当前位置: 首页 > 行业资讯 > 网络安全日报 2023年01月30日

网络安全日报 2023年01月30日

发表于:2023-01-30 08:03 作者: 蚁景网安实验室 阅读数(3111人)

1、研究人员发现了一种基于Python的新型恶意软件

https://www.hackread.com/pyration-python-malware-windows/

威胁分析公司Securonix的网络安全研究人员发现了一种名为PY#RATION的新恶意软件,攻击者可以从受影响的设备上窃取敏感文件并记录击键情况。该恶意软件通过传统的网络钓鱼机制传播,其中电子邮件包含一个受密码保护的ZIP存档。当它被解压缩时,会出现两个快捷图像文件,名称分别为front.jpg.lnk和back.jpg.lnk。当启动时,这些文件会显示不存在的驾照的正面和背面,这样恶意代码也会被执行,导致从互联网上下载两个新文件,这些文件的标题分别是front.txt和back.txt,之后重命名为.bat文件并执行。恶意软件伪装成小娜虚拟助手,以确保在系统上持久存在。

2、新的Mimic勒索软件滥用Everything文件搜索工具

https://www.bleepingcomputer.com/news/security/new-mimic-ransomware-abuses-everything-windows-search-tool/

安全研究人员发现了一种新的勒索软件,他们将其命名为Mimic,它利用Windows的“Everything”文件搜索工具的API来查找加密文件。研究人员于2022年6月发现了这种恶意软件,似乎主要针对英语和俄语的用户。Mimic中的一些代码与Conti勒索软件有相似之处,Conti勒索软件的来源于2022年3月由一名乌克兰研究人员泄露。Mimic勒索软件攻击开始于受害者收到一个可执行文件,该文件可能是通过电子邮件发送的,它提取目标系统上的四个文件,包括主要有效载荷、辅助文件和禁用Windows Defender的工具。

3、Trellix为6.2万个与Python漏洞相关联的开源项目打补丁

https://www.scmagazine.com/analysis/application-security/trellix-automates-patching-for-62000-open-source-projects-linked-to-a-15-year-old-python-bug

Trellix研究团队表示,他们已经修补了近6.2万个开源项目,这些项目容易受到Python编程生态系统中存在15年的路径遍历漏洞的影响。去年年底,该团队在Python的tarfile模块中发现了CVE-2007-4559漏洞。它在2007年首次被报告给Python项目,但没有进行检查。从那时起,它的存在得到了极大的扩展,因为它已经在大约35万个开源项目和无数其他闭源或专有软件项目中使用。据Trellix 1月23日的一篇博客文章称,为了最大限度地减少漏洞表面积,该团队从安全研究员乔纳森·莱茨舒关于大规模修复漏洞的DEFCON 2022演讲中获得灵感,花了几个月的时间在61895个开源项目中进行自动修补以消除漏洞。

4、黑客被指控窃取了几乎所有奥地利人的个人数据

https://securityaffairs.com/141439/cyber-crime/hacker-stole-personal-data-austrians.html

2022年11月底,阿姆斯特丹警方逮捕了一名来自阿尔米尔的25岁男子,他涉嫌窃取或交易了全球数千万人的个人数据。奥地利联邦刑事调查局于2020年5月发现该男子在一个网络犯罪论坛上提供了一个数据集,对该男子的活动展开了调查。这名男子提供了一个包含数百万个地址和个人数据的数据集,该数据集保存着该国广播接收设备(电视、收音机等)的档案。奥地利联邦刑事调查局购买了该数据集,并调查了资金流动和用于宣传被盗数据的论坛。奥地利警方能够追踪到出售数据集的黑客使用的IP地址,并发现他与阿姆斯特丹的一个住宅地址有关。

5、BlackCat勒索软件团伙窃取了一家炸药制造商的秘密数据

https://securityaffairs.com/141409/data-breach/blackcat-ransomware-solar-industries-india.html

BlackCat勒索软件团伙将印度太阳能工业公司添加到其Tor泄露网站上公布的受害者名单中。该公司是全球公认的工业炸药制造商,提供完整的爆破解决方案,包括包装、散装炸药和起爆系统,以满足全球客户的需求。BlackCat勒索软件组织声称已经攻破了该公司的基础设施,并窃取了2TB的数据,包括与武器生产有关的秘密军事数据。数据泄露影响到公司的所有产品和机密文件。这些数据包括工程规格、图纸、许多武器的审计等。

6、Meta修补了Facebook中的一个双因素身份验证绕过漏洞

https://portswigger.net/daily-swig/facebook-two-factor-authentication-bypass-issue-patched

Meta修补了Facebook中的一个漏洞,该漏洞可能允许攻击者绕过基于短信的双因素身份验证(2FA)。该漏洞利用了Instagram的限速问题,使攻击者能够暴力破解确认某人电话号码所需的验证码。Meta让用户可以选择将自己的电子邮件和电话号码添加到Instagram和Facebook的链接账户上,并通过电子邮件或短信发送的六位数字代码进行验证。然而,任何随机的六位数字都可以输入,并使用web代理(如Burp Suite)拦截请求。然后,将上述请求发送给攻击者,并在pin_code值中插入$$占位符,以便暴力破解验证码。

7、Yandex否认黑客入侵并将源代码泄露归咎于前员工

https://gbhackers.com/yandex-data-leak/

俄罗斯最大的IT公司Yandex(俗称俄罗斯谷歌)的源代码被泄露。在一个著名的黑客网站上,据称被俄罗斯科技巨头Yandex的一名前雇员窃取的Yandex源代码库被以种子文件的形式泄露。近日,泄密者分享了一个含有44.7 GB文件的磁体链接,据称来自“Yandex git sources”,是在2022年7月从该公司获取的。据说这些代码存储库包含公司的所有源代码。此外,Yandex强调该公司并未被入侵,因为泄露的文件仅包含来自内部存储库的代码片段,但内容与Yandex服务中使用的存储库的当前版本不同。

8、黑客利用SwiftSlicer数据擦除恶意软件破坏Windows域

https://www.bleepingcomputer.com/news/security/hackers-use-new-swiftslicer-wiper-to-destroy-windows-domains/

安全研究人员发现了一种新的数据擦除恶意软件SwiftSlicer,旨在覆盖Windows操作系统使用的重要文件。这种新的恶意软件是在最近一次针对乌克兰目标的网络攻击中发现的,被认为是Sandworm黑客组织所为,这是一个为俄罗斯总参谋部主要情报局(GRU)工作的黑客组织。研究人员表示,Sandworm使用活动目录组策略启动了SwiftSlicer,它允许域管理员在Windows网络中的所有设备上执行脚本和命令。研究人员表示,部署SwiftSlicer是为了删除卷影副本并覆盖Windows系统目录中的关键文件,特别是驱动程序和活动目录数据库。

9、FBI成功接管了Hive勒索软件团伙的基础设施

https://gbhackers.com/fbi-hacks-back-hive-ransomware/

在FBI于2022年7月渗透Hive勒索软件团伙的基础设施之后,FBI成功接管了Hive勒索软件团伙在Tor网络上用于支付和数据泄露的站点。2022年7月,由美国司法部和欧洲刑警组织领导的国际执法行动秘密渗透了Hive勒索软件团伙的基础设施。在宣布之前,该行动已经被监视了6个月。通过这次行动,执法机构能够洞察计划中的攻击,并向潜在目标发出警告,同时他们还获得并向受害者提供了解密密钥。这阻止了大约1.3亿美元或相当于1.2亿欧元的赎金支付。在2022年7月Hive的网络被渗透后,FBI已经能够向受勒索软件攻击影响的个人和组织提供300多个解密密钥。

10、ISC发布补丁修复DNS软件套件BIND中的多个漏洞

https://securityaffairs.com/141465/security/isc-fixed-bind-flaws.html

BIND是一套用于与互联网系统联盟(ISC)维护的域名系统(DNS)交互的软件。ISC发布了安全补丁,以解决DNS软件套件BIND中的多个高严重程度的拒绝服务漏洞。攻击者可以利用该漏洞远程导致BIND守护进程崩溃或占用可用内存。其中一个漏洞是CVE-2022-3094 (CVSS评分7.5),该漏洞是因为发送大量动态DNS更新可能会导致“named”守护进程分配大量内存,然后“named”可能会由于缺乏可用内存而退出。

免责声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。