找回密码
 注册创意安天

每日安全简讯(20241010)

[复制链接]
发表于 2024-10-9 19:27 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 GoldenJackal利用恶意工具集攻击使馆与隔离网络系统

GoldenJackal,一个较为神秘的威胁行为者,近期被发现针对使馆与政府组织发动网络攻击,目标包括隔离网络的系统。受害者包括白俄罗斯的南亚使馆和一家欧盟政府组织。据研究人员分析,GoldenJackal利用两个自定义恶意工具集,旨在窃取机密信息,尤其针对未连接互联网的高价值设备。该组织自2019年以来活跃,主要使用的恶意软件工具包括能够感染USB设备的蠕虫JackalWorm及木马JackalControl。此次攻击还涉及GoldenDealer、GoldenHowl等工具,这些工具专门用于通过USB设备感染隔离网络系统。GoldenJackal展示了其高度的资源整合能力,持续更新和部署新型工具集,针对空隙网络进行复杂攻击。
1.png
https://www.welivesecurity.com/en/eset-research/mind-air-gap-goldenjackal-gooses-government-guardrails/


2 Awaken Likho利用高级工具集攻击俄罗斯政府与工业机构

Awaken Likho,一个又名Core Werewolf和PseudoGamaredon的高级持续性威胁组织(APT),自2024年6月以来,持续针对俄罗斯政府机构及工业企业展开网络攻击。该组织通过鱼叉式网络钓鱼,发送带有双扩展名的恶意文件,如“doc.exe”或“pdf.exe”,诱导用户打开这些文件,进而安装远程控制工具。与以往不同,Awaken Likho现采用MeshCentral平台的合法代理代替UltraVNC模块,增强了远程访问的隐蔽性。攻击链还利用自解压存档(SFX)及AutoIt脚本,配合MeshAgent工具,在受害系统中建立持久连接。此次攻击还涉及俄罗斯军事基地及武器开发研究所,显示出该组织对关键基础设施的持续威胁。
2.png
https://securelist.com/awaken-likho-apt-new-implant-campaign/114101/


3 虚假作弊脚本引擎诱骗游戏玩家下载基于Lua的恶意软件

一项针对全球玩家的网络攻击正在扩散,攻击者通过伪造的游戏作弊脚本引擎诱骗用户下载基于Lua语言的恶意软件。研究显示,该恶意软件能够在受感染系统中建立持久性,并下载其他恶意负载。攻击者利用Lua脚本引擎的流行性,尤其在学生玩家群体中广泛传播。用户通过搜索作弊工具如Solara和Electron进入虚假网站,从GitHub等合法平台下载包含恶意Lua脚本的压缩包。恶意软件通过命令与控制服务器发送受害者系统信息,并执行下载更多负载,如RedLine窃取器和CypherIT Loader。这些窃取器通过暗网出售被盗凭据,进一步加剧了信息安全风险。
3.png
https://blog.morphisec.com/threat-analysis-lua-malware


4 iOS 18镜像漏洞或泄露员工个人信息

10月9日消息,研究人员发现,苹果iOS 18和macOS Sequoia系统中的镜像功能存在隐私泄露风险,可能导致员工的个人应用信息暴露给公司IT部门。尽管应用数据并未被共享,但某些应用的存在,如健康或约会服务,可能泄露敏感个人信息。这一漏洞可能违反《加州消费者隐私法》(CCPA),带来诉讼和联邦监管风险。Sevco已通知苹果,苹果确认该漏洞并正在修复。Sectigo公司高级研究员Jason Soroko指出,该漏洞源于镜像功能未能有效隔离个人应用元数据与企业软件目录。为降低风险,建议用户避免在工作设备上使用镜像功能,公司也应调整相关政策,苹果则需加强数据隔离以保护用户隐私。
4.png
https://www.sevcosecurity.com/iphone-mirroring-expose-employee-personal-information/


5 Ivanti CSA发现三处零日漏洞被积极利用

Ivanti警告称其云服务设备(CSA)存在三处新安全漏洞,已在网络中被积极利用。这些零日漏洞与上个月修复的另一个漏洞一起被利用,成功利用后,具有管理员权限的攻击者可能绕过限制、执行任意SQL语句或获取远程代码执行权限。Ivanti表示,目前只有少量使用CSA 4.6补丁518及以前版本的客户遭受了这三处漏洞(CVE-2024-9379、CVE-2024-9380和CVE-2024-9381)与CVE-2024-8963(评分9.4)结合利用的攻击。三处漏洞分别为:CVE-2024-9379(SQL注入)、CVE-2024-9380(操作系统命令注入)和CVE-2024-9381(路径遍历),这些漏洞的CVSS评分在6.5至7.2之间。Ivanti建议用户更新至最新版本(5.0.2),并检查设备上是否有修改或新增的管理用户,以寻找潜在的安全隐患。
5.png
https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-CSA-Cloud-Services-Appliance-CVE-2024-9379-CVE-2024-9380-CVE-2024-9381?language=en_US


6 网络安全公司Dr.Web遭黑客攻击数据泄露超10TB

DumpForums,一个亲乌克兰的黑客论坛,近日声称成功攻击了俄罗斯网络安全巨头Dr.Web,窃取了超过10TB的敏感数据。该攻击始于2024年9月14日,Dr.Web在遭受网络攻击后于9月17日发布声明,称其“资源”未被访问或窃取。然而,DumpForums在10月8日的Telegram上否认了这一说法,表示他们已经深入Dr.Web的本地网络,并系统性地攻破了多台服务器和资源,获取了包括客户数据库和内部项目的敏感信息。黑客甚至声称控制了Dr.Web的域控制器,获取了对整个网络的无限访问权限,且在一个月内未被发现,持续提取数据。分析人士指出,作为一家网络安全公司,Dr.Web的安全防护能力引发了广泛质疑,此次事件凸显了在地缘政治冲突背景下,网络安全领域的脆弱性与风险。
6.png
https://hackread.com/dumpforums-russian-cybersecurity-firm-dr-web-data-breach/



您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-17 21:52

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表