每日安全简讯(20220720)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 安天发布关于定时破坏Linux系统事件的分析报告
近日,安天CERT监测到一起针对Linux系统的破坏性攻击活动。恶意代码在系统时间2022年6月20日0时之后触发破坏功能,导致感染的用户因系统无法正常启动而感知到了恶意代码的存在。该样本执行后,会将curl、top等系统命令劫持为恶意代码,并创建计划任务,实现持久化驻留。定时条件触发后,样本会尝试删除root账户、破坏启动扇区、系统引导文件和Linux内核,使系统无法正常启动,然后删除系统中的特定文件,破坏业务系统环境,最后清除日志,抹除痕迹。根据样本代码中出现的汉字字符串内容,推测本次攻击的目标为国内人员。经验证,安天智甲终端防御系统(简称IEP)Linux版本可实现对该木马的有效查杀和对用户终端的切实防护。
https://mp.weixin.qq.com/s/EYIYWbnFFcnitu2Pz9wIpg
2 研究人员发现新的CloudMensis恶意软件针对Mac
未知的威胁行为者正在使用以前未被检测到的CloudMensis恶意软件对macOS设备部署后门,并在一系列具有高度针对性的攻击中窃取信息。CloudMensis恶意软件的功能包括截图、窃取文档和击键,以及列出电子邮件消息、附件和从可移动存储中存储的文件。当该恶意软件部署在Mac上之后,还可以绕过macOS的Transparency Consent and Control(TCC)系统,该系统会提示用户授予应用程序截屏或监控键盘事件的权限。每个用户创建的规则都保存在受System Integrity Protection(SIP)保护的Mac数据库中,这确保只有TCC守护进程可以修改它。如果用户在系统上禁用SIP,CloudMensis将通过向TCC.db文件添加新规则来授予自己权限。通过绕过TCC,该恶意软件可以访问受感染的Mac屏幕,扫描连接的可移动存储以查找感兴趣的文档,并记录键盘事件。
https://www.bleepingcomputer.com/news/security/new-cloudmensis-malware-used-to-spy-on-macs-in-targeted-attacks/
3 阿尔巴尼亚政府遭到网络攻击导致所有系统关闭
阿尔巴尼亚政府周一证实周末遭到大规模网络攻击,来自国外的犯罪分子攻击了该国处理许多政府服务的国家信息社会机构(AKSHI)的服务器。遭到网络攻击后,阿尔巴尼亚政府服务在周一全部中断。部长理事会在新闻稿中说,“为了不让这次攻击破坏我们的信息系统,国家信息社会机构暂时关闭了在线服务和其他政府网站。”大部分面向民众的桌面服务都中断了,只有一些重要的服务,如在线纳税申报还在运行,因为它们的服务器没有遭到攻击。
https://securityaffairs.co/wordpress/133363/cyber-warfare-2/albania-cyber-attack.html
4 以色列卫生部网站遭黑客攻击导致海外访问受阻
以色列卫生部周日表示,由于网络攻击,以色列卫生部网站面临海外用户访问中断的问题。该网站仍在为当地以色列人运行。 但是,那些试图从国外间歇性地使用该网站的人无法访问。以色列卫生部表示,该事件正在由电子政务部门处理。据以色列媒体报道,自称为Altahrea Team的伊拉克亲伊朗黑客声称对此次网络攻击负责。据报道,该组织在其Telegram频道上写道,这次攻击是因为以色列在周末轰炸了加沙地带,另一个原因是在与俄罗斯的战争中对乌克兰的支持。
https://www.i24news.tv/en/news/israel/defense/1658119439-israel-health-ministry-website-faces-cyberattack-oversea-access-blocked
5 Blitz.js中的原型污染漏洞可能导致远程代码执行
Blitz.js是一个JavaScript web应用程序框架,它已修补了一个危险的原型污染漏洞,该漏洞可能导致Node.js服务器上的远程代码执行(RCE)。Sonar的研究人员发现并报告了这个新漏洞,该漏洞允许攻击者操纵Blitz.js应用程序中的代码来创建反向shell,并在服务器上运行任意命令。这个漏洞之所以特别危险,是因为它可以在没有任何身份验证的情况下被触发,这意味着任何可以访问Blitz.js应用程序的用户都可以发起RCE攻击。研究人员Gerste给出了一些建议以加强JavaScript应用程序免受原型污染,包括冻结Object.prototype或在Node.js中使用--disable-proto=delete。
https://portswigger.net/daily-swig/prototype-pollution-in-blitz-js-leads-to-remote-code-execution
6 黑客发布声称关于Roblox游戏平台的内部员工文件
据Motherboard报道,一名黑客似乎发布了一份内部文件,这些文件是从大型热门游戏平台Roblox的一名员工那里窃取的。根据论坛帖子和Roblox的声明,这些文件的发布是针对Roblox敲诈勒索的一部分。这些文件本身似乎与该平台上一些最受欢迎的游戏和创作者有关,还包括多份个人信息。黑客发布了一个4GB的文档存档,并在论坛帖子中发布了一系列图片。它们包括电子邮件地址、身份证明文件和电子表格,似乎与专注于Roblox的创作者有关。
https://www.vice.com/en/article/g5vqx3/hacker-posts-internal-roblox-employee-documents-online
页:
[1]