Atgiant 发表于 2024-12-23 20:02

每日安全简讯(20241224)

免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 The Mask APT组织使用跨平台恶意软件武器库攻击拉美高价值目标

The Mask APT组织是一支活跃多年的高级网络间谍组织,自2007年以来针对政府、外交机构和科研机构等高价值目标实施复杂攻击。其最新行动瞄准拉美地区,分别在2019年和2022年对同一组织发起攻击。The Mask采用鱼叉式网络钓鱼邮件获取初始访问权限,利用浏览器零日漏洞感染目标,随后部署跨平台恶意软件,包括FakeHMP、Careto2和Goreto等。攻击者创新性地利用MDaemon邮件服务器和HitmanPro Alert驱动程序作为持久化技术,并通过复杂的多组件工具实现文件窃取、键盘记录和进一步的恶意软件部署。这些行动展示了其高端技术能力和灵活多样的攻击手段,对高价值目标构成严重威胁。

https://thehackernews.com/2024/12/the-mask-apt-resurfaces-with.html

2 APT组织Charming Kitten使用C++版BellaCiao新变种

BellaCiao是一个.NET基础的恶意软件家族,其特点是结合了隐蔽持久性Webshell和秘密隧道功能,于2023年4月首次被发现,并被公开归因于APT组织Charming Kitten。BellaCiao样本的PDB路径提供了丰富信息,包括目标实体、国家和版本编号等。近期,安全研究员捕获到BellaCiao采用C++重构后的新型变种BellaCPP,BellaCPP是一个名为"adhapl.dll"的DLL文件,主要用于运行在Windows服务环境。安全研究员分析发现,BellaCPP与.NET版本的BellaCiao具有相似的DNS请求和SSH隧道功能,以及在受感染设备中同时存在早期BellaCiao样本,将BellaCPP与APT组织Charming Kitten关联。这进一步揭示了该组织不断改进其恶意软件工具库的能力

https://securelist.com/bellacpp-cpp-version-of-bellaciao/115087/

3 针对macOS与Windows发起高级攻击的新型跨平台勒索软件NotLockBit

NotLockBit是一种新兴的跨平台勒索软件,主要针对macOS和Windows系统发起高度复杂的攻击,模仿LockBit的技术但功能更强大。它采用Go语言开发,利用AES和RSA加密对目标文件进行加密,并将窃取的数据存储到亚马逊S3云存储,实现双重勒索。该恶意软件具备强大的隐蔽性,包括删除自身和阴影副本以阻止恢复操作。NotLockBit会优先攻击高价值文件类型,并通过精细的系统侦察制定个性化攻击策略。尤其针对macOS用户,它还通过osascript命令更改桌面背景显示勒索信息。为了防御此类高级威胁,建议企业定期备份关键数据,部署高级检测与响应解决方案,加强网络安全防护,并对员工进行社交工程攻击识别的培训。

https://cybersecuritynews.com/notlockbit/

4 黑客利用Webview2部署CoinLurker木马并绕过安全检测

安全研究员发现了一种Go语言写的新型窃密恶意软件CoinLurker,该恶意软件利用假更新警报传播,利用Microsoft Edge Webview2来触发执行恶意载荷。这种技术依赖于预安装组件和用户交互,难以在沙盒环境中进行分析和检测,从而有效躲避自动化安全措施。此外,CoinLurker通过注入Web3脚本,从Bitbucket存储库上下载伪装的工具,如“UpdateMe.exe”,并以合法的EV证书签名,使得安全检测更加复杂。CoinLurker还使用重度混淆以检查机器是否已经受损,在运行时直接在内存中解码有效负载,以及采取措施使用条件检查、冗余资源分配和迭代内存操作来掩盖程序执行路径以及行为操作。恶意软件在运行后,使用基于套接字的方法启动与远程服务器的通信,并继续从与加密货币钱包相关的特定目录(如比特币、以太坊、Ledger Live、Exodus、Telegram、Discord和FileZilla)收集数据。

https://thehackernews.com/2024/12/hackers-exploit-webview2-to-deploy.html

5 西门子UMC组件存在高危的堆溢出漏洞

西门子发布安全公告,警告其用户管理组件(UMC)中存在一个严重的堆内存溢出漏洞(CVE-2024-49775),可能导致攻击者执行任意代码。受影响的产品包括Opcenter Execution Foundation、SIMATIC PCS neo、SINEC NMS等,这些系统广泛应用于制造业和能源领域,用于分布式控制和网络监控。漏洞的根本原因在于内存处理不当,可能被攻击者用来破坏运营、窃取数据或操控关键系统。西门子已为部分产品提供补丁,并建议限制相关端口(如4002和4004)的访问权限。美国CISA呼吁企业加强纵深防御,遵循西门子安全指南,并密切监控潜在的恶意活动。目前尚无漏洞被公开利用的报告,但相关方需保持警惕,确保工业控制环境的安全。

https://www.govinfosecurity.com/siemens-warns-critical-vulnerability-in-umc-a-27121

6 Builder.ai内部数据库因配置错误暴露1.29TB敏感数据

一家总部位于伦敦的AI开发公司Builder.ai因数据库配置错误,暴露了1.29TB的未加密数据,其中包括300多万条记录。敏感信息涉及客户报价、保密协议、发票、税务文件、电子邮件截图和云存储密钥等,严重威胁客户隐私及内部运营安全。此数据泄露可能导致钓鱼攻击、发票欺诈、未经授权的云访问以及公司声誉受损。尽管安全研究员及时告知,但该公司仍耗时近一个月才完成修复,同时也暴露了该公司事件响应效率不足。安全研究员建议该公司应加强访问控制、数据加密和应急响应计划,并定期进行安全审计,以防止类似事件再次发生。

https://www.websiteplanet.com/news/builderai-breach-report/



页: [1]
查看完整版本: 每日安全简讯(20241224)