或者整个目录,并且在加密的文件后添加扩展名.frag。
https://news.sophos.com/en-us/2024/11/08/veeam-exploit-seen-used-again-with-a-new-ransomware-frag/
3 Palo Alto Networks Expedition存在高危漏洞
美国网络安全和基础设施安全局(CISA)于10月确认,Palo Alto Networks Expedition(防火墙配置迁移工具)存在高危漏洞(CVE-2024-5910)并且正在被攻击者利用。该漏洞由于在一个关键功能缺少身份验证,导致拥有攻击者在具有网络访问权限下通过发送简单的请求到暴露的端点来重置管理员密码,从而获得对系统的完全控制,包括了接管Palo Alto Networks Expedition的管理员账户。Palo Alto Networks已于2024年7月发布了修复该漏洞的安全更新,并建议无法立即升级的用户限制对Expedition安装的网络访问,确保只有授权用户、主机或网络才能访问。
https://securityaffairs.com/170697/uncategorized/palo-alto-networks-warns-potential-pan-os-rce.html
4 Mazda车辆存在可被黑客利用的系统漏洞
网络安全研究人员发现,马自达汽车的多个车型存在严重的车载信息娱乐系统漏洞,特别是2014年至2021年的Mazda 3车型中使用的Connectivity Master Unit (CMU)。这些漏洞源于对攻击者提供的输入处理不当,可能允许物理接近的攻击者通过特制的USB设备执行任意代码,从而获得系统最高权限,危及车辆安全。攻击者可以通过在FAT32格式的USB存储设备上创建包含OS命令的文件(文件名以.up结尾)来利用这些漏洞。一旦初始攻击成功,攻击者可以通过操纵根文件系统或安装特制的VIP微控制器软件,获得对车辆网络的无限制访问。
https://hackread.com/hackers-mazda-vehicle-controls-system-vulnerabilities/
5 针对欧洲工业和工程公司的GuLoader活动
安全研究人员最近发现了一项针对欧洲工业和工程公司的GuLoader活动。GuLoader 是一种规避性shellcode下载器,用于提供远程访问木马(RAT),自2019年以来一直被威胁行为者使用并继续发展。此次攻击活动主要通过鱼叉式网络钓鱼邮件进行初始访问,目标包括罗马尼亚、波兰、德国和哈萨克斯坦等国家的电子制造、工程和工业公司。攻击者通过发送包含订单查询的电子邮件,附件中附带压缩文件(如ISO、7z、gzip、RAR)。这些邮件通常来自虚假公司或被劫持的账户,常常劫持现有的邮件线程或请求订单信息,以增加欺骗性。邮件附件中的批处理文件包含经过混淆的PowerShell脚本,目的是规避检测。
https://www.cadosecurity.com/blog/guloader-targeting-european-industrial-companies
6 律师事务所遭到黑客入侵导致患者数据泄露
近日,位于密苏里的全国性法律事务所Thompson Coburn遭受了一次网络攻击,导致其客户Presbyterian Healthcare Services(PHS)的患者数据泄露。Thompson Coburn是一家专门处理数据泄露和其他类型法律案件的律师事务所。这次攻击发生在5月28日至29日之间,未经授权的攻击者窃取了一些文件,其中包含了PHS患者的受保护健康信息(PHI)。泄露的信息包括患者姓名、社会安全号码、出生日期、医疗记录号、患者账户号、处方和治疗信息、临床信息、医疗提供者信息以及健康保险信息。Thompson Coburn表示,他们已经对受影响的文件进行了详细审查,并确定某些PHS患者的PHI包含在这些文件中。
https://www.govinfosecurity.com/law-firm-hack-compromises-health-systems-patient-data-a-26756
页:
[1]