找回密码
 注册创意安天

每日安全简讯(20240818)

[复制链接]
发表于 2024-8-17 14:32 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 俄罗斯黑客通过假冒品牌网站传播DanaBot与StealC恶意软件

2024年8月16日,研究人员揭露了一项复杂的信息窃取行动,由俄罗斯黑客组织Tusk策划。该行动通过假冒合法品牌的网站和社交媒体账户传播DanaBot和StealC恶意软件。研究人员发现,该行动包括19个子活动,其中3个目前仍在活跃中。攻击者通过Dropbox托管的下载器向受害者设备传送恶意软件,包括信息窃取器和剪贴板劫持器。这些恶意程序不仅窃取个人和金融信息,还可入侵游戏账户和加密货币钱包。研究指出,黑客利用了用户对知名平台的信任,通过网络钓鱼和多阶段恶意软件投放机制,展示了其先进的攻击能力。
1.png
https://securelist.com/tusk-infostealers-campaign/113367/


2 新型恶意软件针对macOS系统上的100多种浏览器扩展进行攻击

2024年8月16日,研究人员发现了一种新型的恶意软件——Banshee Stealer,该软件专门针对Apple的macOS系统。Banshee Stealer在网络黑市上的售价高达每月3000美元,支持x86_64和ARM64架构。该恶意软件具有广泛的攻击能力,能够针对包括Google Chrome、Mozilla Firefox、Brave等在内的多种浏览器以及大约100种浏览器扩展和多种加密货币钱包进行攻击。它还能够收集系统信息、iCloud Keychain密码和Notes数据,并通过反分析和反调试措施来规避检测。Banshee Stealer利用osascript伪装成假密码提示框,诱使用户输入系统密码,从而提升权限。它还会收集特定文件类型的数据,并将其打包成ZIP文件上传到远程服务器。
2.png
https://www.elastic.co/security-labs/beyond-the-wail


3 研究人员深入解析MariaDB RCE漏洞及其模拟攻击

研究人员深入分析了MariaDB和Percona Server中的远程代码执行漏洞CVE-2021-27928。此漏洞影响多个版本的MariaDB、Percona Server和MySQL的wsrep插件,允许攻击者通过不受信任的路径注入恶意代码。攻击者可以利用此漏洞在系统上执行任意代码,甚至获取反向Shell。通过Docker模拟攻击过程,研究人员展示了如何通过设置wsrep_provider和wsrep_notify_cmd系统变量来触发漏洞,并执行恶意.so库文件。研究人员已通过将相关变量设为只读修复了此漏洞。
3.png
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/deep-dive-and-simulation-of-a-mariadb-rce-attack-cve-2021-27928/


4 攻击者利用公开的.env文件进行云账户入侵与敲诈活动

研究人员报告了一项大规模敲诈活动,攻击者通过公开的环境变量文件(.env)入侵了多个组织的云和社交媒体账户。攻击者在受害者的AWS环境中建立基础设施,扫描超过2.3亿个唯一目标以获取敏感数据。此次攻击共涉及110000个域名,窃取了90000个独特变量,其中包括7000个云服务和1500个社交媒体账户的凭证。攻击者通过将勒索信放入被盗数据的云存储容器中进行敲诈,而非加密数据。此攻击不依赖于云服务的安全漏洞,而是利用了不安全的公开.env文件。攻击者利用AWS IAM访问密钥创建新角色,执行自动化的全球扫描操作,最终通过将被盗数据上传至受控的AWS S3桶并要求赎金。
4.png
https://unit42.paloaltonetworks.com/large-scale-cloud-extortion-operation/


5 多阶段ValleyRAT恶意软件利用高级战术针对用户展开攻击

研究人员揭示了一项针对用户的复杂恶意软件攻击活动。该活动使用了名为ValleyRAT的多阶段恶意软件,具有高度的隐蔽性和攻击性。ValleyRAT通过各种技术监控和控制受害者,并通过在内存中直接执行shellcode减少了其在系统中的文件足迹。攻击过程始于伪装成合法应用程序的第一阶段加载程序,例如“工商年报大师.exe”或“补单对接更新记录txt.exe”。执行这些伪装文件后,恶意shellcode被加载并进入下一个攻击阶段,同时进行虚拟机检测以确保环境的真实性。加载程序还会验证是否在虚拟机中运行,并利用合法的二进制文件(fodhelper.exe)来提升权限,绕过用户账户控制(UAC)。ValleyRAT的第二阶段涉及运行RuntimeBroker和RemoteShellcode组件,这些组件从指挥和控制(C2)服务器下载后,继续部署恶意插件和配置持久性。RuntimeBroker负责从C2服务器检索Loader组件,RemoteShellcode则用来获取最终的ValleyRAT下载器,并通过UDP或TCP套接字连接到服务器。
5.png
https://www.fortinet.com/blog/threat-research/valleyrat-campaign-targeting-chinese-speakers


6 阿拉巴马心脏科诊所数据泄露影响28.1万患者

阿拉巴马心脏科集团(Alabama Cardiology Group)近期披露,约28.1万名当前及过去的患者、医生和员工的敏感信息遭遇黑客攻击。该集团隶属于Grandview医疗中心,涉及的敏感数据包括个人身份信息、社会保险号、健康保险信息、用户名及密码等,甚至包括金融信息如信用卡和银行账户信息。黑客攻击发生在2024年6月6日至7月2日之间,攻击者通过网络服务器获得了这些信息。阿拉巴马心脏科集团在7月2日发现网络遭到未授权访问后,将网络与互联网断开,并随即通知了执法部门和联邦监管机构。专家指出,此次攻击可能与凭证滥用有关,表明安全措施存在不足。
6.png
https://www.acgsecurityincident.com/



您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 14:40

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表