设为首页

创意安天

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20230829)
返回列表 发新帖

每日安全简讯(20230829)

[复制链接]
发表于 2023-8-28 16:45 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 研究人员披露Kimsuky组织使用的VBS恶意脚本

研究人员披露朝鲜黑客组织 Kimsuky 制作的恶意软件 Consent Form_Princeton Study.vbs (2023.8.14)。恶意软件是用 VBS 编写的。研究人员发现该脚本会分析指定文件夹中的快捷方式文件(.lnk),找到特定程序的启动快捷方式,并将其复制到桌面。该恶意脚本执行代码时,首先设置脚本在出错时不会中止。然后创建并配置对象,以便访问系统信息。另外还有访问外部网站并执行命令,收集电池和进程信息,验证 curl.exe 文件是否存在等功能。
index-1_1.png
https://wezard4u.tistory.com/6562

2 Lockbit 3.0勒索软件构建器泄露导致多个新变种出现

Lockbit 是最流行的勒索软件病毒之一。Lockbit v3勒索软件也称为 Lockbit Black,于 2022 年 6 月首次检测到,该勒索软件支持使用带有随机生成密码的加密可执行文件。除非在命令行提供适当的密码,否则这会阻止执行并阻碍自动分析。具有有效负载包括针对逆向工程分析的强大保护技术。该勒索软件包括许多未记录的内核级 Windows 函数。2022 年 9 月,多名安全新闻专业人士撰文报道并确认了 Lockbit 3 构建器的泄露。该工具允许任何人创建自己的勒索软件定制版本。在构建器泄漏后,研究人员发现了利用 Lockbit 3 勒索软件变体对关键系统进行加密的入侵。修改后的勒索字条未提及 Lockbit 或使用不同的联系地址(邮件/URL),表明除原始 Lockbit 之外的其他攻击者可能滥用该构建器。
1QAxJY1JNwQAiK-y3BCW.png
https://securelist.com/lockbit-ransomware-builder-analysis/110370/

3 开源工具LaZagne可利用Pidgin D-Bus API窃取密码

攻击者增加了对 Linux 系统的针对性攻击,开源密码恢复工具 LaZagne 等黑客工具实用程序的易于访问性使得攻击者易于在恶意软件攻击链中使用这种工具来转储密码。该工具给 Linux 用户带来了巨大的风险,它主要针对的是 Pidgin 等流行的聊天软件,使用 D-Bus API 提取包括密码在内的敏感信息。Desktop-Bus通常称为D-Bus,是基于 *nix 的系统中的一种进程间通信 (IPC) 机制,允许应用程序和服务有效地相互通信。D-Bus 广泛应用于 NetworkManager、PulseAudio、systemd 和 Evolution 等流行软件中,它可以实现各种系统组件和应用程序之间的无缝通信。Linux 系统上的 D-Bus API 促进应用程序和服务之间的通信,可能会暴露敏感数据。因此,如果不对其进行监控,API 可能会带来风险。LaZagne 黑客工具利用Pidgin D-Bus API 来转储凭据。
1QAxKm1JNwQAiL-3thMP.png
https://unit42.paloaltonetworks.com/lazagne-leverages-d-bus/

4 俄亥俄州档案组织遭受勒索软件攻击泄露了数千人的社会安全号

俄亥俄州最古老的历史社团之一遭受勒索软件攻击,泄露了数千人的敏感信息。Ohio History Connection 是一家全州历史非营利组织,成立于 1885 年,管理着全州 50 多个遗址和博物馆。它是国家历史保护办公室和官方国家档案馆的所在地。该组织周四发布了一份通知,称他们于周三向受该组织上个月经历的勒索软件攻击影响的人们邮寄了违规通知信。由于黑客获得了 W-9 报告和其他记录,该组织在 2009 年至 2023 年期间雇用的人员的姓名、地址和社会安全号码在攻击期间被泄露。该勒索软件团伙(身份未明)还访问了与 OHC 供应商相关的文件、捐助者自 2020 年以来向 OHC 提供的支票等。
1QAxKF1JNwQAiM-lkCRP.jpeg
https://www.ohiohistory.org/breach/

5 产权贷款机构TMX称支付卡数据因数据泄露而被盗

次级贷款机构 TitleMax 的母公司警告近 500 万客户,影响他们的数据泄露比之前认为的更严重,攻击者还窃取了支付卡数据和卡安全代码。总部位于佐治亚州萨凡纳的 TMX Finance Corporate Services 还经营 TitleBucks、InstaLoan 和 EquityAuto Loan 等品牌,在 18 个州拥有 1000 多个营业网点。3 月 30 日,私营 TMX 向 4822580 名客户发出警告,称黑客在 2 月份的 12 天内窃取了他们的个人信息。该公司因违规行为面临至少四起集体诉讼。TMX 从周三开始向受害者发送修订后的数据泄露通知,其中指出,除了之前声称被盗的大量个人信息(包括护照和社会安全号码)之外,攻击者还可能窃取了他们的信用卡/借记卡号组合,带有帐户的安全码、访问码、密码或 PIN 码。
1QAxKP1AzoWpSQ-DTsDk.jpeg
https://www.bankinfosecurity.com/title-lender-tmx-now-says-payment-card-data-stolen-in-breach-a-22921?&web_view=true

6 Leaseweb提供商正在恢复因漏洞而禁用的关键系统

全球最大的云和托管提供商之一 Leaseweb 发布通知,称它正在努力恢复因最近的安全漏洞而禁用的“关键”系统。在周四发送给客户的电子邮件中,这家荷兰云提供商表示,周二晚上在调查客户门户停机问题时,发现其基础设施的某些部分存在“异常”活动的迹象。Leaseweb 关闭了一些受影响的系统以减轻安全风险,并表示其团队目前正在努力恢复受此事件影响的关键系统。攻击发生后,Leaseweb 聘请了数字取证和事件响应网络安全服务来调查安全事件并遏制攻击。Leaseweb 是全球主要的云计算和网络服务提供商之一,拥有超过 20000 家客户,其中包括中小型企业到知名企业。
1QAxL41AzoWpSR-JbbGW.jpeg
https://www.leasewebstatus.com/incidents/leaseweb-customer-portal-not-available/jrhktsaf










回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

小黑屋|手机版|Archiver|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-5-5 14:06

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表