免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 研究人员披露新型Godzilla Web Shell攻击中利用Apache ActiveMQ漏洞
网络安全研究人员警告说,威胁行为者的活动“显着增加”,他们积极利用 Apache ActiveMQ 中现已修补的缺陷,在受感染的主机上传递 Godzilla Web shell。网络 shell 隐藏在未知的二进制格式中,旨在逃避安全和基于签名的扫描程序。值得注意的是,尽管二进制文件格式未知,ActiveMQ 的 JSP 引擎仍继续编译并执行 Web shell。CVE-2023-46604(CVSS 评分:10.0)是指Apache ActiveMQ 中的一个严重漏洞,该漏洞可实现远程代码执行。自 2023 年 10 月下旬公开披露以来,它已被多个对手积极利用,以部署勒索软件、rootkit、加密货币矿工和DDoS 僵尸网络。
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/apache-activemq-vulnerability-leads-to-stealthy-godzilla-webshell/
2 加密货币窃密木马利用DNS记录中隐藏的恶意脚本传递载荷
黑客正在使用一种隐秘的方法,通过隐藏恶意脚本的 DNS 记录向 macOS 用户传递信息窃取恶意软件。该活动似乎针对 macOS Ventura 及更高版本的用户,并依赖于重新打包为包含木马的 PKG 文件的破解应用程序。研究人员发现了该活动并分析了感染链的各个阶段。受害者按照安装说明将其放入 /Applications/ 文件夹后下载并执行恶意软件,假设它是他们下载的破解应用程序的激活器。这将打开一个伪造的激活器窗口,要求输入管理员密码。获得许可后,恶意软件会通过“AuthorizationExecuteWithPrivileges”函数运行“工具”可执行文件 (Mach-O),然后检查系统上是否有 Python 3,如果不存在则安装它,使该过程看起来像“应用程序修补”。
https://securelist.com/new-macos-backdoor-crypto-stealer/111778/
3 美国证券交易委员会SEC确认X账户在SIM卡交换攻击中遭到网络攻击
美国证券交易委员会今天确认,其 X 账户因与该账户关联的手机号码遭到 SIM 卡交换攻击而遭到黑客攻击。本月早些时候, SEC 的 X 账户遭到黑客攻击 ,发布了一份虚假公告,称该机构最终批准了在证券交易所上市的比特币 ETF。而美国证券交易委员会第二天就在一份合法声明中批准了比特币 ETF。然而,当时尚不清楚该账户是如何被泄露的,美国证券交易委员会表示,他们将在调查结果公布后提供最新情况。今天,SEC 已确认与 X 帐户关联的手机帐户遭受了 SIM 交换攻击。
https://www.bleepingcomputer.com/news/security/sec-confirms-x-account-was-hacked-in-sim-swapping-attack/
4 攻击者利用Atlassian Confluence产品RCE漏洞发起网络攻击
安全研究人员正在观察 CVE-2023-22527 远程代码执行缺陷漏洞的利用尝试,该漏洞影响过时版本的 Atlassian Confluence 服务器。Atlassian上周披露了该安全问题 ,并指出该问题仅影响 2023 年 12 月 5 日之前发布的 Confluence 版本,以及一些不受支持的版本。该缺陷的严重性评分很高,被描述为模板注入漏洞,允许未经身份验证的远程攻击者在易受攻击的 Confluence 数据中心和 Confluence 服务器端点(版本 8.0.x、8.1.x、8.2.x、8.3.x)上执行代码、8.4.x 和 8.5.0 到 8.5.3。修复适用于 Confluence Data Center 和服务器版本 8.5.4 (LTS)、8.6.0(仅限数据中心)和 8.7.1(仅限数据中心)及更高版本。威胁监控服务 Shadowserver 今天报告称,其系统记录了数千次利用 CVE-2023-22527 的尝试,这些攻击源自 600 多个唯一 IP 地址。
https://www.bleepingcomputer.com/news/security/hackers-start-exploiting-critical-atlassian-confluence-rce-flaw/
5 研究人员披露攻击者在被黑网站中隐藏恶意网络重定向脚本
安全研究人员查看了 Parrot 流量引导系统 (TDS) 使用的 10000 多个脚本,发现了一种以优化为标志的演变,使恶意代码对安全机制更加隐蔽。Parrot TDS 于 2022 年 4 月被研究人员发现,据信自 2019 年以来一直活跃,这是一项针对易受攻击的 WordPress 和 Joomla 网站的活动的一部分,该活动使用 JavaScript 代码将用户重定向到恶意位置。Parrot 已经感染了至少 16500 个网站,这表明这是一次大规模的操作。Parrot 背后的运营商将流量出售给威胁行为者,威胁行为者将其用于访问受感染网站的用户,以进行分析并将相关目标重定向到恶意目的地,例如网络钓鱼页面或传播恶意软件的位置。研究人员分析了 2019 年 8 月至 2023 年 10 月期间收集的 10,000 个 Parrot 登陆脚本。研究人员发现了四个不同的版本,显示了混淆技术使用的进展。Parrot 的登陆脚本有助于用户分析,并强制受害者的浏览器从攻击者的服务器获取有效负载脚本,从而执行重定向。
https://unit42.paloaltonetworks.com/parrot-tds-javascript-evolution-analysis/
6 抵押贷款机构LoanDepot遭遇网络攻击导致1660万用户数据泄露
抵押贷款机构 LoanDepot 表示,在本月早些时候披露的勒索软件攻击中,约 1660 万人的个人信息被盗。1 月 6 日的一次攻击迫使其关闭部分系统以遏制违规行为,该公司告诉客户,定期自动付款仍将得到处理,但付款历史记录会出现延迟。事件发生后,通过服务客户门户进行的付款也无法使用,其他几个在线门户,包括 MyloanDepot、HELOC 和 mellohome 网站也处于离线状态。几天后,loanDepot确认这是一次勒索软件攻击,恶意行为者还对受感染设备上的文件进行加密。今天,在确认数百万人的数据被盗后,该公司表示将通知受此数据泄露影响的个人,为他们提供免费的信用监控和身份保护服务。
https://www.businesswire.com/news/home/20240122969848/en/loanDepot-Provides-Update-on-Cyber-Incident
|