每日安全简讯(20221103)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 新型间谍软件SandStrike通过恶意VPN应用程序感染安卓设备
研究人员发现一种新型间谍软件,将其称为SandStrike,此间谍软件通过恶意的VPN应用程序发送给安卓用户。攻击者主要针对信仰巴哈伊教的波斯语从业者,巴哈伊教是一种在伊朗和中东部分地区发展起来的宗教。为了诱导用户下载间谍软件,攻击者建立了拥有1000多关注者的Facebook和Instagram账户,并在其中添加了与宗教主题相关的材料。这些社交媒体账户中大多包含一个指向由攻击者创建的Telegram频道链接,此Telegram频道提供了恶意VPN程序。SandStrike能够窃取各种信息,如通话记录和联系人列表,还能够对受害安卓设备进行监控。
https://www.bleepingcomputer.com/news/security/new-sandstrike-spyware-infects-android-devices-via-malicious-vpn-app/
2 攻击者在网络钓鱼活动中利用Warzone RAT攻击匈牙利用户
研究人员在一起针对匈牙利用户的钓鱼活动中,发现了关于Warzone RAT的新案例。攻击者伪装成匈牙利政府发送电子邮件,通知用户他们的新凭证被添加到政府门户网站中,并附有一个压缩包文件。压缩包中包含一个伪装成PDF的可执行程序,程序执行后会将Warzone RAT写入到内存中并运行。Warzone RAT提供了键盘记录、收集cookie、对桌面和摄像头进行远程访问、窃取密码、建立持久性等功能。并根据Windows版本提供了不同的权限提升方式。
https://cyware.com/news/warzone-rat-targets-hungarian-users-in-new-phishing-campaign-8a2d8e2a
3 Fodcha僵尸网络新增勒索功能
研究人员发现Fodcha僵尸网络出现新的版本,新增勒索功能,并提供了一种躲避检测的方法。Fodcha于2022年4月份被首次发现,并在近期出现Fodcha第4版,此版本中直接利用攻击受害者网络的DDoS数据包传递信息,威胁受害者支付赎金。此外,Fodcha建立的僵尸网络现在使用加密通信与C2服务器进行连接,增加了安全分析人员分析此恶意软件的难度。
https://cyware.com/news/the-new-fodcha-ddos-botnet-adds-extortion-feature-to-its-arsenal-1fc260ad
4 LockBit勒索组织声称窃取了Thales的部分数据
法国国防和技术集团Thales于10月31日被添加到LockBit勒索组织发布的受害者名单中,若不在11月7日前支付赎金,勒索组织威胁将公开窃取的数据,但在公告中尚未公布任何涉及被盗数据的样本。11月1日,Thales表示,LockBit勒索组织声称窃取了部分数据,并威胁要公开这些数据,但是公司还没有收到直接的勒索通知。Thales已经对此次事件展开调查,并通知了法国国家网络安全机构ANSSI。
https://securityaffairs.co/wordpress/137955/cyber-crime/lockbit-3-0-thales.html
5 OpenSSL修复两个严重漏洞
OpenSSL修复了用于加密通信信道、HTTPS连接的开源加密库中的两个严重漏洞,这两个漏洞被标记为CVE-2022-3602和CVE-2022-3786,影响OpenSSL 3.0.0及更高版本,并在OpenSSL 3.0.7中得到修复。CVE-2022-3602是一个任意的4字节堆栈缓冲区溢出漏洞,可能触发崩溃或导致远程代码执行;攻击者可以通过电子邮件利用CVE-2022-3786,通过缓冲区溢出导致拒绝服务。OpenSSL团队表示目前还没有发现这两个漏洞被恶意利用。
https://www.bleepingcomputer.com/news/security/openssl-fixes-two-high-severity-vulnerabilities-what-you-need-to-know/
6 微软修补Azure Cosmos DB中的漏洞
研究人员在Azure Cosmos DB的Jupyter Notebooks中发现安全漏洞,可能允许攻击者远程执行任意代码。Azure Cosmos DB是用于电子商务平台的数据库,其中内置了Jupyter Notebooks,为开发人员提供文档共享、实时代码等功能。此漏洞被称为“CosMiss”,可能允许攻击者在Jupyter Notebooks中读取和写入数据,注入代码并覆盖代码,但是发起攻击的前提是攻击者需要掌握一个随机生成的128位forwardingId。微软在得知此漏洞后立即进行了修复,并在博客文章中解释此漏洞是在8月12日修改后端API时引入的。在对日志数据进行调查后,微软表示没有发现与恶意活动相关的暴力请求。
https://www.securityweek.com/microsoft-patches-azure-cosmos-db-flaw-leading-remote-code-execution
页:
[1]