每日安全简讯(20250318)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 安天发布《台湾“绿斑“攻击组织使用开源远控木马的一组钓鱼攻击分析》
2024年下半年,安天应急响应中心跟踪到“绿斑”组织针对我国特定行业目标的APT攻击活动。攻击者向目标单位的官方账号发鱼叉式钓鱼邮件,引导目标点击链接访问伪装成某单位的恶意网站,该网站主动跳转下载,诱导受害者保存并执行伪装成PDF图标的下载器程序,下载器负责获取和解密伪装成视频后缀的恶意载荷在内存中运行。截止目前观察到的恶意载荷主要是Sliver远控木马等开源的命令与控制框架,攻击者以此对目标开展长期的主机控制、网络横向移动和窃密活动。
https://mp.weixin.qq.com/s/mxDczIvNJgSKw0b7bllfTQ
2 研究人员发布用于解密Linux版Akira勒索软件的解密器
研究人员发布了一个用于解密Linux版Akira勒索软件的解密器,该解密器利用GPU来检索解密密钥并解密文件。该解密器通过利用Akira勒索软件基于当前时间(以纳秒为单位)作为种子生成加密密钥这一特点,来暴力破解加密密钥。研究人员使用了16个RTX 4090 GPU在大约10小时内暴力破解解密密钥,但是根据需要恢复的加密文件数量,整个过程可能需要几天时间。研究人员在报告中指出,代码还可以得到进一步的优化,因此性能可能还会得到提高。该研究人员已在GitHub上提供了解密器,并提供了有关如何恢复Akira加密文件的说明。
https://www.bleepingcomputer.com/news/security/gpu-powered-akira-ransomware-decryptor-released-on-github/
3 攻击者传播恶意Microsoft OAuth应用程序以窃取凭据
攻击者正在推广冒充Adobe和DocuSign的恶意Microsoft OAuth应用程序,以传播恶意软件并窃取 Microsoft 365帐户凭据。这些攻击活动针对美国和欧洲的多个行业,包括政府、医疗保健、供应链和零售业。这些恶意应用程序请求访问一些较低的权限以规避检测。虽然接受恶意Microsoft OAuth应用程序的权限仅向攻击者提供了有限的数据,但这些信息仍可被用于进行更有针对性的攻击。此外,一旦用户授予恶意OAuth应用程序权限,它会将用户重定向到网络钓鱼表单或传播恶意软件的页面。
https://www.bleepingcomputer.com/news/security/malicious-adobe-docusign-oauth-apps-target-microsoft-365-accounts/
4 研究人员发现Delphi语言中存在内存损坏漏洞
研究人员发现Delphi编程语言中存在严重的内存损坏漏洞,这些风险可能导致受影响的软件程序崩溃、数据泄露、甚至远程代码执行。这些漏洞与Delphi处理内存管理有关,尤其是在数组、字符串和对象分配等方面。研究人员的研究表明,即使启用了一些安全机制,Delphi中的编程错误也可能导致可利用的安全漏洞。研究团队构建了多个概念验证示例来演示这些漏洞,重点关注基于堆栈和堆的损坏场景。他们的研究结果表明,虽然调试版本可以通过范围检查捕获一些问题,但使用默认编译器设置的发布版本可能非常容易受到攻击。
https://cybersecuritynews.com/critical-vulnerabilities-in-delphi-code/
5 美国西部联盟银行披露一起数据泄露事件
美国西部联盟银行(WAB)披露了一起影响其客户个人信息的数据泄露事件,该事件发生于2024年10月12日至2024年10月24日之间。调查显示,此次泄露源于第三方供应商安全文件传输软件中的一个漏洞。西部联盟银行和许多其他组织都使用了该软件。未经授权的攻击者利用了这个以前未知的漏洞,获得了对西部联盟银行部分系统的访问权限,并获取了存储在这些系统中的文件副本。西部联盟银行于2025年1月27日发现了未经授权的访问。经过广泛审查,该银行于2025年2月21日确定,泄露的文件中包含属于客户的敏感个人信息。泄露的信息包括客户的姓名、社会安全号码、驾照号码和护照信息。
https://www.claimdepot.com/data-breach/western-alliance-bank
6 攻击者声称出售1200万法国人的数据信息
一个昵称为“Angel_Batista”的网络犯罪分子在黑客论坛上声称出售1200万法国人的个人信息,涉及姓名、家庭住址、联系方式等各类详细信息。攻击者称这些数据是在上个月窃取的,但他没有说明具体的窃取途径,并且该攻击者发布了一份10万人的数据样本,以证明其真实性。攻击者以一万美元的价格出售这些数据,并且只接受买家通过XMR加密货币进行付款。目前这些数据的真实性及有效性尚未经过验证。
https://www.presse-citron.net/alerte-generale-les-donnees-de-12-millions-de-francais-fuitent-en-ligne/
页:
[1]