免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 安天发布关于响尾蛇组织针对我国的攻击活动分析
2022年11月,安天CERT发现一例高度针对我国某高校的鱼叉式钓鱼邮件。攻击者通过预先注册的虚假域名和账号向目标的办公室官方邮箱投送包含恶意快捷方式的附件包裹,社会工程学方面以疫情题材的邮件正文和掩饰文档内容都做得相当逼真,十分具有迷惑性。攻击者通过这种方式引导受害者查看附件并点击恶意快捷方式,恶意快捷方式被点击后,将调用命令执行远程的Javascript脚本,该脚本在内存中加载阶段性恶意程序,获取本机的杀毒软件信息,恶意程序负责释放并打开无恶意的掩饰文档,以及下载后续木马程序。通过关联溯源,安天CERT最终将这一系列攻击活动归属到印度方向的响尾蛇组织。
https://mp.weixin.qq.com/s/VDFlNc1JOCd3saDhr_cRsA
2 新的恶意软件活动针对YouTube和Facebook用户
Bitdefender的高级威胁控制(ATC)团队的研究人员发现正在进行的恶意软件活动针对YouTube和Facebook用户,攻击者利用新的信息窃取程序感染用户的计算机,该恶意软件将劫持他们的社交媒体帐户,并使用他们的设备来挖掘加密货币。研究人员将这个新的恶意软件命名为S1deload Stealer,因为它广泛使用DLL侧加载来逃避检测。一旦部署在受害者的设备上,S1deload Stealer就可以在连接到命令和控制(C2)服务器后,由其操作员指示执行任务。在其他系统上,它还可以部署一个窃取程序,从受害者的浏览器和登录数据SQLite数据库中解密和窃取保存的凭据和cookie,或者部署一个矿工用于挖掘BEAM加密货币。
https://www.bleepingcomputer.com ... -facebook-accounts/
New S1deload Stealer malware hijacks Youtube, Facebook accounts.pdf
(2.18 MB, 下载次数: 23)
3 Python开发人员警告木马化PyPI包冒充流行库
ReversingLabs研究人员警告称,恶意包模仿了Python Package Index(PyPI)存储库中可用的流行库。已发现41个恶意PyPI包伪装成合法模块(如HTTP、AIOHTTP、requests、urllib和urllib3)的错别字变体。在大多数情况下,这些软件包的描述并没有暗示它们的恶意,有些伪装成真正的库,并将它们的功能与已知的合法HTTP库的功能进行比较。但实际上,这些恶意包可能包含下载程序,充当向受感染主机提供第二阶段恶意软件的渠道,或者藏有信息窃取程序,旨在窃取密码和令牌等敏感数据。
https://www.reversinglabs.com/bl ... raries-lurk-on-pypi
4 R1Soft服务器备份管理器漏洞被利用以部署后门
2022年10月底,ConnectWise通知客户,Recover和R1Soft服务器备份管理器产品中修补了一个严重漏洞(CVE-2022-36537),可能允许攻击者执行任意代码或直接访问机密数据。在最近的事件响应案例中,网络安全公司Fox IT发现有证据表明R1Soft漏洞被利用来获得对服务器的初始访问权限。攻击者随后部署了一个恶意的数据库驱动程序,为他们提供了后门访问权限。在Fox IT公司观察到的攻击中,攻击者从受感染的系统中窃取了文件,包括VPN配置文件、IT管理员信息和敏感文档。
https://www.securityweek.com/r1s ... to-deploy-backdoor/
R1Soft Server Backup Manager Vulnerability Exploited to Deploy Backdoor - SecurityWeek.pdf
(892.67 KB, 下载次数: 26)
5 苹果警告影响iPhone、iPad和Mac设备的新漏洞
苹果公司修改了上个月发布的安全警告,增加了三个影响iOS、iPadOS和macOS的新漏洞。第一个漏洞是Crash Reporter组件(CVE-2023-23520)中的竞争条件,它可能使恶意行为者能够以root身份读取任意文件。苹果公司表示,他们通过额外的验证解决了这个问题。另外两个漏洞是Trellix研究员Austin Emmitt发现的,存在于Foundation框架中(CVE-2023-23530和CVE-2023-203531),允许绕过代码签名在多个平台应用程序的上下文中执行任意代码,导致macOS和iOS上的权限提升和沙盒逃逸。
https://thehackernews.com/2023/0 ... ulnerabilities.html
6 Android语音聊天应用OyeTalk泄露用户聊天记录
一款流行的Android语音聊天应用OyeTalk泄露了私人用户数据,包括他们未加密的聊天记录、用户名和国际移动设备识别码(IMEI)。这款应用在谷歌Play上的下载量超过500万次。Firebase是谷歌的移动应用程序开发平台,提供云托管数据库服务。OyeTalk由于不受保护的访问Firebase导致数据泄露。据称,尽管被告知数据泄露,应用程序开发人员未能关闭对数据库的公共访问。由于泄露量太大,谷歌的安全措施不得不介入,关闭了数据库。除此之外,开发人员还粗心地将敏感信息硬编码在应用程序的客户端,包括谷歌API密钥和指向谷歌存储桶的链接。
https://www.hackread.com/android-voice-chat-app-data-leak/
|