每日安全简讯(20220801)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 微软称Raspberry Robin蠕虫与俄罗斯黑客有关
微软披露了基于USB的Raspberry Robin蠕虫与一个臭名昭著的俄罗斯网络犯罪组织Evil Corp之间的潜在联系。微软观察到FakeUpdates(又名SocGholish)恶意软件于2022年7月26日通过现有的Raspberry Robin感染传播。微软指出:“受影响系统上与DEV-0206相关的FakeUpdates活动导致了类似DEV-0243预勒索软件行为的后续行动。”FakeUpdates恶意软件的核心是充当其他活动的渠道,这些活动利用从DEV-0206购买的访问权限来分发其他有效载荷,主要是DEV-0243(也称为Evil Corp)的Cobalt Strike加载程序。
https://thehackernews.com/2022/07/microsoft-links-raspberry-robin-usb.html
2 LockBit勒索软件利用Windows Defender逃避检测
Sentinel Labs的研究人员发现,在最近一起LockBit勒索软件攻击的事件中,威胁行为者利用Microsoft Defender的命令行工具“MpCmdRun.exe”来侧载解密和安装Cobalt Strike信标的恶意DLL。执行时,MpCmdRun.exe将加载一个名为“mpclient.dll”的合法DLL,这是程序正常运行所必需的。在研究人员分析的案例中,攻击者创建了自己的mpclient.dll武器化版本,并将其放置在优先加载恶意版本DLL文件的位置。执行的代码从“c000015.log”文件加载并解密加密的Cobalt Strike有效载荷,该文件与攻击早期阶段的其他两个文件一起部署。
https://www.bleepingcomputer.com/news/security/lockbit-ransomware-abuses-windows-defender-to-load-cobalt-strike/
3 黑客入侵MS-SQL服务器以窃取代理服务的带宽
威胁行为者通过使用广告软件包、恶意软件,甚至入侵Microsoft SQL服务器,将设备转换为通过在线代理服务租用的代理来获取收入。为了窃取设备的带宽,攻击者会安装名为“代理软件”的软件,该软件将设备的可用互联网带宽分配为代理服务器,远程用户可以使用该服务器完成各种任务。Ahnlab观察到,攻击者通过广告软件包和其他恶意软件为服务安装了代理软件,例如Peer2Profit和IPRoyal。根据Ahnlab的报告,恶意软件操控者使用这种方案来创收,也针对易受攻击的MS-SQL服务器,以安装Peer2Profit客户端。
https://www.bleepingcomputer.com/news/security/microsoft-sql-servers-hacked-to-steal-bandwidth-for-proxy-services/
4 GitHub Actions工作流漏洞可能导致命令执行
研究人员发现,在流行的持续集成和开发(CI/CD)服务GitHub Actions中,有多个工作流容易受到命令执行的影响。约会平台Tinder的一个研究团队制作了一个自动化脚本,该脚本揭露了一些漏洞,这些漏洞能够泄露机密,提供对各种开源GitHub存储库的写入访问权,包括Elastic的Logstash。如果暴露了工作流中更敏感的访问机密,如AWS凭据、API密钥或服务凭据,这可能会导致公司基础设施受损。漏洞的最常见原因是运行脚本中不安全的用户输入。研究人员敦促开发人员正确清理GitHub Actions中的用户输入,并通过限制GitHub令牌的访问范围来减少攻击。
https://portswigger.net/daily-swig/github-actions-workflow-flaws-provided-write-access-to-projects-including-logstash
5 美国国会议员披露美国司法系统遭到网络攻击
美国国会议员7月28日透露,美国司法系统遭到网络攻击,公共文件管理系统受损。美国众议院司法委员会主席Jerrold Nadler在司法部监督听证会上披露了这起攻击事件。Nadler表示,三名威胁行为者入侵了公众查阅法庭电子记录和案件管理/电子案件档案(PACER)系统,该系统提供了对整个美国法院系统文件的访问权限。该违规行为于今年3月首次发现,发生在2020年初。美国法院行政办公室表示,敏感的法庭文件现在将存储在“安全的独立计算机系统”中,而不是上传到公共文件管理系统。
https://www.infosecurity-magazine.com/news/congress-us-court-records-breach/
6 加拿大NLESD证实遭到黑客攻击泄露学生信息
加拿大纽芬兰与拉布拉多省英语学区(NLESD)已经证实,该学区的系统账户遭到黑客入侵。NLESD表示,7月25日和26日大约有24个账户遭到黑客攻击,这些账户已经被暂停访问。然而,学校董事会表示,一些“用户存储的个人信息”可能已被泄露。到目前为止,似乎没有学生或学区的申请受到影响。NLESD表示,他们一直在联系受黑客攻击影响的帐户所有者,并将在调查过程中提供更多信息。
https://vocm.com/2022/07/27/around-two-dozen-nlesd-user-accounts-hacked/
页:
[1]