每日安全简讯(20250120)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 俄罗斯Star Blizzard组织针对WhatsApp展开最新网络钓鱼攻击
俄罗斯网络威胁组织Star Blizzard(前身为SEABORGIUM)发动了一场新的针对WhatsApp账户的网络钓鱼攻击。这一活动标志着该组织的攻击手法发生了转变,旨在规避检测。据微软威胁情报团队报告,Star Blizzard的主要目标包括政府和外交部门现任及前任官员、涉及俄罗斯研究的国防政策专家、国际关系学者,以及为乌克兰提供援助的个人。攻击通常通过伪装成美国政府官员的电子邮件开始,邮件中包含了一个QR码,声称邀请受害者加入一个关于“支持乌克兰非政府组织的最新举措”的WhatsApp群组。QR码实际上是被故意损坏的,诱使受害者进一步响应。一旦受害者点击缩短链接,便会被引导至一个伪装的网页,要求扫描二维码并登录WhatsApp,这样攻击者便能未经授权访问其WhatsApp消息。
https://thehackernews.com/2025/01/russian-star-blizzard-shifts-tactics-to.html
2 新发现的UEFI Secure Boot漏洞允许加载恶意引导程序
研究人员揭示了一个已修复的UEFI Secure Boot漏洞(CVE-2024-7344,CVSS评分:6.7),该漏洞可能允许攻击者绕过Secure Boot机制,从而在系统启动时加载恶意引导程序(bootkit)。该漏洞存在于由微软签署的第三方UEFI证书的UEFI应用程序中,影响了多款实时系统恢复软件。漏洞的根源在于使用了自定义的PE加载器,未采用标准的UEFI函数,这使得受影响的应用程序能够加载任何UEFI二进制文件,包括未签名文件。攻击者利用这一漏洞,可以在操作系统加载之前执行未经授权的代码,甚至在系统重启或操作系统重新安装后仍能保持持续的访问权限。这种攻击方式能够避开基于操作系统的安全措施如EDR,且会在UEFI上下文中隐蔽地存在。
https://www.welivesecurity.com/en/eset-research/under-cloak-uefi-secure-boot-introducing-cve-2024-7344/
3 黑客利用图像隐藏恶意代码部署VIP键盘记录器与0bj3ctivity信息窃取器
研究人员揭示了黑客如何通过隐藏恶意代码于图像中,成功部署VIP键盘记录器和0bj3ctivity信息窃取器的攻击活动。攻击者首先通过伪装成发票或采购订单的钓鱼邮件,诱使受害者打开带有恶意附件的电子邮件,这些附件通常是包含已知Equation Editor漏洞(CVE-2017-11882)利用的Excel文档。一旦文档被打开,恶意VBScript脚本会被触发,进一步下载并执行PowerShell脚本,进而从archive[.]org下载一张图像,提取其中的Base64编码内容。经过解码后,恶意的.NET加载器会被执行,随后下载并运行VIP键盘记录器,从受感染系统窃取广泛的敏感数据,如键盘输入、剪贴板内容、截图和凭证。
https://threatresearch.ext.hp.com/hp-wolf-security-threat-insights-report-january-2025/
4 Clop勒索病毒利用Cleo文件传输漏洞攻击多家公司
Clop勒索病毒团伙声称通过利用Cleo文件传输软件的漏洞,攻破了59家公司,并将其数据上传至暗网泄露站点。该漏洞(CVE-2024-50623,CVSS评分8.8)影响了多个Cleo产品,包括Harmony、VLTrader和LexiCom,导致远程代码执行风险。2024年12月,美国网络安全和基础设施安全局(CISA)将这一漏洞列入已知的已被利用漏洞(KEV)目录,并建议所有受影响产品的用户立即升级补丁。然而,安全公司Huntress发现,尽管已发布补丁,更新后的系统仍可能受到该漏洞的影响。Clop勒索病毒团伙表示,已联系到受害公司,但在未达成赎金协议的情况下,威胁于2025年1月18日发布盗取的数据。尽管有多家公司(如美国赫兹租车公司)否认遭遇数据泄露,但Clop仍宣称其目标受害者已被攻破,情况引发广泛关注。
https://securityaffairs.com/173135/cyber-crime/clop-ransomware-gang-claims-hack-of-cleo-file-transfer-customers.html
5 W3 Total Cache插件漏洞暴露百万个WordPress站点面临攻击风险
W3 Total Cache插件的严重漏洞影响了超过100万个WordPress网站,可能让攻击者访问各种敏感信息,包括云应用的元数据。该插件通过多种缓存技术优化网站速度并提升SEO排名。漏洞(CVE-2024-12365)源于‘is_w3tc_admin_page’函数缺乏权限检查,允许攻击者访问插件的安全Nonce值并执行未授权操作。若攻击者已认证且至少为订阅者级别,就可利用该漏洞。实际风险包括服务器端请求伪造(SSRF)、信息泄露及服务滥用(导致缓存服务消耗并影响网站性能)。攻击者还可能利用该漏洞通过受感染站点代理请求,从而收集数据并进一步发起攻击。
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/w3-total-cache/w3-total-cache-281-authenticated-subscriber-missing-authorization-to-server-side-request-forgery
6 研究发现Active Directory限制未能阻止NTLMv1身份验证漏洞
研究人员发现,尽管微软的Active Directory组策略旨在禁用NT LAN Manager(NTLM)v1身份验证,但通过简单的配置错误,攻击者仍可绕过这一限制。NTLM协议在Windows环境中广泛用于用户身份验证,但由于多种安全漏洞,NTLMv1自2024年起被弃用,并且从Windows 11 24H2版本及Windows Server 2025起完全移除。研究员在报告中指出,某些本地应用程序配置错误可能会使得NTLMv1认证得以绕过Active Directory的组策略设置。研究表明,通过Netlogon远程协议(MS-NRPC)的设置,攻击者可以强制启用NTLMv1身份验证,尽管系统配置了禁用NTLMv1的策略。这一发现表明,组织可能误认为已采取适当的安全措施,但由于应用程序配置错误,仍然存在NTLMv1身份验证的风险。
https://www.silverfort.com/blog/ntlmv1-bypass-in-active-directory-technical-deep-dive/
页:
[1]