https://bbs.antiy.cn/forum.php?mod=attachment&aid=NDg0NDE0fDA2YmNiZDBifDE3MzU0MDY0NTh8MHw%3D免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 美国及其盟友警告APT29组织转向云攻击
五眼 (FVEY) 情报联盟成员警告称,APT29 俄罗斯对外情报局 (SVR) 黑客现在正转向针对受害者的云服务进行攻击。APT29 (也被称为 Cozy Bear、Midnight Blizzard、The Dukes)在三年多前精心策划的SolarWinds 供应链攻击之后,入侵了多个美国联邦机构。APT29 最初的云漏洞向量还包括使用被盗的访问令牌(使他们能够在不使用凭据的情况下劫持帐户)、受感染的住宅路由器来代理其恶意活动、绕过多因素身份验证 (MFA) 的 MFA 疲劳以及将自己的设备注册为受害者云租户上的新设备。此通报概述了参与者为获得云环境的初始访问权限而部署的 TTP,并包括检测和缓解此活动的建议。
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-057a
Advisory-SVR-cyber-actors-adapt-tactics-for-initial-cloud-access.pdf
(2.09 MB, 下载次数: 28)
2 朝鲜黑客利用恶意npm软件包瞄准开发人员
研究人员发现在 Node.js 存储库中发现的一组假 npm 包与朝鲜国家资助的参与者有联系。其中一个有问题的包,execution-time-async是一个 Node.js 实用程序,用于测量代码中的执行时间。研究人员表示,它“实际上安装了多个恶意脚本,包括加密货币和凭证窃取程序”自 2024 年 2 月 4 日以来,该软件包已被下载 302 次,随后被删除。一个有趣的变化是,威胁行为者努力将混淆后的恶意代码隐藏在测试文件中,该文件旨在从远程服务器获取下一阶段的有效负载。
https://blog.phylum.io/smuggling-malware-in-test-code/
3 黑客利用已停用CMS编辑器攻击政府和教育网站
威胁行为者正在利用 14 年前停止使用的 CMS 编辑器来危害世界各地的教育和政府实体,通过恶意网站或诈骗来篡改搜索结果。开放重定向是指网站允许任意重定向请求,在没有充分验证或安全检查的情况下将用户从原始站点带到外部 URL。攻击者滥用这些开放重定向来执行网络钓鱼攻击、传播恶意软件或欺骗用户,同时看似来自合法域。由于 URL 托管在受信任的域上,因此它们可能会绕过安全产品使用的 URL 过滤器。
https://www.bleepingcomputer.com/news/security/hackers-exploit-14-year-old-cms-editor-on-govt-edu-sites-for-seo-poisoning/
4 新IDAT加载程序使用隐写术推送商业木马
总部位于芬兰的乌克兰实体已成为恶意活动的一部分,该活动使用名为 IDAT Loader 的恶意软件加载程序分发名为 Remcos RAT 的商业远程访问木马。此次攻击研究人员追踪到,名为 UAC-0184 的威胁行为者所为。研究人员探讨了攻击的更广泛的执行过程,强调了关键的独特方面,包括 IDAT 加载程序的使用以及针对芬兰乌克兰实体的攻击。CERT-UA(在乌克兰编写)和Uptycs之前已审查了相关 Remcos RAT 攻击的详细技术发现,描述了妥协指标 (IoC) 和详细的 TTP。
https://blog.morphisec.com/unveiling-uac-0184-the-remcos-rat-steganography-saga
5 8000多个品牌域名被劫持用于传播大规模垃圾邮件
研究人员发现了一场规模庞大的子域名劫持活动,已损害了来自知名品牌和机构的8,000多个域名,包括MSN、VMware、McAfee、《经济学人》、康奈尔大学、CBS、Marvel、eBay等。这种被称为“SubdoMailing”的恶意活动利用与这些域相关的信任,每天传播数以百万计的垃圾邮件和恶意网络钓鱼电子邮件,利用其可信度和被盗资源来绕过安全措施。研究人员披露了如何检测到这种广泛的子域劫持行为、其机制、其前所未有的规模以及其背后的主要威胁参与者。此外,还开发了“SubdoMailing”检查器,旨在使域名所有者能够收回对其受损资产的控制权,并保护自己免受此类普遍威胁的侵害。
https://labs.guard.io/subdomailing-thousands-of-hijacked-major-brand-subdomains-found-bombarding-users-with-millions-a5e5fb892935
6 钢铁巨头蒂森克虏伯证实汽车部门遭受网络攻击
蒂森克虏伯股份公司是全球最大的钢铁生产商之一,是全球产品供应链的重要组成部分,这些产品使用钢铁作为材料,应用于机械、汽车、电梯和自动扶梯、工业工程、可再生能源和建筑等各个领域拥有超过 10 万名员工,年收入超过 444 亿美元(2022 年)。钢铁巨头蒂森克虏伯证实,黑客入侵了其汽车部门的系统,当前采取了各种安全措施,暂时下线了某些应用程序和系统。没有其他业务部门或部门受到网络攻击的影响,此次网络攻击发生在汽车部门。该公司还表示,情况已得到控制,他们正在努力逐步恢复正常运营。
https://www.bleepingcomputer.com/news/security/steel-giant-thyssenkrupp-confirms-cyberattack-on-automotive-division/
|