找回密码
 注册创意安天

每日安全简讯(20240829)

[复制链接]
发表于 2024-8-28 17:45 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 macOS版HZ RAT后门程序瞄准中国聊天应用用户

近日,研究人员发现,一款名为HZ RAT的后门程序已针对中国用户的macOS系统进行攻击,目标包括钉钉和微信等即时通讯应用。这款恶意软件最早于2022年由德国网络安全公司DCSO首次发现,最初通过恶意的RTF文档或自解压压缩包在Windows系统上传播。最新的macOS版本几乎完全复制了Windows版本的功能,通过shell脚本从攻击者的服务器获取有效载荷。HZ RAT主要功能包括执行PowerShell命令、写入和上传文件,以及收集用户敏感信息,如微信ID、邮箱、手机号码等。攻击者还可获取钉钉用户的组织和部门信息。研究显示,HZ RAT早在2020年就已经活跃,且该恶意软件背后的威胁行为者至今仍在进行相关活动。
1.png
https://securelist.com/hz-rat-attacks-wechat-and-dingtalk/113513/


2 微软Sway被用于大规模二维码网络钓鱼攻击

研究人员发现了一场大规模的二维码网络钓鱼攻击,此次攻击利用微软的Sway云端工具来托管钓鱼页面,诱导Microsoft 365用户泄露登录凭证。该活动主要针对亚洲和北美的用户,目标行业包括科技、制造和金融等领域。攻击者通过电子邮件引导受害者扫描嵌入的二维码,从而将他们带到恶意网站上。由于移动设备的安全措施相对较弱,受害者在扫描二维码后更容易被攻击。此外,攻击者还利用Cloudflare Turnstile等工具隐藏钓鱼内容,以逃避网络过滤服务的检测。
2.png
https://www.bleepingcomputer.com/news/security/microsoft-sway-abused-in-massive-qr-code-phishing-campaign/


3 研究人员对Mallox勒索软件的恶意攻击进行分析

研究人员受邀调查一起针对企业云环境的恶意攻击事件,发现了Mallox勒索软件的踪迹。由于系统配置错误,攻击者通过暴力破解公开的Microsoft SQL服务器,成功侵入并植入Mallox勒索软件。Mallox最初于2021年出现,主要针对Windows系统,如今已扩展至Linux和VMware ESXi等平台,并转变为勒索软件即服务(RaaS)模式,通过招募附属成员扩大攻击范围。Mallox利用双重勒索策略,不仅加密数据,还威胁公开被盗信息,进一步施压受害组织支付赎金。此外,攻击者通过暗网泄露站点公开不支付赎金者的数据,增加受害者的心理压力。此次攻击展示了Mallox团伙的复杂手段,包括利用脚本修改文件权限、清除日志文件以及规避安全防御,以确保其勒索软件的有效部署与隐藏。
3.png
Microsoft Sway abused in massive QR code phishing campaign.pdf (3.22 MB, 下载次数: 58)
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/exposed-and-encrypted-inside-a-mallox-ransomware-attack/


4 微软修复Microsoft 365 Copilot中的ASCII隐形数据窃取漏洞

2024年8月,微软修复了Microsoft 365 Copilot中的一个关键漏洞,该漏洞允许攻击者通过ASCII隐形技术窃取敏感用户信息。研究人员发现,该漏洞利用了特殊的Unicode字符,这些字符在用户界面中不可见,但能将数据嵌入可点击的超链接中,从而实现数据泄露攻击。攻击流程包括通过恶意文档触发提示注入、利用ASCII隐形诱导用户点击链接,将敏感信息传输至第三方服务器。
4.png
https://embracethered.com/blog/posts/2024/m365-copilot-prompt-injection-tool-invocation-and-data-exfil-using-ascii-smuggling/


5 WPML插件严重漏洞导致WordPress网站遭受远程代码执行

2024年8月,WPML WordPress多语言插件被发现存在一个严重的安全漏洞(CVE-2024-6386,CVSS评分:9.9),可能允许经过身份验证的用户在特定情况下远程执行任意代码。该漏洞源于插件在处理短代码时缺乏输入验证与清理,导致服务器端模板注入(SSTI),使攻击者能够在服务器上执行恶意代码。该漏洞影响所有4.6.13之前的WPML版本,该插件在全球拥有超过一百万个活跃安装。尽管插件维护者表示该问题在实际应用中发生的可能性较低,但建议用户尽快更新至最新版本,以防止潜在风险。
5.png
https://sec.stealthcopter.com/wpml-rce-via-twig-ssti/


6 Park'N Fly通知100万客户数据遭窃取

加拿大大型机场停车服务商Park'N Fly近日通报数据泄露事件,约100万客户的个人和账户信息遭黑客窃取。攻击者于2024年7月通过盗取的VPN凭证入侵其网络,并在7月11日至13日期间访问了客户数据。泄露信息包括客户的姓名、邮箱、地址、Aeroplan和CAA编号,但财务信息未受影响。公司已于8月1日确认数据泄露,并在五天内恢复了受影响的系统。Park'N Fly正采取额外的安全措施,并警告客户警惕钓鱼攻击,同时承诺继续优先维护系统完整性。
6.png
Park’N Fly notifies 1 million customers of data breach.pdf (2.25 MB, 下载次数: 53)
https://www.bleepingcomputer.com/news/security/parkn-fly-notifies-1-million-customers-of-data-breach/




您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 15:12

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表