每日安全简讯(20250119)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Lazarus利用虚假招聘攻击Web3开发者
安全公司SecurityScorecard发布报告,披露朝鲜黑客组织Lazarus集团实施的新一轮攻击行动“99行动”。此次攻击针对全球范围内的Web3和加密货币领域开发者,特别是通过伪造LinkedIn招聘信息吸引受害者。黑客冒充招聘人员,引导开发者克隆恶意GitLab代码库,从而在受害者设备中植入恶意软件。该行动主要目标是窃取源代码、加密货币钱包密钥及其他敏感数据。受害者分布包括意大利、美国、英国、印度等多国。恶意软件采用模块化设计,可跨平台运行,并部署多个功能性负载,用于数据窃取和系统控制。
https://securityscorecard.com/blog/operation-99-north-koreas-cyber-assault-on-software-developers/
2 基于Python的后门助力RansomHub勒索软件攻击
GuidePoint Security披露一起勒索攻击事件,威胁者利用Python后门和SocGholish恶意软件结合,实现对网络的深入渗透并部署RansomHub勒索软件。攻击起源于用户下载伪装成浏览器更新的JavaScript恶意软件,随后20分钟内感染Python后门。该后门通过SOCKS5协议建立隧道,帮助攻击者横向移动,扩散至整个网络。分析显示,后门代码结构清晰、异常精密,或由AI工具协助开发。攻击过程中还利用了RDP会话扩散以及多种工具绕过EDR、窃取凭证和持久化访问。
https://www.guidepointsecurity.com/blog/ransomhub-affiliate-leverage-python-based-backdoor/
3 Black Basta黑客组织90分钟内轰炸超1165封邮件
SlashNext披露了一起模仿黑客组织Black Basta的网络攻击事件。攻击者在短短90分钟内向22个用户邮箱发送了1165封伪造邮件,试图通过大量“账户确认”“订阅通知”等主题的邮件诱骗用户点击恶意链接。邮件利用了真实平台伪装、域名微改动及外语字符等策略,意图混淆用户并绕过传统安全过滤。攻击后期,黑客冒充技术支持,通过电话或消息诱导用户安装远程控制软件如TeamViewer或AnyDesk,从而获得系统访问权限。
https://slashnext.com/blog/inside-90-minute-attack-breaking-ground-with-all-new-ai-defeating-black-basta-tactics/
4 朝鲜IT工作者诈骗案与2016年众筹骗局和虚假域名有关
SecureWorks披露,朝鲜威胁团体的IT工人诈骗计划与2016年的众筹诈骗存在基础设施联系。该计划始于2023年底,涉及朝鲜人员伪装身份,渗透西方公司,为受制裁的国家创造收入。这些IT工人常被派往中国和俄罗斯,通过掩盖真实国籍为前线公司工作,其中包括受到美国制裁的Yanbian Silverstar和Volasys Silver Star。进一步调查发现,这些组织注册的虚假域名曾用于诈骗活动,其中一个域名关联到2016年的IndieGoGo众筹骗局,骗取了21877美元资金。该事件展示了朝鲜威胁团体探索多种非法获利手段的历史轨迹。
https://www.secureworks.com/blog/nickel-tapestry-infrastructure-associated-with-crowdfunding-scheme
5 研究者发现Ivanti Endpoint Manager多版本关键漏洞可获取敏感信息
2025年1月16日,Ivanti发布安全更新修复其Endpoint Manager (EPM)中的四个关键漏洞(CVE-2024-10811、CVE-2024-13161、CVE-2024-13160、CVE-2024-13159),CVSS评分达9.8。这些漏洞允许未经身份验证的远程攻击者通过绝对路径遍历获取敏感信息,影响2024年11月及更早版本的EPM。此外,Ivanti修复了Avalanche和Application Control Engine中的多个高危漏洞,这些漏洞可能导致绕过认证、信息泄露及应用拦截功能失效。尽管目前尚无漏洞被利用的报告,Ivanti表示将强化漏洞检测与修复机制。
https://www.ivanti.com/blog/january-security-update
6 黑客泄露超15000台FortiGate设备配置和VPN凭据
新兴黑客组织“Belsen Group”在暗网公开泄露了超过15000台FortiGate设备的配置文件、IP地址和VPN凭据。这些数据以国家分类,包含防火墙规则、私钥和部分明文密码,严重威胁网络安全。泄露数据与2022年零日漏洞CVE-2022-40684有关,当时攻击者通过该漏洞下载配置文件并创建恶意超级管理员账户。尽管漏洞已修复,但受影响设备的敏感信息仍有可能被滥用,受害者需尽快更新密码并加强防护。
https://doublepulsar.com/2022-zero-day-was-used-to-raid-fortigate-firewall-configs-somebody-just-released-them-a7a74e0b0c7f
页:
[1]