找回密码
 注册创意安天

每日安全简讯(20241024)

[复制链接]
发表于 2024-10-23 17:27 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 恶意npm软件包窃取以太坊私钥并植入SSH后门

研究人员发现了一系列发布在npm注册表中的恶意软件包,这些软件包旨在窃取开发者的以太坊私钥,并通过SSH协议远程访问受害者机器。据研究人员的分析,这些恶意包会通过将攻击者的SSH公钥写入根用户的“authorized_keys”文件,从而获取SSH访问权限。这些恶意软件包模仿了合法的ethers库,包括ethers-mew、ethers-web3等,最新且最完整的为ethers-mew。与此前类似攻击不同,此次恶意代码直接嵌入包中,只有开发者使用这些包时,才会触发攻击。此外,攻击者可以借此长期控制受害者的设备。所有相关包及其发布者账号均已被短时间内删除。
1.png
https://blog.phylum.io/trojanized-ethers-forks-on-npm-attempting-to-steal-ethereum-private-keys/


2 攻击者利用Docker API服务器进行SRBMiner加密挖矿攻击

根据研究人员的最新发现,网络犯罪分子正在利用Docker远程API服务器,部署SRBMiner加密挖矿程序来非法挖掘XRP加密货币。攻击者通过gRPC协议和h2c协议升级绕过安全措施,远程操控Docker主机。他们首先检查Docker API的可用性和版本,然后使用gRPC方法操控Docker环境,创建容器并执行加密挖矿操作。此外,攻击者还利用公开暴露的Docker API服务器部署perfctl恶意软件,并通过执行Base64编码的恶意脚本传播。研究人员建议用户加强对Docker远程API的访问控制和认证机制,监控异常活动,并遵循容器安全的最佳实践。
2.png
https://www.trendmicro.com/en_us/research/24/j/using-grpc-http-2-for-cryptominer-deployment.html


3 Polyfill供应链攻击与大规模赌博网站网络存在关联

研究人员发现,2024年发生的一次大型数字供应链攻击源于一家名为FUNNULL的小公司。该公司接管了Polyfill.io,一个为旧浏览器提供新功能的开源JavaScript库,并利用其访问权向成千上万的网站注入恶意软件,重定向用户至一个庞大的赌博网站网络。研究人员的报告表明,FUNNULL通过Polyfill.io将访客转向约4万个自动生成的赌博网站,这些网站多为仿冒著名赌场品牌,如威尼斯人、Bet365等。研究还表明,该网络可能是为了进行资金洗钱操作,相关开发者的GitHub账户和Telegram渠道均显示其与资金转移相关。各大博彩品牌正在采取法律行动应对这一侵权行为。
3.png
https://www.silentpush.com/blog/triad-nexus-funnull/


4 Akira勒索软件恢复加密攻击并优化工具提升效率

Akira勒索软件团伙在短暂的纯数据勒索策略后,重新开始加密受害者文件,寻求更高的稳定性和效率。据研究人员称,Akira在尝试了双重勒索和数据窃取后,开发了新的加密工具,包括用于Windows的C++版本和Linux系统的Rust版本。尽管近期Akira重新采用了早期的C++加密器,但其设计更为精简,表明该团伙在代码和策略上具备高度适应性。研究人员预计,Akira将继续利用高影响力漏洞,特别是针对ESXi和Linux系统,增强其勒索即服务(RaaS)模式的攻击效能。Akira被认为是后LockBit时代最活跃的勒索软件团伙之一,成功得益于持续演变的战术和技术。
4.png
https://blog.talosintelligence.com/akira-ransomware-continues-to-evolve/


5 Windows Server WinReg漏洞可被利用进行NTLM中继攻击

研究人员公开了CVE-2024-43532漏洞的概念验证代码,该漏洞利用了Windows注册表客户端的身份验证降级机制,允许攻击者通过NTLM中继攻击接管Windows域。该漏洞影响Windows Server 2008至2022版本,以及Windows 10和11操作系统。当SMB传输不可用时,WinReg客户端会回退到旧协议,使用较弱的身份验证级别,攻击者可通过此漏洞获取域用户证书并创建管理员账户。微软已于2024年7月发布修复补丁,研究人员建议通过Windows事件跟踪和YARA规则监控潜在的RPC调用以检测此类攻击。
5.png
https://www.akamai.com/blog/security-research/winreg-relay-vulnerability


6 Styra OPA中的安全漏洞可将NTLM哈希暴露给远程攻击者

Styra的Open Policy Agent(OPA)被发现存在一个已修复的安全漏洞(CVE-2024-8260),可能导致NTLM哈希泄漏,允许远程攻击者发起中继攻击或破解密码。该漏洞影响OPA的CLI和Go SDK,源于输入验证不足,当用户通过SMB传输访问远程共享时,会泄漏登录用户的Net-NTLMv2哈希。攻击者可利用此漏洞通过中继或离线破解来绕过身份验证。该漏洞于2024年6月披露,并在8月修复。专家提醒,随着开源项目集成到各类解决方案中,确保其安全性至关重要。
6.png
https://www.tenable.com/blog/cve-2024-8260-smb-force-authentication-vulnerability-in-opa-could-lead-to-credential-leakage



您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 14:29

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表