免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 FBI扣押后WarzoneRAT携多阶段攻击载荷回归
研究人员观察到,在FBI拆解其恶意软件操作并查封基础设施之后,WarzoneRAT(又名Avemaria)恶意软件活动重新出现。这一最新活动可能通过以税收为主题的垃圾邮件进行传播,并采用复杂的多阶段技术来部署WarzoneRAT作为最终有效载荷。第一种情况涉及一个压缩附件中的LNK文件,该文件启动一系列PowerShell和VBScript下载,最终将有效载荷注入RegSvcs.exe。另一种情况则涉及一个ZIP压缩文件,其中包含一个合法的EXE文件、一个恶意的DLL文件和一个PDF文件,利用DLL侧加载技术执行WarzoneRAT。该恶意软件与命令和控制(C&C)服务器建立连接,从而能够在受害者的计算机上执行未经授权的访问和控制。这一回归表明,即使在重大的执法行动之后,网络犯罪分子仍能适应并持续部署复杂的恶意软件活动。
https://cyble.com/blog/warzonerat-returns-with-multi-stage-attack-post-fbi-seizure/
2 研究人员发布Solana Drainer源代码分析报告
关于Solana Drainer的源代码泄露,研究人员发现,这个项目是由MS Drainer的开发者共同开发的,后来在网络犯罪论坛上泄露。MS Drainer之前通过恶意Google和Twitter广告进行分发,导致大约63210名受害者损失了约5900万美元。泄露的源代码包含了部署Solana Drainer的详细说明和配置。此外,该恶意软件利用Telegram进行敏感信息的窃取,并通过多种技术手段如种子短语窃取等,高效地窃取受害者的加密货币资产。此外,威胁行为者还利用Google广告和社会媒体平台传播此类钱包窃取者,包括通过接管著名账户、创建假冒个人资料和使用恶意广告等手段。这些威胁行为者还在网络犯罪论坛上出售相关服务,如创建假冒着陆页、起草智能合约、使用ChatGPT创建项目帖子、设计种子短语检查器以及开发带有加密货币地址剪切器的网站等。
https://cyble.com/blog/solana-drainers-source-code-saga-tracing-its-lineage-to-the-developers-of-ms-drainer/
3 XZ实用程序中发现后门漏洞
红帽公司最近发出警告,指出大多数Linux发行版中包含的XZ格式压缩实用程序XZ Utils存在一个严重漏洞(CVE-2024-3094)。这个漏洞可能允许恶意行为者破坏sshd身份验证,并远程获得对整个系统的未经授权的访问。这个漏洞是由于xz库的5.6.0和5.6.1版本中存在恶意代码,这是由PostgreSQL开发人员Andres Freund在微软发现的。红帽表示,这些版本的库中的恶意注入已被混淆,并且仅完整包含在下载包中。此外,红帽还指出,这些易受攻击的版本尚未被Linux发行版广泛集成,大部分是在预发行版本中。受影响的发行版包括Fedora 41和Fedora Rawhide,而红帽企业Linux(RHEL)的任何版本都不会受到影响。Debian表示其稳定版本未受影响,但测试、不稳定和实验发行版受到影响。CISA建议开发人员和用户将XZ Utils降级到未受影响的版本,并报告任何恶意活动。
https://www.openwall.com/lists/oss-security/2024/03/29/4
4 新的Linux漏洞可能导致密码泄露和剪贴板劫持
研究人员发现了一个影响util-linux软件包中的“wall”命令的漏洞,编号为CVE-2024-28085,代号为WallEscape。这个漏洞可能导致用户密码泄露或剪贴板内容被更改。在满足特定条件(如mesg设置为“y”和wall设置为setgid)的情况下,攻击者可以利用未正确过滤的转义序列在用户的终端上创建虚假的sudo提示符,诱骗用户输入密码。Ubuntu 22.04和Debian Bookworm易受此攻击,而CentOS由于wall命令没有setgid权限而不易受攻击。建议用户更新到util-linux版本2.40以缓解该缺陷。
https://pwning.tech/nftables/
5 新的ZenHammer攻击绕过AMD CPU上的RowHammer防御
苏黎世联邦理工学院的网络安全研究人员开发了名为ZenHammer的新型DRAM(动态随机存取存储器)攻击变体,这种攻击可以绕过AMD Zen 2和Zen 3系统上的目标行刷新(TRR)等缓解措施。该攻击首次在DDR5设备上触发RowHammer位翻转,尽管制造商已经采取了针对该问题的缓解措施。研究人员表示,AMD系统与Intel系统一样容易受到Rowhammer攻击,这增加了攻击面。研究人员还提供了最佳的锤击指令序列,以提高行激活率,从而促进更有效的锤击。AMD表示正在评估DDR5设备上的RowHammer位翻转,并将在完成后提供更新。
https://comsec.ethz.ch/research/dram/zenhammer/
6 美国快时尚品牌遭受撞库攻击客户信息暴露
Hot Topic, 一家专注于反主流文化相关服装和配饰的美国快时尚公司,近期遭受了撞库攻击,影响了其网站和移动应用程序。攻击者在2023年11月18日至19日和11月25日利用从第三方来源获取的有效账户凭据发起了攻击。撞库攻击是一种黑客使用自动化手段和受损的用户名及密码列表来破坏身份验证机制,目的是账户接管和数据泄露。Hot Topic在发现可疑登录活动后进行了调查,并确认了这些攻击。公司告知客户,虽然未发现任何未经授权访问奖励账户的情况,但威胁行为者可能已经获得了部分客户的个人信息,包括姓名、电子邮件地址、订单历史、电话号码、出生月份和日期以及邮寄地址。如果客户在其奖励账户中保存了支付卡信息,攻击者可能也获取了卡号的最后四位数字。Hot Topic已采取措施加强其网络安全防护,并建议客户更改账户密码。
https://securityaffairs.com/161192/data-breach/hot-topic-suffered-credential-stuffing-attacks.html
|
发表于 2024-3-30 13:21