免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 研究人员披露TA422组织钓鱼攻击活动
从2023年3月开始,研究人员观察到俄罗斯高级持续威胁TA422组织利用已修补的漏洞来针对欧洲和北美的各种组织。TA422组织又名APT28、Forest Blizzard、Pawn Storm、Fancy Bear和BlueDelta。虽然TA422在此期间利用Mockbin和InfinityFree进行URL重定向,开展了传统的针对性活动,但研究人员观察到,利用CVE-2023-23397(Microsoft Outlook特权提升漏洞)的活动中发送的电子邮件量与预期存在显着偏差。这包括对手从单一电子邮件提供商发送到国防、航空航天、技术、政府和制造实体的10000多封电子邮件,偶尔还包括高等教育、建筑和咨询实体发送的少量电子邮件。研究人员还发现了利用WinRAR远程执行漏洞CVE-2023-38831的TA422组织网络攻击活动。
https://www.proofpoint.com/us/blog/threat-insight/ta422s-dedicated-exploitation-loop-same-week-after-week
2 研究人员披露Teal Kurma组织SnappyTCP恶意软件
研究人员披露来自土耳其相关联的攻击者,即Teal Kurma(又名Sea Turtle、Marbled Dust、Cosmic Wolf)。Teal Kurma组织主要攻击目标为整个欧洲和中东地区。2021年至2023年间,攻击者者使用了SnappyTCP,这是一种适用于Linux/Unix的简单反向TCP shell,具有基本的C2功能,也用于在系统上建立持久性。该恶意软件至少有两个主要变体;一种使用明文通信,另一种使用TLS进行安全连接。
https://www.pwc.com/gx/en/issues/cybersecurity/cyber-threat-intelligence/tortoise-and-malwahare.html
3 研究人员披露针对WordPress用户的网络钓鱼活动
研究人员最近获悉针对WordPress用户的网络钓鱼活动。该网络钓鱼电子邮件声称来自WordPress团队,并警告用户网站上存在标识符为CVE-2023-45124的远程代码执行漏洞,该漏洞目前不是有效的CVE。该电子邮件提示受害者下载“补丁”插件并安装。下载插件链接将受害者重定向到虚假登陆页面en-gb-wordpress[.]org。针对WordPress用户的网络钓鱼活动旨在诱骗受害者在其网站上安装恶意后门插件。
https://www.wordfence.com/blog/2023/12/psa-fake-cve-2023-45124-phishing-scam-tricks-users-into-installing-backdoor-plugin/
4 GitHub平台的上万个Go模块存储库容易遭受Repojacking攻击
新研究发现GitHub上超过15000个Go模块存储库容易受到名为repojacking的攻击。Repojacking是“存储库”和“劫持”的组合,是一种攻击技术,允许不良行为者利用帐户用户名更改和删除来创建具有相同名称和预先存在的用户名的存储库来上演开源软件供应链攻击。GitHub上数以百万计的软件存储库可能容易受到威胁,并敦促进行更名的组织确保他们仍然拥有以前的名称作为占位符,以防止此类滥用。用Go编程语言编写的模块特别容易受到重新劫持,因为与npm或PyPI等其他包管理器解决方案不同,它们是分散的,因为它们发布到GitHub或Bitbucket等版本控制平台。
https://vulncheck.com/blog/go-repojacking
5 新型BLUFFS蓝牙攻击导致设备可遭受中间对手攻击
新的研究发现了多种新颖的攻击,这些攻击破坏了蓝牙经典的前向保密和未来保密保证,导致两个已连接的对等点之间出现中间对手(AitM)场景。这些问题统称为BLUFFS,影响蓝牙核心规范4.2至5.4。它们通过标识符CVE-2023-24023(CVSS评分:6.8)进行跟踪,并于2022年10月披露。
https://francozappa.github.io/post/2023/bluffs-ccs23/
6 芯片制造商高通发布芯片漏洞的详细信息
芯片制造商高通公司发布了有关三个高严重性安全漏洞的更多信息,称这些漏洞早在2023年10月就受到了有针对性的利用。漏洞分别为:CVE-2023-33063(CVSS评分:7.8),从HLOS到DSP的远程调用期间DSP服务中的内存损坏。CVE-2023-33106(CVSS分数:8.4),在向 IOCTL_KGSL_GPU_AUX_COMMAND提交AUX命令中的大量同步点列表时,图形内存损坏。CVE-2023-33107(CVSS分数:8.4),在IOCTL调用期间分配共享虚拟内存区域时,Graphics Linux中的内存损坏。以及CVE-2022-22071(CVSS评分:8.4)已作为有限的、有针对性的攻击的一部分在野外被利用。
https://docs.qualcomm.com/product/publicresources/securitybulletin/december-2023-bulletin.html
|