免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 研究人员披露针对俄罗斯国防工业目标的MataDoor后门攻击
2022年10月,研究人员在对俄罗斯一家工业企业的一起事件进行调查时,发现该组织受感染的计算机上运行着以前未见过的恶意软件样本,该恶意软件的可执行文件的名称与受感染计算机上安装的合法软件的名称相似,并且许多样本具有有效的数字签名。此外,识别出的可执行文件和库由Themida保护器处理,使它们更难以检测和分析,对这些样本的后续分析表明,所识别的软件是一个相当复杂的模块化后门,研究人员将其称为MataDoor,专为在网络中长期秘密操作而设计。研究人员推测将后门引入受感染系统的初始向量是一封附有包含CVE-2021-40444漏洞利用的DOCX文档的网络钓鱼电子邮件,该文件的内容与目标企业的经营领域相关,最终释放的MataDoor是一个模块化后门,在架构上它由内核(协调器)和模块(插件)组成,插件可分为用于执行来C2命令的功能插件,以及实现多种网络协议网络传输的插件。
https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/dark-river-you-can-t-see-them-but-they-re-there/
2 Xenomorph安卓恶意软件针对30家美国银行客户发起攻击
安全研究人员发现了一种名为Xenomorph的复杂Android银行木马,其背后的网络犯罪分子一年多来一直积极瞄准欧洲用户,最近Xenomorph又将目标瞄准了两打多家美国银行的客户,目前已知的目标包括大通银行、美国运通卡、Ally、花旗移动、公民银行、美国银行和Discover Mobile等知名金融机构的客户,Xenomorph木马本身被设计针对比特币、币安和Coinbase等多个加密钱包应用进行窃密,研究人员标识自8月份以来,美国和西班牙的数千名Android用户已在其系统上下载了该恶意软件。此前该银行木马被发现在Google Play移动应用商店中伪装成合法应用和实用程序,在2023年的最新一轮中威胁行为者似乎已经改变了他们的主要恶意软件分发机制,该恶意软件的运营商现在不再将Xenomorph混入到Google Play中,而是通过网络钓鱼网页进行分发。
https://www.threatfabric.com/blogs/xenomorph?&web_view=true
3 研究人员披露2023上半年度活跃前三的勒索软件家族
研究人员针对2023年上半年占据主导地位的三个最活跃的勒索软件家族:LockBit、Clop和BlackCat发布深入的研究,根据2023 年前六个月的遥测数据,研究人员在电子邮件、URL和文件层面总共检测并阻止了6,697,853例勒索软件威胁。与2022 年下半年相比,这一数字略有下降3.64%,并且在分析勒索软件团体的泄露站点,以及搜集对成功受感染组织发布攻击但拒绝支付赎金的站点数据后,研究人员观察到的RaaS(Ransomware as a service,勒索软件即服务)和RaaS相关活动团体数量增长了11.3%,其中LockBit作为检测次数最多的勒索软件家族连续18个月都处于领先地位,这体现在今年上半年成为头条新闻的许多值得注意的LockBit攻击事件中。
https://www.trendmicro.com/vinfo/us/security/news/ransomware-by-the-numbers/lockbit-blackcat-and-clop-prevail-as-top-raas-groups-for-1h-2023?&web_view=true
4 JetBrains TeamCity产品存在严重漏洞可导致远程代码执行
未经身份验证的攻击者可能会利用 JetBrains TeamCity 持续集成和持续部署 (CI/CD) 软件中的一个严重安全漏洞在受影响的系统上实现远程代码执行。该缺陷的编号为CVE-2023-42793,CVSS 评分为 9.8,并已于2023 年 9 月 6 日披露后在TeamCity 版本 2023.05.4中得到解决。上周的一份报告中表示:“攻击者可以利用此访问权限窃取源代码、服务机密和私钥,控制附加的构建代理,并毒害构建工件。”成功利用该漏洞还可能允许威胁行为者访问构建管道并注入任意代码,从而导致完整性破坏和供应链受损。由于该漏洞很容易被利用,因此该漏洞的更多详细信息已被隐瞒,研究人员指出该漏洞很可能会被威胁行为者在野外利用。
https://www.sonarsource.com/blog/teamcity-vulnerability/
5 加拿大医疗保健组织BORN泄露儿童登记数据影响340万用户
由安大略省政府资助的医疗保健组织 Better Outcomes Registration & Network (BORN) 宣布,它是 Clop 勒索软件 MOVEit 黑客攻击的受害者之一。BORN 是一个围产期和儿童登记处,负责收集、解释、共享和保护安大略省有关怀孕、出生和儿童的关键数据。MOVEit 攻击利用 Progress MOVEit Transfer 软件中的零日漏洞(CVE-2023-34362) 来破坏和窃取全球数千个组织的数据。BORN 于 5 月 31 日首次意识到安全漏洞,并在其网站上发布公告,同时通知有关当局(安大略省隐私专员)。该公司与网络安全专家合作,隔离受影响的服务器并遏制威胁,从而使其运营得以继续。调查显示,威胁行为者复制了包含约 340 万人敏感信息的文件,其中主要是新生儿和怀孕护理患者,这些人在 2010 年 1 月至 2023 年 5 月期间受益于 BORN 服务。
https://www.bornincident.ca/am-i-impacted/
6 T-Mobile否认官方数据泄露传闻并称泄露方为授权零售商
周四晚上有报道称,攻击者泄露了一个据称包含 T-Mobile 员工数据的大型数据库,T-Mobile 否认再次遭受数据泄露。该移动运营商称泄露的数据据信属于一家授权零售商,该零售商于今年早些时候遭到泄露。目前还没有发生 T-Mobile 数据泄露事件。网上引用的数据据信与今年早些时候发生的事件中一家独立拥有的授权零售商有关。T-Mobile 员工数据没有被泄露。化名为 emo 的用户在 BreachForums 黑客论坛上免费分享了一份 89 GB 的 ZIP 存档,据称其中包含 T-Mobile 数据。虽然 emo 在帖子标题中指出此次泄露与 T-Mobile 和 Connectivity Source(第三方 T-Mobile 授权零售商)有关,但该帖子表明该数据是从移动公司窃取的。论坛帖子中写道:“2023 年 4 月,T-Mobile 遭受了一次数据泄露,暴露了销售数据/分析、T-Mobile 与客户的支持通话、员工凭证、部分 SSN、电子邮件地址和客户数据。”
https://www.bleepingcomputer.com/news/security/t-mobile-denies-new-data-breach-rumors-points-to-authorized-retailer/
www_bleepingcomputer_com_news_security_t_mobile_denies_new_d.pdf
(1.4 MB, 下载次数: 5)
|
发表于 2023-9-29 08:49