每日安全简讯(20250304)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 研究人员披露Lotus Blossom组织发起的攻击活动
研究人员发现了多起针对政府、制造业、电信和媒体的网络间谍活动,攻击者在这些活动中使用了Sagerunex后门和其他黑客工具,用于进行入侵后的攻击活动。研究人员将这些攻击归因于名为Lotus Blossom的攻击组织。Lotus Blossom自2012年以来就一直进行网络间谍活动,并且至今仍在进行。研究人员观察到Lotus Blossom使用特定命令在系统注册表中植入其Sagerunex后门,并在受害计算机中为其创建服务从而获得持久性。Lotus Blossom还开发了Sagerunex的新变种,这些变种不仅使用传统的命令和控制(C2)服务器,还使用合法的第三方云服务,如Dropbox、Twitter和Zimbra开源网络邮件作为C2隧道。
https://blog.talosintelligence.com/lotus-blossom-espionage-group
2 Dark Caracal组织使用Poco RAT进行攻击活动
Dark Caracal组织自2012年以来一直从事网络攻击雇佣业务,该组织受雇发起网络攻击,目标包括政府机构、军事组织、活动人士、记者和商业实体。该组织依赖Bandook后门进行攻击,多年来对其进行了多次修改,目前已知只有Dark Caracal组织使用它。研究人员发现一个恶意样本,网络安全社区根据其C++代码库中的POCO库将其命名为Poco RAT。该恶意软件具备一整套间谍功能,包括可以上传文件、捕获屏幕截图、执行命令和操纵系统进程。研究人员根据其战术、技术和程序(TTP)的特点将其与Dark Caracal联系在一起,认为Dark Caracal组织在其武器库中新增了Poco RAT。
https://global.ptsecurity.com/analytics/pt-esc-threat-intelligence/the-evolution-of-dark-caracal-tools-analysis-of-a-campaign-featuring-poco-rat
3 研究人员披露LARVA-208组织发起的攻击活动
Larva-208(又名“EncryptHub”)组织一直在全球范围内针对组织发起鱼叉式网络钓鱼和社会工程攻击,以获取企业网络的访问权限。研究人员披露,自2024年6月以来,该组织已入侵至少618个组织。获得访问权限后,该攻击组织会植入远程监控和管理(RMM)软件,然后部署Stealc和Rhadamanthys等窃密木马。在许多观察到的案例中,该组织还会在受感染的系统上部署勒索软件。研究人员称,该组织与RansomHub和BlackSuit存在关联,过去曾在攻击活动中部署过这两种勒索软件。
https://catalyst.prodaft.com/public/report/larva-208/overview
4 PingAM Java Agent中存在一个安全漏洞
Ping Identity已为其PingAM Java Agent发布紧急安全公告,揭示了一个安全漏洞(CVE-2025-20059),该漏洞使攻击者能够绕过策略执行机制,并能够未经授权访问受保护的资源。该漏洞被归类为相对路径遍历漏洞,CVSS评分为9.8,对使用PingAM进行混合云身份验证的企业构成系统性风险。目前尚未存在与此漏洞相关的入侵事件。
https://cybersecuritynews.com/pingam-java-agent-vulnerability/
5 开源安全平台Wazuh中存在一个安全漏洞
Wazuh是一个用于威胁检测和合规性监控的流行开源安全平台,在该平台中存在一个远程代码执行(RCE)漏洞。该漏洞被标识为CVE-2025-24016,CVSS评分为9.9,允许具有API访问权限的攻击者在服务器上执行任意Python代码,对受影响的系统构成重大威胁。 该漏洞源于Wazuh API的DistributedAPI组件中的不安全反序列化,攻击者可以通过将未经清理的字典注入DistributedAPI(DAPI)请求或响应来利用此漏洞,从而执行任意代码。目前Wazuh 4.9.1版本及更高版本已修复该漏洞。
https://cybersecuritynews.com/wazuh-server-vulnerability-rce/
6 休斯顿交响乐团遭到Qilin勒索组织攻击
Qilin勒索组织将休斯顿交响乐团添加至其勒索网站中,并声称窃取的文件超过300GB。该勒索组织在网站上共发布了六个数据样本,包括休斯顿交响乐团2024年10月预算报告、现金流表以及包含交响乐团2030年战略计划和2024年进展情况的投资者资料包。这些数据样本中还显示了所有董事会和受托人成员的数据集,其中列出了个人身份信息(PII),例如姓名、地址、个人和商务电话号码以及个人和商务电子邮件地址。然而,后来勒索组织在其网站中移除了休斯顿交响乐团,推测这是因为该艺术组织已与勒索组织取得联系,并可能正在就赎金要求进行谈判。
https://cybernews.com/news/houston-symphony-qilin-ransomware-attack/
页:
[1]