找回密码
 注册创意安天

每日安全简讯(20211024)

[复制链接]
发表于 2021-10-23 23:24 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 研究人员概述了一种检测软件供应链中恶意活动的技术

黑客侵入软件开发人员的基础设施,并将其合法更新程序木马化,很难被受影响软件产品的用户发现。Salesforce的研究人员开发了一种名为JA3的标准,它从客户端TLS配置的几个属性中构建MD5哈希,这些属性在所谓的“Client Hello”中发送TLS握手的起始消息。将诸如SSL版本、接受的密码、扩展列表、椭圆曲线和椭圆曲线格式等属性连接起来,并根据结果计算MD5哈希值。虽然不同的客户端应用程序可能具有类似的TLS配置,但多个属性的组合被认为是唯一的,足以用于识别程序。结果表明,通过异常的哈希值很有可能检测到异常活动。
软件供应链.jpg

https://www.csoonline.com/articl ... in-compromises.html


2 WizardUpdate恶意软件新变种添加了新的规避策略

微软表示,它发现了名为WizardUpdate(也被追踪为UpdateAgent或Vigram)的macOS恶意软件的新变种,这些恶意软件升级后使用了新的规避和持久化策略。正如微软安全专家发现的那样,本月早些时候发现的最新版本很可能是通过驱动下载和冒充合法软件分发的,就像今年1月威胁情报公司Confiant发现它伪装成Flash安装程序时一样。自从第一个变种在2020年11月被观察到,当时它只能收集和过滤系统信息,WizardUpdate被其开发人员更新了多次。
WizardUpdate.jpg

https://www.bleepingcomputer.com ... ew-evasion-tactics/


3 Evil Corp团伙发布了Macaw Locker新型勒索软件

Evil Corp发布了一款名为“Macaw Locker”的新勒索软件,以逃避美国禁止受害者支付赎金的制裁。该勒索软件对受害者的文件进行加密,并在加密文件的文件名后附加.Macaw扩展名。恶意软件在每个文件夹中都放了勒索信息(macaw_recover.txt),勒索信息包括一个独特的受害者谈判页面的链接。Macaw Locker最近参与了对奥林巴斯和辛克莱广播集团的攻击。
Evil Group.png
https://securityaffairs.co/wordp ... p-macaw-locker.html


4 糖果制造商费拉拉遭受勒索软件攻击

在距离糖果行业最大的节日只有几周的时候,一些万圣节最受欢迎糖果的制造商遭到了勒索软件的攻击,因此影响了生产。总部位于芝加哥的费拉拉糖果公司公开证实,10月9日发生了一起网络事件,该事件对其部分系统进行了加密,影响了其众多受欢迎的糖果品牌的生产。费拉拉没有公布攻击的具体细节,目前还不清楚是哪个勒索软件组织所为。公司官员表示,他们立即通过保护所有系统并启动调查来应对这次攻击,还聘请了第三方专家将系统恢复到完整的运行状态。
糖果制造商.jpg

https://threatpost.com/ransomware-candy-corn-halloween/175630/


5 工业公司AUVESY的Versiondog数据管理产品存在17个漏洞

研究人员在AUVESY公司的Versiondog数据管理产品中发现了17个漏洞,其中包括许多严重和高危的漏洞。这些漏洞是由工业网络安全公司Claroty的员工发现的,并负责向总部位于德国的自动化生产数据管理公司AUVESY披露。AUVESY修补了所有的缺陷。受影响的产品Versiondog提供自动备份和版本控制功能,它可以与广泛的工业系统集成,该产品已被雀巢、可口可乐、卡夫食品、默克和几家汽车巨头等大公司使用。Versiondog中的漏洞包括可被远程攻击者利用的漏洞,这些漏洞可以绕过认证、提升权限、获取硬编码密钥、执行任意代码、操纵文件和数据,以及导致拒绝服务。
versiondog.jpg

https://www.securityweek.com/cri ... or-industrial-firms
Vulnerabilities in AUVESY.pdf (1.01 MB, 下载次数: 6)


6 攻击者正在积极利用Confluence服务器的OGNL注入漏洞

2021年8月,Atlassian发布了一份关于CVE-2021-26084的安全建议,该建议可能使攻击者能够在未打补丁的Confluence服务器和数据中心实例上运行任意代码。今年9月,FortiGuard实验室观察到许多针对该漏洞的恶意活动,他们的目标是下载一个恶意载荷,在用户的网络中安装后门或挖矿工具。这些威胁包括Cryptojacking、Setag后门、使用PowerShell在系统中执行shell的无文件攻击和Muhstik僵尸网络。虽然该漏洞有不同的攻击向量,但这些攻击都是针对“queryString”参数,如下图所示。
Confluence服务器.png

https://www.fortinet.com/blog/th ... n-confluence-server

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-24 04:48

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表