找回密码
 注册创意安天

每日安全简讯(20240820)

[复制链接]
发表于 2024-8-19 17:30 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 攻击者仿冒WACC赛事网站钓鱼传播Havoc C2恶意软件

研究人员发现一个仿冒“世界农业自行车比赛”(WACC)官方网站的钓鱼网站。这一伪造网站通过轻微的修改,难以与真实网站区分,意图欺骗不明真相的访客。WACC赛事旨在促进农业与体育行业的联系,活动结束后,威胁行为者利用这一点,以“PHOTO”栏目诱骗用户下载包含恶意软件的ZIP文件。该ZIP文件内隐藏三个伪装成图片的快捷方式文件,一旦执行,将触发复杂的感染链,并最终传播Havoc C2恶意软件。Havoc C2试图通过Azure Front Door域建立联系,该域可能作为流量的中转站,最终将流量重定向至实际的指挥控制服务器,从而执行进一步的恶意操作。
1.png
https://cyble.com/blog/world-agricultural-cycling-competition-wacc-participants-targeted-for-havoc-c2-dissemination/


2 FIN7网络犯罪集团新基础设施曝光

研究人员发现了与FIN7网络犯罪集团相关的新基础设施。这些基础设施由来自俄罗斯的Post Ltd和爱沙尼亚的SmartApe提供,表明FIN7通过这些IP地址进行通信。最新的分析显示,这些主机可能是通过Stark的经销商采购的。研究发现,FIN7的基础设施与至少15个Stark分配的主机和16个其他主机进行了通信。Stark在负责任的披露后已暂停这些服务。
2.png
https://www.team-cymru.com/post/fin7-the-truth-doesn-t-need-to-be-so-stark


3 研究人员揭露CryptoCore诈骗集团复杂的加密货币诈骗活动

随着数字货币的快速增长,加密货币诈骗也日益猖獗,对投资者和用户构成了重大风险。CryptoCore是一个以其复杂手法著称的诈骗集团,利用深度伪造技术和被劫持的YouTube账户,通过伪造的名人视频和精心设计的网站来欺骗受害者。这些诈骗常以高额回报的承诺吸引目标,利用人工智能和虚假视频来提高欺骗的可信度。CryptoCore利用这些技术通过各大平台进行诈骗,包括曾经劫持过的Twitter账户、YouTube频道,以及最近在TikTok、Telegram和WhatsApp上也出现的类似手法。尽管谷歌和其他研究者已对这些技术进行过大量研究,但诈骗者仍能定期突破防线。研究人员详细分析了CryptoCore集团的诈骗模式、关键事件以及其使用的技术手段,揭示了其如何通过虚假赠品活动和深度伪造视频成功诈骗大量用户,加密货币诈骗的受害者已经损失了数百万美元。
3.png
https://decoded.avast.io/martinchlumecky1/cryptocore-unmasking-the-sophisticated-cryptocurrency-scam-operations/


4 研究人员对Ingress-NGINX注解验证绕过漏洞深度解析

新发现的Kubernetes漏洞CVE-2024-7646对广泛使用的Ingress-NGINX控制器构成了重大安全威胁。该漏洞允许恶意行为者绕过注解验证,可能获取未授权的集群资源访问权限。Ingress-NGINX作为Kubernetes的反向代理和负载均衡器,负责管理对集群内服务的外部访问。漏洞源于Ingress对象注解验证中的缺陷,攻击者可通过注解注入恶意内容,绕过原有验证,导致任意命令执行和对Ingress-NGINX控制器凭证的访问。这一漏洞影响所有版本低于v1.11.2的Ingress-NGINX控制器,特别对多租户Kubernetes环境和默认配置的集群构成较大风险。
4.png
https://www.armosec.io/blog/cve-2024-7646-ingress-nginx-annotation-validation-bypass/


5 微软修复朝鲜Lazarus集团利用的零日漏洞

微软修复了一个被朝鲜国家赞助的Lazarus集团利用的零日漏洞,该漏洞被追踪为CVE-2024-38193,CVSS评分为7.8。该漏洞存在于Windows Ancillary Function Driver(AFD.sys)中,允许攻击者通过特权升级获取SYSTEM权限。该漏洞在2024年6月被发现,并在微软的Patch Tuesday更新中得到修复。研究人员发现并报告了这一漏洞。攻击者利用这一漏洞绕过正常的安全限制,访问敏感系统区域,攻击通常使用一种名为FudModule的rootkit以规避检测。这种攻击与2024年2月修复的CVE-2024-21338类似,也被Lazarus集团利用。两者都利用了Windows主机上已安装的驱动程序中的安全漏洞,而非引入新的易受攻击驱动程序。
5.png
https://thehackernews.com/2024/08/microsoft-patches-zero-day-flaw.html


6 Rhysida将以5比特币拍卖《华盛顿时报》内部文件

《华盛顿时报》成为了最新的Rhysida勒索软件攻击受害者,攻击者计划在暗网拍卖这家报纸的被盗数据,起拍价为5比特币,相当于292030美元。Rhysida给出了七天的准备时间,并发布了部分被盗数据样本,包括公司文件、银行对账单、员工文件、德克萨斯州驾驶执照复印件和社会保障卡。报道时,《华盛顿时报》的网站运作正常。Rhysida以RaaS(勒索软件即服务)模式运作,曾攻击过英国国家图书馆和芝加哥儿童医院等高-profile机构,以双重勒索手段著称,即使在支付赎金后仍威胁发布被盗数据。
6.png
https://www.securitylab.ru/news/551155.php



您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 14:59

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表