找回密码
 注册创意安天

每日安全简讯(20240809)

[复制链接]
发表于 2024-8-8 17:26 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 CMoon USB蠕虫攻击俄罗斯高价值目标窃取数据

2024年8月7日,研究人员报道,一种名为“CMoon”的新型自传播蠕虫自2024年7月初以来在俄罗斯传播,旨在窃取账户凭证和其他数据。研究人员发现该蠕虫通过一家燃气供应公司网站传播,目标主要是高价值对象而非普通互联网用户。CMoon能够加载额外的恶意负载、截取屏幕截图并发起分布式拒绝服务(DDoS)攻击。感染链开始于用户点击网站上提供的文档链接,文档被替换为包含恶意执行文件的自解压档案。燃气公司在7月25日被通知后移除了恶意文件和链接,但由于CMoon的自传播特性,其分发可能仍在继续。
1.png
https://securelist.ru/how-the-cmoon-worm-collects-data/109988/


2 STAC6451攻击印度多家组织并部署Mimic勒索软件

研究人员在支持一起活跃事件时,发现了一个新的威胁活动集群STAC6451,该集群通过公开暴露在互联网的Microsoft SQL Server数据库服务器(默认TCP/IP端口1433)对印度的多家组织进行攻击,试图部署勒索软件。STAC6451集群的主要特征是滥用SQL Server进行未经授权的访问,并通过xp_cmdshell远程执行代码,使用BCP(大批量复制程序)工具在被攻击的MSSQL数据库中安置恶意负载和工具,包括权限提升工具、Cobalt Strike Beacons和Mimic勒索软件二进制文件。此外,攻击者还利用Python Impacket库创建各种后门账户用于横向移动和持久化。研究人员首次在2024年3月末发现该活动,当时支持某组织的SQL Server遭到攻击并尝试横向移动。深入分析后,发现了多个具有相似战术、技术和程序(TTPs)的事件,最终形成了STAC6451集群。该集群主要通过暴露在互联网的MSSQL服务器获取初始访问权限,并使用简单账户凭证进行暴力破解攻击。攻击者在获取访问权限后,启用xp_cmdshell以通过SQL服务执行命令。
2.png
https://news.sophos.com/en-us/2024/08/07/sophos-mdr-hunt-tracks-mimic-ransomware-campaign-against-organizations-in-india/


3 勒索软件攻击致Sonic Automotive损失3000万美元收入

Sonic Automotive向投资者披露,一起针对其关键服务提供商CDK Global的勒索软件攻击导致其每股收益在截至6月30日的季度中下降了三分之一。作为美国第五大汽车零售商,Sonic Automotive因CDK Global在6月19日的网络勒索事件受到严重影响,多个系统被迫停用,包括销售、库存、会计和客户关系管理系统,导致北美汽车零售行业销售受损。Sonic Automotive报告称,第二季度GAAP稀释后每股收益为1.18美元,比预期低0.64美元,主要因CDK Global系统中断导致的估计收入损失和费用增加。此次事件估计使其第二季度税前收入减少约3000万美元,净收入减少约2220万美元,其中约1160万美元用于支付因CDK停电而产生的员工额外补偿。
3.png
https://www.board-cybersecurity.com/incidents/tracker/20240621-sonic-automotive-inc-cybersecurity-incident/#8-ka-filed-on-2024-08-05


4 McLaren医院系统因INC Ransom勒索软件攻击中断

McLaren Health Care医院的IT和电话系统在一次与INC Ransom勒索软件有关的攻击后中断。McLaren是一家年收入超过65亿美元的非营利性医疗系统,在密歇根州运营13家医院,拥有640名医生和超过28000名员工,并与印第安纳州和俄亥俄州的113000个网络提供商合作。McLaren在其网站上发布声明称,正在调查其信息技术系统的中断,建议患者在预约时携带详细的药物信息、医生订单和最近的实验室测试结果。部分预约和非紧急或选择性程序可能会被重新安排。尽管McLaren尚未披露事件的具体性质,但McLaren Bay Region Hospital的员工分享了一份勒索信,警告称医院系统已被加密,如果不支付赎金,数据将被泄露到INC Ransom勒索软件团伙的网站上。
4.png
https://www.mclaren.org/main/notification


5 Roundcube Webmail漏洞使黑客能够窃取电子邮件和密码

研究人员披露了Roundcube Webmail软件中的安全漏洞,这些漏洞在特定情况下可被利用在受害者的浏览器中执行恶意JavaScript,从而窃取其账户中的敏感信息。研究人员的分析报告指出,当受害者在Roundcube中查看攻击者发送的恶意邮件时,攻击者可以在受害者的浏览器中执行任意JavaScript代码,从而窃取邮件、联系人和电子邮件密码,并以受害者的名义发送邮件。这些漏洞在2024年6月18日披露后,已在8月4日发布的Roundcube版本1.6.8和1.5.8中得到修复。成功利用这些漏洞后,未经身份验证的攻击者可以窃取邮件和联系人,并从受害者的账户发送邮件。
5.png
https://www.sonarsource.com/blog/government-emails-at-risk-critical-cross-site-scripting-vulnerability-in-roundcube-webmail/


6 研究人员发现新型Linux内核技术

研究人员披露了一种名为“SLUBStick”的新型Linux内核漏洞利用技术。该技术可将有限的堆漏洞提升为任意内存读写操作。Graz技术大学的一组学者表示,SLUBStick通过利用分配器的时间侧信道进行跨缓存攻击,提高了漏洞利用的成功率,尤其是在常用的通用缓存中,成功率超过99%。尽管Linux内核的内存安全漏洞由于存在诸如监督模式访问防止(SMAP)、内核地址空间布局随机化(KASLR)和内核控制流完整性(kCFI)等安全特性而难以利用,但SLUBStick成功在Linux内核的5.19和6.2版本上演示了该技术,利用2021年至2023年间发现的九个安全漏洞(如双重释放、使用后释放和越界写入),实现了无需认证的权限提升到root级别以及容器逃逸。
6.png
https://www.stefangast.eu/papers/slubstick.pdf



您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 14:49

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表