Atgiant 发表于 2024-12-7 15:59

每日安全简讯(20241208)

免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Meeten恶意软件伪装成会议应用程序窃取加密货币

自2024年9月以来,网络犯罪分子通过假冒的视频会议平台“Meeten”发起针对Web3从业者的网络攻击,感染Windows和macOS设备以窃取加密资产和敏感信息。“Meeten”恶意软件由Cado Security Labs发现,其背后的攻击者频繁更换品牌名称,包括“Clusee”、“Cuesee”和“Meetio”,并利用AI生成内容搭建伪装成官方的网站与社交媒体账号,增加可信度。受害者通常通过钓鱼或社交工程攻击被引导至“Meeten”网站,下载假冒的会议应用程序。恶意程序“Realst”会在后台窃取加密货币、银行信息、浏览器凭证以及macOS的Keychain数据。针对macOS用户,软件通过“osascript”伪装成系统请求密码,获取权限后窃取Telegram凭证、银行卡信息、硬件钱包数据等,并将数据压缩后发送至远程服务器。

https://www.cadosecurity.com/blog/meeten-malware-threat

2 Ultralytics YOLO AI模型遭到供应链攻击

近日,美国软件公司Ultralytics旗下YOLO11图像识别AI模型被曝遭供应链攻击,版本v8.3.41和v8.3.42中被植入XMRig加密挖矿软件。尽管Ultralytics尚未发布官方安全通告,但已紧急下架受影响的PyPI包,并暂停自动部署以展开调查。此次事件由开发者“metrizable”在GitHub上首次曝光,他通过比对PyPI包与GitHub代码发现恶意代码注入。随后,多位开发者证实了该漏洞,并报告了包括Google Colab在内的系统对受影响版本的访问限制。Ultralytics开发者“Skillnoob”回应确认问题,并建议用户卸载受影响版本。Ultralytics创始人Glenn Jocher在GitHub上表示,此次攻击源于PyPI部署流程的恶意代码注入,攻击者的账号已被追踪到香港并遭封禁。受影响版本v8.3.41和v8.3.42已被移除,Ultralytics于周四发布了修复后的v8.3.43,并在次日推出v8.3.44版本,但未明确提及供应链攻击事件。这次攻击再度暴露了供应链安全的重大风险,与今年类似的攻击事件形成呼应,如3月Top.gg代码库攻击和10月Lottie Player NPM包的加密货币盗窃活动。

https://www.techtarget.com/searchsecurity/news/366616877/Ultralytics-YOLO-AI-model-compromised-in-supply-chain-attack

3 Termite勒索软件袭击供应链平台Blue Yonder

供应链管理平台Blue Yonder及其客户近日遭遇了由新型勒索软件“Termite”发起的攻击。研究显示,“Termite”是臭名昭著的Babuk勒索软件的重命名版本。Cyble研究与情报实验室(CRIL)分析了Termite的样本,并指出该勒索软件已经在其泄露网站上列出七个受害者。技术分析表明,Termite在运行后调用SetProcessShutdownParameters(0, 0) API,以确保其进程在系统关机时最晚被终止,从而获得足够的时间完成加密操作。随后,它利用OpenSCManagerA() API连接至服务控制管理器数据库,获取对系统服务的控制权,并终止特定服务以避免加密过程被中断。这些服务包括veeam、vmms和memtas等。Termite的攻击活动再次警示企业强化网络安全防护措施,特别是在服务管理与供应链平台方面。

https://cyble.com/blog/technical-look-at-termite-ransomware-blue-yonder/

4 研究人员发现泄露NTLM凭据的Windows零日漏洞

研究人员发现了一个影响所有Windows系统(从Windows 7到Windows 11 v24H2和Server 2022)的0day漏洞。该漏洞允许攻击者通过用户在Windows资源管理器中查看恶意文件来窃取其NTLM凭据,例如通过访问共享文件夹、USB磁盘,或查看从攻击者网站自动下载至“下载”文件夹的文件。此漏洞已报告给微软,但目前尚未发布官方补丁。研究团队提供了免费的微补丁,直到微软推出官方修复方案为止。微补丁适用于多个Windows版本,包括Windows 7、Windows 10、Windows 11以及Server系列操作系统。此外,该漏洞是继Windows主题文件漏洞和“网络标记”(Mark of the Web)漏洞后的第三个0day问题,而这些问题至今仍未获得官方修复。另有多个NTLM相关的漏洞(如PetitPotam和DFSCoerce)被标记为“不会修复”,但0patch提供了相应的保护方案。

https://blog.0patch.com/2024/12/url-file-ntlm-hash-disclosure.html

5 欧洲警方捣毁与网络犯罪市场相关的欺诈购物网站

在欧洲刑警组织(Europol)的支持下,一个复杂的网络犯罪组织因其大规模在线欺诈活动被成功瓦解。该行动由德国汉诺威警察局和费尔登检察官办公室牵头,并得到欧洲多国执法机构的协助。行动中,50多台服务器被查封,超过200TB的数字证据被收集,两名主要嫌疑人被拘留。调查始于2022年秋季,当时有人举报伪装成银行员工的电话诈骗行为。相关数据被追踪到一个专门的在线市场,该市场集中交易非法获取的信息,为犯罪分子提供按地区和账户余额分类的数据,助其高效实施定向欺诈。此外,调查揭示了多个伪造的在线购物网站,这些网站通过钓鱼方式诱骗用户输入支付信息,并将窃取的凭证在市场上出售,带来可观利润。2024年12月4日,执法行动在德国、奥地利、芬兰、荷兰和挪威同时展开,涉及搜查和拆除与该市场及虚假网站相关的基础设施。两名分别在德国和奥地利落网的嫌疑人现已被关押候审。

https://www.europol.europa.eu/media-press/newsroom/news/fraudulent-shopping-sites-tied-to-cybercrime-marketplace-taken-offline

6 美国逮捕一名参与Scattered Spider多起网络攻击的德州少年

美国联邦调查局(FBI)近日逮捕了一名来自德克萨斯州沃斯堡的19岁黑客Remington Goy Ogletree,指控其参与网络犯罪团伙Scattered Spider的多起网络攻击。据指控,Ogletree从2023年10月至今年5月间,通过钓鱼攻击获取两家电信公司和一家美国国家级银行的凭证与未授权访问权限,随后窃取了包括API密钥和加密货币在内的数据,并将访问权限出售给黑市威胁行为者。Ogletree还被指控利用被入侵的电信平台发送了约850万条钓鱼短信,试图窃取加密货币。他还通过另一电信网络发送了14万条伪造短信,目标是某金融机构员工的账户信息。被捕后,他承认自己是Scattered Spider组织的成员,并透露该团伙倾向于攻击安全防护较弱的业务流程外包(BPO)公司,并声称该组织已入侵五家顶级BPO企业。Scattered Spider以招募年轻的英语母语者实施大胆的社会工程攻击而闻名,其臭名昭著的案件包括去年对凯撒娱乐和MGM度假村的赌场勒索软件攻击案。

https://www.darkreading.com/cyberattacks-data-breaches/texas-teen-arrested-scattered-spider-telecom-hacks


页: [1]
查看完整版本: 每日安全简讯(20241208)