每日安全简讯(20250127)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 黑客利用假恶意软件构建器感染18000名初级黑客
近日,一名黑客采用了假的恶意软件构建器,瞄准了技术水平较低的黑客群体,即所谓的“脚本小子”。据CloudSEK安全研究人员报告,此次攻击共感染了全球18459台设备,主要分布在俄罗斯、美国、印度、乌克兰和土耳其。被称为XWorm RAT的木马版本,通过GitHub仓库、文件托管平台、Telegram频道、YouTube视频和网站等渠道被散播。一旦设备被感染,XWorm恶意软件会检查Windows注册表,判断是否运行在虚拟环境中,并据此决定是否继续活动。如果设备符合感染条件,恶意软件会修改注册表,确保它能在系统启动时持续运行。此外,每台被感染的系统都会被注册到一个基于Telegram的命令和控制服务器,通过预设的Telegram机器人ID和令牌进行通信。恶意软件还会自动盗取Discord令牌、系统信息和基于IP地址的位置数据,并将其传送到C2服务器。然后,它会等待操作者的命令。
https://www.cloudsek.com/blog/no-honour-among-thieves-uncovering-a-trojanized-xworm-rat-builder-propagated-by-threat-actors-and-disrupting-its-operations
2 朝鲜黑客通过RID劫持创建隐藏Windows管理员账户
朝鲜的网络威胁组织Andariel利用一种名为RID劫持的技术,在Windows系统中创建隐藏的管理员账户。这种技术通过将低权限用户账户的相对标识符(RID)修改为管理员账户的RID,使得Windows授予该账户高级访问权限。这一过程需要访问系统账户管理(SAM)注册表,因此攻击者首先需要侵入系统并获得系统级访问权限。Andariel通过利用系统漏洞获得系统访问权限,随后使用PsExec和JuicyPotato等工具提升权限。尽管系统访问权限是Windows中的最高权限,但它无法进行远程访问、与GUI应用交互、过于显眼容易被检测,并且不能在系统重启后持续存在。
https://asec.ahnlab.com/en/85942/
3 多行业遭遇假CAPTCHA验证活动传播Lumma信息窃取器
研究人员揭示了一种利用假CAPTCHA验证测试来传播臭名昭著的Lumma信息窃取器的恶意软件活动。这一全球性活动影响了包括阿根廷、哥伦比亚、美国、菲律宾等国家的多个行业,尤其是电信行业遭受的攻击最为严重。攻击链开始于受害者访问一个被篡改的网站,该网站将他们重定向到一个伪造的CAPTCHA页面。页面特别指示用户将一个命令复制并粘贴到Windows的运行提示中,通过使用本地的mshta.exe二进制文件从远程服务器下载并执行一个HTA文件。这个HTA文件随后执行一个PowerShell命令,启动下一阶段的负载,这是一个PowerShell脚本,负责解码和加载Lumma载荷。在此之前,该脚本采取措施绕过Windows的反恶意软件扫描接口(AMSI),以便逃避检测。Lumma信息窃取器采用恶意软件即服务(MaaS)模型运行,近几个月来活动非常频繁。通过使用不同的传递方法和负载,它使得检测和阻止此类威胁变得更加复杂,尤其是在滥用系统内用户交互的情况下。
https://www.netskope.com/blog/lumma-stealer-fake-captchas-new-techniques-to-evade-detection
4 Palo Alto Networks解决其防火墙的BIOS和引导程序漏洞影响
安全公司Eclypsium警告称,Palo Alto Networks的防火墙受到BIOS和引导程序缺陷的影响,但Palo Alto Networks表示用户无需担心。Eclypsium发现Palo Alto Networks的几款防火墙产品存在已知的BIOS和引导程序漏洞。Palo Alto Networks回应称,他们正致力于修补部分缺陷,同时指出大多数安全漏洞要么不易被利用,要么实际上不影响其产品。Eclypsium获得了Palo Alto Networks的三种设备:PA-3260(已停售,计划于 2028 年停止服务)、PA-1410和PA-415。对这三款防火墙的分析显示,它们都受到名为BootHole的 GRUB2引导程序漏洞的影响,该漏洞可以被利用来安装持久和隐蔽的恶意软件。该漏洞影响全球数十亿设备,并允许攻击者绕过安全启动机制,但利用该漏洞需要提升权限。Palo Alto Networks表示,攻击者需要先攻破PAN-OS系统并获得Linux根权限才能利用此漏洞。然而,Eclypsium指出,通过结合最近公开的两个PAN-OS漏洞CVE-2024-0012和CVE-2024-9474,攻击者可能能够获得所需的权限,这两个漏洞已在野外被用于攻击防火墙。
https://eclypsium.com/research/pandoras-box-vulns-in-security-appliances/
5 Subaru Starlink缺陷让黑客在美国和加拿大劫持汽车
安全研究人员发现Subaru的Starlink服务存在一个任意账户接管漏洞,该漏洞使攻击者能够仅通过车牌在美国、加拿大和日本追踪、控制和劫持车辆。悬赏猎人Sam Curry透露,他与研究者Shubham Shah合作于2024年11月20日发现了这一漏洞。他们发现这一安全漏洞使潜在攻击者能够无限制地针对所有美国、加拿大和日本的客户账户和车辆。所需的唯一条件是之前知道受害者的姓氏和邮政编码、电子邮件地址、电话号码或车牌。研究人员发现,Subaru Starlink的管理员门户中包含一个任意账户接管漏洞,源自一个设计用于允许Subaru员工使用有效电子邮件重置其账户的“resetPassword.json” API 端点,而无需确认令牌。在接管员工账户后,Curry还必须绕过访问门户的两因素认证(2FA)提示。然而,这也通过从门户的用户界面中删除客户端覆盖层轻松绕过。
https://samcurry.net/hacking-subaru
6 微软宣布90天后将废弃WSUS的驱动程序同步功能
微软公司近日提醒Windows管理员,Windows Server Update Services(WSUS)中的驱动程序同步功能将于2025年4月18日停用,即从现在起90天后。该公司首次在2024年6月宣布了此项计划,并鼓励客户采用其较新的基于云的驱动服务。微软指出,对于本地环境,虽然驱动程序将在Microsoft更新目录中可用,但无法将其导入到WSUS中。微软建议用户采用其他可用的解决方案,例如设备驱动包,或过渡到云基础的驱动服务,如Microsoft Intune和Windows Autopatch。此外,尽管WSUS的部分功能已于2025年开始被列为不再开发,微软仍计划通过WSUS渠道继续发布更新并维护现有功能。WSUS自2005年推出以来,一直是IT管理员管理和分发Microsoft产品更新的重要工具,提供了集中控制更新的能力。微软鼓励企业在WSUS停用后,采用基于云的解决方案进行客户端和服务器更新,如Windows Autopatch、Azure Update Manager和Microsoft Intune。
https://learn.microsoft.com/en-us/windows/release-health/windows-message-center#3474
页:
[1]