Atgiant 发表于 2024-12-9 19:57

每日安全简讯(20241210)

免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 RedLine窃密木马通过盗版企业软件攻击俄罗斯企业

自2024年1月起,RedLine信息窃取活动持续针对俄罗斯企业,利用盗版的企业业务自动化软件进行传播。攻击者在会计和商业论坛发布伪装为HPDxLIB激活器的恶意版本,该版本使用.NET开发并携带自签名证书,而合法版本则使用C++开发并具有有效签名。根据卡巴斯基的报告,攻击者通过层层加密和.NET Reactor工具对恶意代码进行混淆,同时提供详细说明指导用户禁用安全软件以运行激活器。被感染的用户在执行替换了恶意库的补丁程序后,合法的1cv8.exe进程将加载恶意库,从而启动RedLine窃取器。RedLine恶意软件自2020年活跃以来,能够窃取受害者系统中的敏感数据,包括登录凭据、浏览器历史、信用卡信息及加密钱包。此次活动显示攻击者的目标集中在使用业务自动化软件的企业用户,而非个人用户,这种复杂的伪装方式在类似攻击中颇为罕见。

https://securelist.ru/redline-stealer-in-activators-for-business-software/111241/

2 Python包“aiocpa”被揭露为加密货币窃取工具

ReversingLabs(RL)的机器学习威胁狩猎系统近日发现,PyPI中的合法外观Python包“aiocpa”被用于窃取加密货币钱包。该包伪装为同步和异步的加密支付API客户端,已被下载超过12100次。攻击者通过发布多个版本建立信任,并在版本0.1.13及之后的更新中植入恶意代码。此代码通过多层加密隐藏,旨在窃取加密交易令牌,可用于转移受害者的钱包资金。攻击者甚至试图接管已有的PyPI项目“pay”,以扩展受害者范围。传统应用安全测试工具未能检测出此攻击,因为恶意代码未出现在其GitHub代码库中。然而,RL的Spectra Assure系统通过行为分析及时识别了威胁,并于2024年11月向PyPI报告,该包随后被移除。此次事件表明,开源软件供应链威胁日益复杂,用户需定期评估第三方代码和工具。PyPI用户应警惕包名接管攻击,并通过固定依赖项及版本号来防止恶意更新。

https://hackread.com/aiocpa-python-package-cryptocurrency-infostealer/

3 美国CISA将CyberPanel漏洞列入已知利用漏洞目录

美国网络安全与基础设施安全局(CISA)将CyberPanel的高危漏洞CVE-2024-51378(CVSS评分:10.0)列入其“已知利用漏洞”(KEV)目录。此漏洞存在于CyberPanel的dns/views.py和ftp/views.py中,允许攻击者通过操作statusfile属性中的Shell元字符绕过secMiddleware认证并执行任意命令。该漏洞影响CyberPanel 2.3.6及之前版本,以及未完全修复的2.3.7版本。在2024年10月的大规模攻击中,攻击者利用此漏洞部署了PSAUX勒索软件,目标是22000多个在线暴露的CyberPanel实例,其中美国占近一半(10170个)。PSAUX勒索软件自2024年6月以来一直活跃,专门利用暴露的Web服务器漏洞和错误配置进行攻击。CISA根据BOD 22-01指令要求联邦机构在2024年12月25日前修复此漏洞,以减少漏洞利用风险。此外,专家建议私营企业检查自身基础设施,并针对KEV目录中的漏洞采取补救措施。

https://securityaffairs.com/171736/hacking/u-s-cisa-adds-cyberpanel-flaw-known-exploited-vulnerabilities-catalog.html

4 数百台Cisco交换机受引导加载程序漏洞影响

Cisco NX-OS软件的启动加载器存在一个漏洞(CVE-2024-20397,CVSS评分:5.2),影响超过100款交换机设备。此漏洞允许攻击者绕过镜像签名验证,加载未经验证的软件。根据Cisco的安全公告,攻击者可以通过物理访问设备或使用本地管理员凭据,执行一系列启动加载器命令以触发漏洞。这一问题源于启动加载器配置的不安全设置,可能导致系统运行未经验证的NX-OS镜像,从而威胁设备的完整性。目前,Cisco尚未发现该漏洞在野利用的案例,并表示部分已停止漏洞支持的设备(如Nexus 92160YC-X)将不会收到修复补丁。此外,此漏洞没有适用的临时解决方案,用户需尽快升级至补丁版本的BIOS以确保安全。此次事件警示了硬件设备启动过程安全的重要性,建议企业优先更新受影响设备,并加强设备物理安全防护。

https://securityaffairs.com/171729/security/cisco-switches-bootloader-flaw-cve-2024-20397.html

5 Anna Jaques医院通报2023年勒索软件攻击影响31.6万人

Anna Jaques医院(AJH)于2023年圣诞节遭受勒索软件攻击,导致其电子健康记录系统(EHR)中断,并被迫将救护车转移至其他医院。攻击由Money Message组织发起,该团伙声称窃取了600GB数据,包括患者的个人和健康信息。尽管攻击发生后AJH在2024年1月23日发布了初步声明,但直至12月5日才向缅因州总检察长办公室报告,共316342人受到影响。受影响的数据可能包括患者的个人信息、健康保险信息、社会安全号码、驾驶执照号码及财务信息等。尽管AJH在声明中提到某些文件“可能被未经授权的第三方访问”,但实际情况是这些文件已被窃取并在暗网公开泄露。AJH的通知措辞引发外界质疑,其未明确告知患者数据已泄露的事实,并将通知措辞为“出于谨慎”,而事实上这一通知为法律要求。医院缺乏透明度的行为被批评可能会妨碍患者准确评估自身风险。

https://databreaches.net/2024/12/07/anna-jaques-hospital-notifies-316300-people-about-2023-ransomware-attack/

6 研究人员发现可利用QR码实现隔离浏览器环境下的C2通信

SpecterOps团队早前发布了一篇关于绕过浏览器隔离环境的技术博客,而Mandiant的红队更进一步,提出了利用QR码完成命令与控制(C2)通信的新方法。在浏览器隔离环境中,传统的HTTP响应无法直接被本地浏览器解码,因为用户仅能接收到像素流,而非实际的HTTP数据响应。Mandiant的方案创新性地通过QR码传递命令数据。具体过程如下:恶意植入程序使用无头浏览器(如Puppeteer)向C2服务器请求页面,服务器返回包含命令数据的HTML页面,其中命令以QR码的形式嵌入。远程浏览器将页面以像素流的方式传回本地浏览器,植入程序通过截图捕获QR码并使用嵌入的QR扫描库解码命令,然后执行对应任务。植入程序将命令输出编码到URL参数中,通过浏览器访问特定URL将结果传回C2服务器。通过这一循环,攻击者可以在高度隔离的浏览器环境中实现隐蔽的数据传输。

https://cloud.google.com/blog/topics/threat-intelligence/c2-browser-isolation-environments/


页: [1]
查看完整版本: 每日安全简讯(20241210)