找回密码
 注册创意安天

每日安全简讯(20230718)

[复制链接]
发表于 2023-7-17 21:18 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 研究人员发现CustomerLoader恶意软件

研究人员发现了一种使用.NET语言编写的新型恶意软件,该恶意软件在C2通信和加载功能中存在“customer”字符串,因此研究人员将其命名为CustomerLoader。在研究人员发现的攻击活动中,CustomerLoader下载的所有有效载荷都是dotRunpeX,它们提供了各种恶意软件,包括窃密木马、远控木马(RAT)和勒索软件。研究人员称,CustomerLoader与Loader-as-a-Service有关,该恶意软件可能是开发人员在执行dotRunpeX注入器之前添加的新阶段。
1.png
https://blog.sekoia.io/customerloader-a-new-malware-distributing-a-wide-variety-of-payloads


2 研究人员发现传播PurpleFox恶意软件的攻击活动

研究人员近期发现,攻击者正在针对管理不当的MS-SQL服务器进行攻击,利用sqlserver.exe执行PowerShell,并从指定地址中下载执行经过混淆的PowerShell,从而下载恶意的MSI文件并最终植入PurpleFox恶意软件。PurpleFox恶意软件充当下载其他恶意程序的加载器,主要用于在受害主机中植入CoinMiner。值得注意的是,该恶意程序还能够利用Rootkit技术对恶意行为进行隐藏。
2.png
https://asec.ahnlab.com/ko/55302


3 攻击者针对多个云服务平台进行攻击活动

研究人员发现,此前针对亚马逊网络服务(AWS)证书进行窃密的攻击者,在2023年6月期间在其工具中扩展了针对Azure和Google云平台的模块。研究人员认为此次攻击活动与TeamTNT组织相关联。研究人员在此次攻击活动中发现了标志性的shell脚本,并发现了使用Golang编写的恶意ELF文件。其中值得注意的一点是,攻击者在其脚本中新增了针对Azure和Google云平台的功能,虽然该函数没有被调用,但这表明这些功能正在积极开发中,并可能会被用于此后的攻击活动中。

3.png
https://www.sentinelone.com/labs/cloudy-with-a-chance-of-credentials-aws-targeting-cred-stealer-expands-to-azure-gcp


4 攻击者使用恶意Chrome扩展程序窃取Facebook账户

近期,研究人员发现一个使用恶意Chrome扩展程序窃取Facebook账户凭据的攻击活动。攻击者在Facebook中推广虚假的广告管理软件,从而引诱用户下载包含恶意MSI安装程序的压缩包。在该MSI安装程序中包含一个批处理脚本和两个文件夹,其中包含恶意的Chrome扩展程序,用于窃取Facebook账户。研究人员发现目前全球有800多名受害者,其中310人在美国。

4.png
https://www.malwarebytes.com/blog/threat-intelligence/2023/07/criminals-target-businesses-with-malicious-extension-for-metas-ads-manager-and-accidentally-leak-stolen-accounts


5 研究人员发现Docker Hub中的大量镜像泄露敏感数据

研究人员近期发布的一项研究表明,Docker Hub上托管的数万个容器镜像泄露敏感数据,从而使软件、在线平台和用户暴露在大规模攻击之下。研究人员分析了来自Docker Hub和数千个私人注册中心的337171个镜像,从中发现大约8.5%的镜像包含私钥和API机密等敏感数据。该论文进一步表明,许多公开的密钥被积极使用,从而破坏了依赖它们的元素的安全性。

5.png
https://www.bleepingcomputer.com/news/security/thousands-of-images-on-docker-hub-leak-auth-secrets-private-keys


6 JumpCloud证实遭受网络攻击

JumpCloud证实其遭受网络攻击。此次攻击始于6月22日的鱼叉式网络钓鱼活动,导致攻击者未经授权访问JumpCloud基础设施的特定区域。6月27日,该公司发现内部系统存在异常活动后,重置了凭据并采取了额外的安全措施。7月5日,在发现一小部分客户的命令框架中存在异常活动后,该公司重置了所有管理API密钥,并开始通知受影响的客户。JumpCloud表示,此次攻击的目标非常明确,仅限于特定客户。

6.png
https://www.securityweek.com/jumpcloud-says-sophisticated-nation-state-targeted-specific-customers
















您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-23 15:09

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表