每日安全简讯(20241111)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 攻击者通过Excel文件传播新型Remcos RAT变种
网络安全研究人员发现了新的Remcos RAT(远程访问木马)变种,这是一种通过高级技术感染Windows系统、窃取数据并实现远程控制的危险恶意软件。该攻击活动是通过伪造成订单通知的欺骗性网络钓鱼邮件发起,附件是一个带有OLE对象的Excel文档。当用户打开这个恶意Excel文档时,CVE-2017-0199漏洞被利用来下载并执行一个HTML应用程序(HTA)文件。其中CVE-2017-0199是一个远程代码执行漏洞,它利用Microsoft Office和WordPad对特定文件的解析,使Excel能够显示内容。HTA文件经过多层混淆,使用JavaScript、VBScript、Base64编码、URL编码和PowerShell编写,主要用于下载恶意可执行文件(dllhost.exe),并通过32位PowerShell进程执行它,提取并部署Remcos RAT。
https://hackread.com/hackers-use-excel-files-remcos-rat-variant-windows/
2 GodFather恶意软件扩大攻击范围瞄准全球500个银行和加密应用
安全研究员最近发现了GodFather安卓银行木马的新型变种通过钓鱼网站分发,并跟踪访问者数量以规划进一步行动。其中一个钓鱼网站“mygov-au[.]app”伪装成澳大利亚政府的官方MyGov网站。该变种现已瞄准超过500个银行和加密货币应用程序。最初,GodFather主要集中在英国、美国、土耳其、西班牙和意大利等地,但现在已扩展到日本、新加坡、希腊和阿塞拜疆。该新变种将Java代码转为Native代码,增加了检测和分析的难度,利用辅助功能来捕获目标应用的凭证,降低用户警觉。同时新变种还增加了新的指令,使木马能够自动化手势操作,模拟用户行为,执行未经授权的交易。
https://cyble.com/blog/godfather-malware-targets-500-banking-and-crypto-apps-worldwide/
3 VEILDrive攻击利用 Microsoft 服务逃避检测并分发恶意软件
安全研究员披露了一项称为VEILDrive的持续威胁活动。攻击者利用了受信任的微软合法服务,通过Teams、SharePoint、Quick Assist和OneDrive等服务分发鱼叉式网络钓鱼攻击并存储恶意软件,这种基于云的策略使威胁者能够避开传统的监控系统,最后便是部署了基于Java的恶意软件,通过使用OneDrive实现命令执行。该Java恶意软件使用硬编码的Entra ID(原Azure Active Directory)凭据连接到攻击者控制的OneDrive账户,通过Microsoft Graph API在受感染系统上获取并执行PowerShell命令。它还包含一个备用机制,初始化一个到远程Azure虚拟机的HTTPS套接字,用于接收并执行PowerShell上下文中的命令。
https://thehackernews.com/2024/11/veildrive-attack-exploits-microsoft.html
4 CISA披露了多个工业设备具有安全漏洞
CISA在10月31日发布的一份新的ICS安全公告中,详细描述了四组最近发现的漏洞,其中罗克韦尔自动化 FactoryTalk ThinManager带有CVE-2024-10386以及CVE-2024-10387攻击者可以通过发送精心构造的消息来操纵数据库或拒绝服务(DoS)攻击,并且可以实现远程方式利用,且攻击复杂度较低。三菱电机FA工程软件产品带有CVE-2023-6943,攻击者可以通过远程调用一个指向恶意库的函数来执行恶意代码,从而未经授权地披露、篡改、销毁或删除产品信息,或对产品造成拒绝服务(DoS)攻击。三菱电机MELSEC iQ-R系列/iQ-F系列带有CVE-2023-2060,这是一个FTP功能中的认证绕过漏洞是由于弱密码要求导致的,它允许远程未认证的攻击者通过字典攻击或密码嗅探访问模块。
https://www.infosecurity-magazine.com/news/cisa-critical-vulnerabilities-ics/
5 NetIQ iManager被披露含有多个安全漏洞
NetIQ iManager 是一款企业目录管理工具,用于提供对网络管理工具和内容的安全远程访问。近期,安全研究人员在OpenText的NetIQ iManager产品中发现了近十几个安全漏洞,其中包括一些可能被链式利用以实现无需身份验证的远程代码执行(RCE)的漏洞。其中,安全人员所发现的11个漏洞可以单独被利用来进行跨站请求伪造(CSRF)、服务器端请求伪造(SSRF)、远程代码执行(RCE)、任意文件上传、身份验证绕过、文件披露和权限提升。攻击者可以通过诱导连接到企业网络的用户访问恶意网站,从而触发这些漏洞。一旦成功,攻击者不仅能够控制iManager实例,还可以获取管理员的凭据,并滥用这些凭据代表管理员执行操作。
https://www.securityweek.com/yahoo-discloses-netiq-imanager-flaws-allowing-remote-code-execution/
6 Ollama AI 框架被曝出六个安全漏洞
近期,网络安全研究人员披露了Ollama人工智能(AI)框架中的六个安全漏洞,这些漏洞可能允许攻击者通过单个HTTP请求执行广泛的恶意操作,包括拒绝服务(DoS)、模型投毒和模型盗窃。Ollama是一个开源应用程序,允许用户在Windows、Linux和macOS设备上本地部署和操作大型语言模型(LLMs)。该项目在GitHub上的仓库已被转发了7600次。其中CVE-2024-39719、CVE-2024-39720、CVE-2024-39721、CVE-2024-39722漏洞都在Ollama的0.1.47版本修复了,但可能导致通过/api/push终端节点向不受信任的目标进行模型盗窃(无CVE标识符)的两个漏洞尚未修复,Ollama的维护者对此建议用户通过代理或Web应用防火墙过滤那些端点,以避免暴露在互联网上。
https://thehackernews.com/2024/11/critical-flaws-in-ollama-ai-framework.html
页:
[1]