每日安全简讯(20200724)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 OilRig使用RDAT后门攻击中东电信组织
Unit42团队在分析针对中东电信组织的攻击活动中,发现与OilRig组织相关后门变种RDAT。该变种使用一种新颖的基于电子邮件的命令和控制(C2)通道,该通道依赖于一种隐写术技术,将命令和数据隐藏在电子邮件附加的位图(BMP)图像中。
https://unit42.paloaltonetworks.com/oilrig-novel-c2-channel-steganography/
2 多模块僵尸网络Prometei利用SMB传播
思科Talos最近发现了一个复杂的攻击活动,其使用了一个名为Prometei的多模块僵尸网络,通过多种传播方式,例如使用被盗凭据的SMB、psexec、WMI和SMB漏洞,最终挖取门罗币以获取经济利益。感染开始于僵尸网络主文件,该文件通过SMB从其它受感染系统复制,使用修改后的Mimikatz模块获取的密码和永恒之蓝等漏洞。Prometei有超过15个可执行模块,所有模块都由主模块下载和驱动,主模块通过HTTP与命令和控制(C2)服务器持续通信。
https://blog.talosintelligence.com/2020/07/prometei-botnet-and-its-quest-for-monero.html
3 Twilio公司SDK遭黑客注入恶意代码
Twilio表示,黑客在访问其配置错误的Amazon AWS S3存储桶之一后,向TaskRouter JS SDK 1.20版本注入了恶意代码。Twilio是一家云通信平台即服务(CPaaS)公司,为4万多家企业提供通信支持,并帮助开发者使用Twilio的web服务API为应用添加语音、视频、消息和认证功能,客户包括Twitter、Netflix、Uber等。该恶意代码使用户的浏览器加载一个与Magecart攻击组相关的额外URL。在至少服务了24小时后,研究人员已将该恶意SDK替换。
https://www.bleepingcomputer.com/news/security/twilio-exposes-sdk-attackers-inject-it-with-malvertising-code/
4 Citrix Workspace存在特权升级漏洞
研究机构在Citrix Workspace应用程序中发现一个漏洞,该漏洞可能允许攻击者进行特权升级,从而远程入侵主机。攻击者可通过利用Workspace应用程序的自动更新功能,从而获得访问易受攻击的Workspace应用程序安装的权限,攻击向量为一个命名管道。目前该漏洞已经被修补,Citrix Workspace用户应该尽快安装最新版本(2006.1或1912 LTSR CU1)。
https://www.theregister.com/2020/07/21/citrix_workspace_app_vuln/
5 英国约克大学遭遇数据泄露安全事件
英国约克大学(University of York)公布了黑客窃取工作人员和学生的个人详细信息的数据泄露事件。该事件源于黑客对第三方服务提供商技术公司Blackbaud的勒索软件攻击,致使黑客能够对Blackbaud客户的数据副本进行操作。被盗数据可能包括姓名、出生日期和学生编号以及地址、电话号码、电子邮件地址和专业详细信息等信息。目前该大学正在对该事件进行调查。
https://www.infosecurity-magazine.com/news/university-york-investigating/
6 黑客在暗网出售近28万Instacart帐户
据报告称,近28万个Instacart帐户在暗网出售。Instacart通过应用程序为客户提供杂货配送服务。被非法出售数据包含客户名、信用卡号和数字、订单历史记录等。该公司发言人表示目前不了解任何数据泄露事件。
https://www.techtimes.com/articles/251323/20200723/280-000-instacart-accounts-allegedly-being-sold-dark-web-company.htm
页:
[1]