https://www.govinfosecurity.com/ukraine-links-media-center-attack-to-russian-intelligence-a-21043
乌克兰追踪到一起导致新闻发布会推迟的网络攻击是俄罗斯Sandworm黑客组织所为。调查人员表示,该黑客组织与俄罗斯格勒乌关系密切。根据调查人员的说法,此次攻击使用了与俄罗斯黑客有关的五种恶意软件,分别是CaddyWiper、ZeroWipe、SDelete、AwfulShred和BidSwipe。在上周由乌克兰国家特殊通信和信息保护局负责人Yurii Shchyhol举行的新闻发布会上,乌克兰国家新闻机构和媒体中心Ukrinform开始出现互联网连接问题。
https://securityaffairs.com/141539/malware/gootloader-malware-evolution.html
Mandiant研究人员报告称,GOOTLOADER恶意软件(又名Gootkit)背后的UNC2565组织通过添加新组件和实施新的混淆技术继续改进他们的代码。Gootkit运行在“访问即服务”模型上,不同的组织使用它在受感染的系统上部署额外的恶意载荷。众所周知,Gootkit使用无文件技术来传递恶意软件,如SunCrypt、REvil勒索软件、Kronos木马和Cobalt Strike。在过去,Gootkit传播伪装成免费软件安装程序的恶意软件,并使用法律文件诱骗用户下载这些文件。
https://gbhackers.com/infamous-golden-chickens-malware-as-a-service/
网络安全专家已经揭示了Golden Chickens恶意软件即服务背后的个人身份。攻击者在网上被称为“badbullzvenom”,在现实世界中已经被确认。eSentire威胁响应部门进行了为期16个月的广泛调查,发现badbullzvenom帐户与多个人相关联,正如该部门最近发表的报告中所述。为了联系与Golden Chickens恶意软件即服务相关的不同论坛帐户,TRU团队通过开源情报对各种安全报告进行了全面分析。他们发现了2015年趋势科技的一份报告,题为“个人网络罪犯的攻击——加拿大的Frapstar”,该报告确定攻击者是一个单独的持卡人,他将偷来的信用卡货币化,在多个黑客论坛上有多个化名和账户,其中一个是badbullzvenom。
https://cyware.com/news/new-wave-of-database-injection-attacks-compromise-wordpress-sites-86652900
一场大规模的活动正在利用被黑客攻击的WordPress网站,将受害者重定向到技术支持骗局、成人约会、网络钓鱼或路过式下载攻击。它背后的黑客已经通过多次重定向和合法下载来确保他们的恶意有效载荷很难被发现。据Sucuri的研究人员称,与恶意域名violetlovelines[.]com有关的WordPress网站感染激增。该活动自2022年12月26日以来一直很活跃,数据显示,到目前为止,有超过5600个网站受到了影响。最近,该活动逐渐从虚假的CAPTCHA推送通知骗局页面转变为黑帽广告网络。这些恶意广告网络将受害者重定向到恶意网站,并诱使他们下载恶意软件。
https://www.theregister.com/2023/01/28/microsoft_patch_exchange_servers/
由于网络犯罪分子仍在寻找电子邮件系统中的有价值数据,微软敦促各组织通过更新和强化来保护他们的Exchange服务器免受网络攻击。根据供应商Exchange团队的介绍,企业需要确保在Exchange服务器上安装最新的累积更新(CUs)和安全更新(SUs),偶尔也需要在Exchange管理工具工作站上安装,如启用扩展保护和PowerShell序列化有效载荷的证书签名。
英国运动时尚零售公司 JD Sports 周一透露,它发现了影响大约 1000 万客户的数据泄露事件。 据该公司称,该网络事件影响了在 2018 年 11 月至 2020 年 10 月期间在线下订单的客户提供的信息。JD、Size、Millets、Blacks、Scotts 和 MilletSport 品牌受到影响。根据该公司对事件的简要描述,黑客可能窃取了客户的姓名、账单地址、送货地址、电话号码、电子邮件地址、订单详细信息以及客户支付卡的最后四位数字。 没有迹象表明完整的支付卡数据或帐户密码已被泄露。
https://www.securityweek.com/critical-vulnerability-impacts-over-120-lexmark-printers/
打印机和成像产品制造商Lexmark发布了一份安全警告,警告用户超过120种打印机型号存在严重漏洞。该漏洞被跟踪为CVE-2023-23560 (CVSS评分9.0),被描述为Lexmark设备Web服务功能中的服务器端请求伪造(SSRF)漏洞,可以被利用来执行任意代码。Lexmark在一份报告(PDF)中警告称:“成功利用此漏洞可以导致攻击者能够在设备上远程执行任意代码。”制造商列出了大约125种受安全漏洞影响的设备型号,包括B、C、CS、CX、M、MB、MC、MS、MX、XC和XM系列打印机。该公司已经发布了固件更新,解决了所有受影响设备上的漏洞,并鼓励用户在其支持网站上查找更新说明。
https://www.infosecurity-magazine.com/news/vulnerabilities-healthcare
研究人员在OpenEMR中发现了三个独立的漏洞,OpenEMR是一种用于电子健康记录和医疗实践管理的开源软件。Sonar的清洁代码专家布了一份关于安全研究员Dennis Brinkrolf发现的漏洞的建议。Brinkrolf写道:“这些漏洞的组合允许远程攻击者对任何OpenEMR服务器上执行系统命令并窃取敏感的患者数据。在最坏的情况下,会危及整个关键基础设施。”这位安全专家解释说,其公司的静态应用程序安全测试引擎发现这三个漏洞中的两个结合起来可能导致未经身份验证的远程代码执行。简而言之,攻击者可以使用反射型XSS,上传PHP文件,然后通过本地文件包含使用路径遍历来执行PHP文件。
https://www.securityweek.com/meta-awards-27000-bounty-for-2fa-bypass-vulnerability
一位研究人员披露了双因素身份验证 (2FA) 漏洞的详细信息,该漏洞使他从 Facebook 母公司 Meta 获得了 27,000 美元的漏洞赏金。
https://thehackernews.com/2023/01/realtek-vulnerability-under-attack-134.html
研究人员警告说,自 2022 年 8 月开始,利用 Realtek Jungle SDK 中的一个关键远程代码执行漏洞进行攻击的攻击企图激增。据 Palo Alto Networks Unit 42 称,截至 2022 年 12 月,正在进行的活动据称已记录了 1.34 亿次攻击尝试,其中 97% 的攻击发生在过去四个月。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。