免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Winter Vivern利用Roundcube零日漏洞窃取邮件
Winter Vivern是一个自2020年起就活跃的网络间谍组织,主要针对欧洲和中亚的政府机构。研究人员在常规监测中发现,该组织从2023年10月11日开始利用Roundcube Webmail服务器的一个零日XSS漏洞。Roundcube是一个开源的Webmail服务器,被许多不同的组织使用。研究人员在2023年10月12日发现了这个漏洞,并立即向Roundcube团队报告,Roundcube团队在2023年10月14日迅速修复了漏洞,并发布了安全更新。研究人员建议尽快更新Roundcube Webmail到最新版本。该组织通过发送特制的电子邮件来远程利用XSS漏洞,CVE-2023-5631。这些电子邮件看起来并不恶意,但是如果检查HTML源代码,就可以看到一个包含了恶意负载的SVG标签。攻击者能够在Roundcube用户的浏览器窗口中加载任意JavaScript代码,无需任何手动交互,只需在浏览器中查看邮件即可。最终的JavaScript负载可以将电子邮件泄露给该组织的命令和控制服务器。
https://www.welivesecurity.com/en/eset-research/winter-vivern-exploits-zero-day-vulnerability-roundcube-webmail-servers/
2 YoroTrooper组织伪装成阿塞拜疆人发动网络间谍攻击
YoroTrooper是一个自2022年6月起就活跃的网络间谍组织,主要针对独联体国家和土耳其等欧亚地区的政府机构。研究人员高度确定该组织的成员来自哈萨克斯坦,依据是他们使用哈萨克斯坦货币和精通哈萨克语和俄语。该组织试图掩盖他们的攻击来源,采用各种手段让他们的恶意活动看起来是来自阿塞拜疆,例如使用当地的VPN出口节点。YoroTrooper的攻击目标主要集中在独联体国家,该组织在2023年5月至8月期间入侵了多个国有网站和这些国家政府官员的账户。研究人员的发现还表明,除了常见的和定制的恶意软件外,YoroTrooper还继续大量依赖于发送钓鱼邮件,引导受害者到收集凭证的网站,这与研究人员最近的报告一致。YoroTrooper最近的重新配置工作表明,他们有意识地远离常见的恶意软件,越来越多地依赖于不同平台(如Python、PowerShell、GoLang和Rust)上的新定制恶意软件。
https://blog.talosintelligence.com/attributing-yorotrooper/
3 恶意广告攻击巴西PIX支付系统
近日,一场恶意广告攻击利用搜索引擎上的广告链接,诱导用户下载并安装GoPIX恶意软件,从而窃取巴西的PIX即时支付系统中的资金。据研究人员称,这场攻击自2022年12月以来一直在活跃,目标是那些在搜索引擎上搜索“WhatsApp web”的用户。如果用户点击了这些广告链接,他们就会被重定向到一个假冒的WhatsApp下载页面,然后下载一个包含恶意代码的安装程序。GoPIX恶意软件的主要功能是劫持PIX支付请求,并将其替换为攻击者控制的PIX字符串,这些字符串是从一个命令和控制服务器上获取的。研究人员表示,“该恶意软件还支持替换比特币和以太坊钱包地址,但这些地址是硬编码在恶意软件中的,而不是从服务器上获取的。”此外,该恶意软件还可以接收服务器的命令,但这些命令只与从机器上删除恶意软件有关。
https://securelist.com/crimeware-report-gopix-lumar-rhysida/110871/
4 OAuth存在严重漏洞,影响多个在线服务
OAuth是一种常用的跨应用访问机制,允许网站或应用访问其他网站上的用户信息,例如Facebook,但不需要提供密码。然而,近日,研究人员发现了多个在线服务的OAuth存在严重的安全漏洞,这些漏洞可能被恶意攻击者利用,获取访问令牌并劫持用户账户。这些受影响的在线服务包括Grammarly, Vidio, 和 Bukalapak等。这些漏洞已经在研究人员在2023年2月至4月期间进行负责任披露后被各自公司修复。其中,Vidio和Bukalapak的问题在于缺乏令牌验证,意味着攻击者可以使用为另一个App ID生成的访问令牌,这个App ID是Facebook为每个在其开发者门户注册的应用或网站创建的一个随机标识符。在一个可能的攻击场景中,攻击者可以创建一个流氓网站,提供通过Facebook登录的选项,收集访问令牌,并随后将它们用于Vidio.com(其App ID为92356)或Bukalapak.com(其App ID为12345),从而实现完全账户接管。而Grammarly的问题在于当用户尝试使用“通过Facebook登录”选项登录他们的账户时,会向auth.grammarly[.]com发送一个HTTP POST请求,使用一个秘密代码来进行身份验证。
https://salt.security/blog/oh-auth-abusing-oauth-to-take-over-millions-of-accounts
5 VMWare紧急更新vCenter Server,修复两个高危漏洞
VMWare发布了一项更新,修复了其服务器管理软件vCenter Server中的一个越界写入和一个信息泄露漏洞。由于没有产品内部的解决方案,客户被建议尽快应用更新。受影响的产品是VMWare vCenter Server 7.0和8.0版本,以及VMWare Cloud Foundation 5.x和4.x版本。这两个漏洞在公共漏洞和暴露(CVE)数据库中被分别记录为CVE-2023-34048和CVE-2023-340561。CVE-2023-34048是一个越界写入漏洞,存在于vCenter Server对DCERPC协议的实现中。一个具有网络访问权限的恶意攻击者可以触发一个越界写入,可能导致远程代码执行(RCE)。该漏洞的CVSS评分为9.8(满分10分)。DCERPC是分布式计算环境/远程过程调用的缩写,是一种远程过程调用系统,允许程序员编写分布式软件,就像它们都在同一台计算机上运行一样,而不必担心底层的网络代码。一个越界写入或读取缺陷使得可能操纵分配给更关键功能的内存部分。这可能允许攻击者将代码写入到内存的一个部分,其中它将以程序和用户不应该拥有的权限执行。VMWare目前没有发现“野外”的利用情况,但敦促客户将其视为紧急更新,并尽快采取行动。
https://www.vmware.com/security/advisories/VMSA-2023-0023.html
6 Redcliffe Labs数据泄露影响1200万患者信息
Redcliffe Labs是印度最大的诊断中心之一,提供多种医疗检测服务,包括血液检测、基因检测、癌症检测等。该公司还提供移动应用程序,方便用户在线预约和查看检测结果。近日,网络安全研究员发现了一个没有密码保护的数据库,其中包含了超过1200万条医疗检测记录,涉及患者姓名、医生姓名、检测结果、诊断报告等敏感信息。这些记录总共占用了7TB的空间。研究人员立即向Redcliffe Labs发送了负责任的披露通知,并得到了该公司的回复和感谢。该公司在当天就限制了公共访问权限,但不清楚数据库暴露了多久,以及是否有未经授权的人员访问了这些健康记录。Redcliffe Labs目前尚未对此事发表正式声明,也没有透露受影响的患者数量和范围。
https://www.websiteplanet.com/news/redcliffe-breach-report/
|
发表于 2023-10-26 20:15
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡