找回密码
 注册创意安天

每日安全简讯(20241018)

[复制链接]
发表于 2024-10-17 17:35 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 SideWinder APT组织扩展攻击目标至中东与非洲

SideWinder(又称T-APT-04或RattleSnake)是自2012年活跃至今的高级持续性威胁(APT)组织,其攻击目标多集中在南亚和东南亚的军事与政府机构,特别是巴基斯坦、斯里兰卡、中国和尼泊尔。然而,最新调查显示,该组织的活动范围已经扩展至中东和非洲,针对重要的战略基础设施实施了新一轮攻击。此次研究还揭示了一个名为“StealerBot”的全新间谍工具,这是一个模块化的后渗透工具,专为执行间谍任务设计。目前认为该工具是SideWinder的核心后期利用手段,尽管该组织长期以来被认为技术水平有限,但其实力远比表面所见复杂。
1.png
https://securelist.com/sidewinder-apt/114089/


2 Astaroth银行木马对巴西政府机构等发起攻击

Astaroth银行木马(又称Guildma)通过一次新型定向钓鱼攻击重返巴西,主要针对制造业、零售业和政府机构。攻击者伪装成官方税务文件,以个人所得税申报的紧迫性为诱饵,诱使用户下载恶意软件。受害者通过下载一个包含受感染Windows快捷方式的ZIP文件启动攻击,这一文件利用合法的mshta.exe执行混淆的JavaScript指令,并连接到命令与控制服务器(C2)。该攻击活动由Trend Micro追踪为"Water Makara"威胁集群,并与谷歌Threat Analysis Group(TAG)跟踪的"PINEAPPLE"活动有共同点。尽管Astaroth是一个较旧的银行木马,其重新出现和不断进化使其威胁持续存在,带来数据泄露、消费者信任损失、业务中断等重大影响。
2.png
https://www.trendmicro.com/en_us/research/24/j/water-makara-uses-obfuscated-javascript-in-spear-phishing-campai.html


3 超200款恶意应用侵入Google Play下载量达800万次

研究人员发现,Google Play在2023年6月至2024年4月期间分发了200多款恶意应用,总下载量接近800万次。这些应用多属于工具、个性化、摄影等类别,常见的恶意软件家族包括窃取信息的Joker、展示广告的Adware,以及Facebook凭证窃取器Facestealer等。尽管Google拥有检测机制,攻击者仍通过应用更新或服务器加载绕过验证。今年也发现了类似的恶意活动,如Necro恶意软件通过两款应用被下载了1100万次。研究人员数据显示,印度和美国是移动恶意软件的主要攻击目标,教育和服务业受影响最严重。用户需警惕应用权限与评论,以降低中毒风险。
3.png
https://www.zscaler.com/blogs/security-research/new-threatlabz-report-mobile-remains-top-threat-vector-111-spyware-growth


4 攻击者利用EDRSilencer绕过EDR工具提升攻击隐蔽性

EDRSilencer,一款为红队操作设计的工具,正被攻击者用于绕过终端检测与响应(EDR)工具的监控,屏蔽安全警报。研究人员的研究表明,EDRSilencer可通过Windows过滤平台(WFP)阻断EDR工具与管理服务器之间的数据传输,从而使攻击不被发现。该工具能够检测并封锁16种主流EDR工具,包括Microsoft Defender、SentinelOne和Carbon Black EDR等,尽管部分工具仍可能发送报告。为了防止此类攻击,研究人员建议使用多层安全防护、行为分析和最小权限原则来加强安全防御。
4.png
https://www.trendmicro.com/en_us/research/24/j/edrsilencer-disrupting-endpoint-security-solutions.html


5 GitHub修复关键漏洞防止未经授权访问企业服务器实例

GitHub近日发布了安全更新,修复了多个影响GitHub Enterprise Server (GHES) 的漏洞,其中包括一个严重漏洞CVE-2024-9487,CVSS评分为9.5分。该漏洞允许攻击者通过绕过SAML单点登录(SSO)认证机制,未经授权访问企业实例。该问题源于加密断言特性中加密签名验证不当。此次更新还修补了其他漏洞,包括信息泄露漏洞CVE-2024-9539及管理控制台中的敏感数据曝光问题。受影响的企业服务器用户被强烈建议立即更新到最新版本,以确保安全防护。
5.png
https://docs.github.com/en/enterprise-server@3.14/admin/release-notes


6 CISA警告SolarWinds帮助台软件漏洞正被积极利用

美国网络安全与基础设施安全局(CISA)将SolarWinds Web Help Desk (WHD) 软件的关键漏洞CVE-2024-28987加入已知被利用漏洞目录(KEV)。该漏洞评分为9.1,涉及硬编码凭据,允许未经身份验证的远程攻击者访问内部功能并修改数据。研究显示,攻击者可读取和修改帮助台工单中的敏感信息,如密码重置请求和共享服务账户凭据。尽管尚不清楚具体攻击者,联邦机构已被要求在2024年11月5日之前应用最新补丁,以防范潜在威胁。
6.png
https://www.cisa.gov/news-events/alerts/2024/10/15/cisa-adds-three-known-exploited-vulnerabilities-catalog



您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 14:53

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表