设为首页

创意安天

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20230921)
返回列表 发新帖

每日安全简讯(20230921)

[复制链接]
发表于 2023-9-20 17:15 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 研究人员披露针对AWS服务的AMBERSQUID加密劫持行动

一种新颖的云原生加密劫持操作将目光投向了不常见的 Amazon Web Services (AWS) 产品,例如 AWS Amplify、AWS Fargate 和 Amazon SageMaker,以非法开采加密货币。云和容器安全公司将该恶意网络活动代号为AMBERSQUID。AMBERSQUID 操作能够利用云服务,而不会触发 AWS 批准更多资源的要求,就像他们只向 EC2 实例发送垃圾邮件一样。针对多个服务还带来了额外的挑战,例如事件响应,因为它需要找到并杀死每个被利用服务中的所有矿工。研究人员表示,在分析 Docker Hub 上的 170 万张图像后发现了该活动,并根据脚本和用户名中使用的印尼语,有一定把握将其归因于印尼攻击者。其中一些图像被设计为执行从参与者控制的 GitHub 存储库下载的加密货币矿工,而其他图像则运行针对 AWS 的 shell 脚本。
1QITeS1skrXm3q-pr1VH.jpeg
https://sysdig.com/blog/ambersquid/

2 研究人员披露基于ERMAC木马的Hook家族银行木马

研究人员发现 ERMAC 源代码被用作 Hook 的基础。恶意软件操作者可以发送到感染 ERMAC 恶意软件的设备的所有命令(总共 30 个)也存在于 Hook 中。这些命令的代码实现几乎相同。研究人员于 2023 年 1 月首次记录了 Hook ,将其描述为“ERMAC分叉”,每月售价 7000 美元。这两种病毒都是恶意软件作者 DukeEugene 编写的。Hook 通过更多功能扩展了 ERMAC 的功能,与后者相比,支持多达 38 个附加命令。ERMAC 的核心功能旨在发送 SMS 消息、在合法应用程序顶部显示网络钓鱼窗口、提取已安装应用程序列表、收集 SMS 消息以及虹吸恢复多个加密货币钱包的种子短语。
1QITeS1skrXm3r-enhXh.jpeg
https://research.nccgroup.com/2023/09/11/from-ermac-to-hook-investigating-the-technical-differences-between-two-android-malware-variants/

3 趋势科技修复了端点保护服务中远程代码执行零日漏洞

趋势科技修复了趋势科技 Apex One 端点保护解决方案中的远程代码执行零日漏洞,该漏洞在攻击中被积极利用。Apex One 是一款适合各种规模企业的端点安全解决方案,“无忧企业安全”套件专为中小型企业设计。该任意代码执行缺陷被跟踪为 CVE-2023-41179,根据 CVSS v3,其严重程度评级为 9.1,将其归类为“严重”。该漏洞存在于安全软件附带的第三方卸载程序模块中。趋势科技观察到至少有一次针对此漏洞的潜在攻击活动 。强烈鼓励客户尽快更新到最新版本。利用这些类型的漏洞通常需要攻击者能够(物理或远程)访问易受攻击的计算机。如果该漏洞被利用,则可以登录产品管理控制台的攻击者可能会在安装了安全代理的 PC 上使用系统权限执行任意代码。
1QITik1skrXm4E-Xkkq1.jpeg
https://thehackernews.com/2023/09/trend-micro-releases-urgent-fix-for.html

4 研究人员披露新型勒索软件3AM的攻击活动

研究人员披露自称为 3AM 的新的勒索软件家族出现,该勒索软件仅以有限的方式发起网络攻击。研究人员发现勒索软件附属机构在一次攻击中使用了该技术,该附属机构试图在目标网络上部署 LockBit,然后在 LockBit 被阻止时切换到 3AM 。3AM 是用 Rust 编写的,似乎是一个全新的恶意软件家族。勒索软件在开始加密文件之前会尝试停止受感染计算机上的多项服务。加密完成后,它会尝试删除卷影 (VSS) 副本。目前尚不清楚其作者是否与已知的网络犯罪组织有任何联系。
Snipaste_2023-09-20_17-12-26.png
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/3am-ransomware-lockbit?web_view=true

5 Juniper网络设备存在未经身份验证的RCE漏洞

估计有 12000 个Juniper网络 SRX 防火墙和 EX 交换机容易受到无文件远程代码执行漏洞的攻击,攻击者无需身份验证即可利用该漏洞。8 月,Juniper 披露了 许多“PHP 环境变体操纵”(CVE-2023-36844/CVE-2023-36845) 和“关键功能缺少身份验证”(CVE-2023-36846/CVE-2023-36847) 漏洞,这些漏洞本身仅具有“中等”严重程度评级 5.3。然而,当这些漏洞链接在一起时,它们就成为严重的远程代码执行缺陷,评级为 9.8。研究人员发布了一个 PoC,将 CVE-2023-36845 和 CVE-2023-36846 缺陷链接起来,允许研究人员通过将两个文件上传到易受攻击的设备来远程执行代码。今天,漏洞研究员发布了另一个PoC漏洞,该漏洞仅利用 CVE-2023-36845,绕过了上传文件的需要,同时仍然实现了远程代码执行。
1QITeS1skrXm3u-OxJdD.jpeg
https://supportportal.juniper.net/s/article/2023-08-Out-of-Cycle-Security-Bulletin-Junos-OS-SRX-Series-and-EX-Series-Multiple-vulnerabilities-in-J-Web-can-be-combined-to-allow-a-preAuth-Remote-Code-Execution?language=en_US&ref=labs.watchtowr.com

6 研究人员披露微软使用不安全Azure存储泄露38TB私人数据

从 2020 年 7 月开始,微软人工智能研究部门在向公共 GitHub 存储库贡献开源人工智能学习模型时意外泄露了数十 TB 的敏感数据。安全研究人员发现,一名 Microsoft 员工无意中共享了包含泄露信息的配置错误的 Azure Blob 存储桶的 URL。微软将数据泄露与使用过于宽松的共享访问签名(SAS)令牌联系起来,该令牌允许对共享文件进行完全控制。这项 Azure 功能支持以 Wiz 研究人员描述的难以监控和撤销的方式进行数据共享。如果使用正确,共享访问签名 (SAS) 令牌可提供一种安全的方式来授予对存储帐户内资源的委派访问权限。 这包括对客户端数据访问的精确控制、指定它们可以交互的资源、定义它们对这些资源的权限以及确定 SAS 令牌的有效性持续时间。由于缺乏监控和治理,SAS 令牌存在安全风险,应尽可能限制其使用。这些令牌非常难以跟踪,因为微软没有提供在 Azure 门户中管理它们的集中方式,此外,这些令牌可以配置为永久有效,其到期时间没有上限。因此,使用 Account SAS 令牌进行外部共享是不安全的,应该避免。研究团队发现,除了开源模型之外,内部存储帐户还无意中允许访问价值 38TB 的额外私人数据。泄露的数据包括属于 Microsoft 员工的个人信息备份,包括 Microsoft 服务的密码、密钥以及来自 359 名 Microsoft 员工的 30000 多条内部 Microsoft Teams 消息的存档。在微软安全响应中心(MSRC)团队周一发布的一份通报中, 微软表示 ,没有客户数据被泄露,也没有其他内部服务因此次事件而面临危险。
1QITeS1skrXm3v-1NCe7.jpeg
https://www.wiz.io/blog/38-terabytes-of-private-data-accidentally-exposed-by-microsoft-ai-researchers


回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

小黑屋|手机版|Archiver|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-5-2 20:45

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表