黑客现在正在通过大规模互联网扫描在数千个WordPress网站上积极探测Essential Addons for Elementor插件版本,试图利用本月早些时候披露的一个关键帐户密码重置漏洞。该严重漏洞被追踪为CVE-2023-32243并影响Elementor 5.4.0至5.7.1版的Essential Addons,允许未经身份验证的攻击者任意重置管理员帐户的密码并控制网站。2023年5月14日,研究人员在GitHub上发布了概念验证(PoC)漏洞,使该工具广泛可供攻击者使用。在漏洞披露后的第二天,WordFence记录了5000000次探测扫描,寻找插件的“readme.txt”文件,其中包含插件的版本信息,从而确定站点是否存在漏洞。
流行的KeePass密码管理器容易从应用程序的内存中提取主密码,即使数据库被锁定,攻击者也可以通过破坏设备来检索密码。密码管理器允许用户为每个在线帐户创建唯一密码,并将凭据存储在易于搜索的数据库或密码库中,因此您不必记住每个密码。但是,为了正确保护此密码库,用户必须记住用于解锁它和访问存储的凭据的主密码。这个主密码加密了KeePass密码数据库,防止它在没有先输入密码的情况下被打开或读取。但是,一旦该主密码被泄露,威胁者就可以访问存储在数据库中的所有凭据。KeePass Master Password Dumper是一种简单的概念验证工具,用于从KeePass的内存中转储主密码。除了第一个密码字符外,它大多能够以明文形式恢复密码。
LayerZero Labs在Immunefi平台上推出了漏洞赏金计划,为关键的智能合约和区块链漏洞提供最高1500万美元的奖励,这一数字在加密领域创下了新纪录。漏洞赏金计划是由企业和软件开发人员发起的计划,旨在奖励安全研究人员识别和报告其平台中的漏洞。他们的目标是激励有道德的“白帽”黑客发现影响其产品的未知安全漏洞,以便在恶意行为者利用它们进行攻击之前修复这些漏洞。LayerZero Labs是LayerZero区块链消息传递协议的创建者,该协议可实现跨30个不同区块链的安全通信。通过推出历史上最大的漏洞赏金计划,LayerZero Labs旨在展示其对安全的承诺并激发对其通信协议的信任。
约瑟夫·詹姆斯·奥康纳,又名“PlugwalkJoke”,已承认多项网络犯罪罪行,包括 SIM卡交换攻击、网络跟踪、计算机黑客攻击以及劫持Twitter和TikTok上的知名账户。该黑客此前曾于2021年11月被美国司法部 起诉,被指控通过SIM交换攻击窃取价值784000美元的加密货币。英国公民奥康纳最终于2023年4月26日从西班牙被引渡回美国,纽约南区法院现审理此案。法庭文件显示,奥康纳和他的同谋在2019年3月至2020年8月期间进行了SIM 交换,将受害者的电话号码移植到他们控制的SIM卡上。这些攻击的目标包括三名持有大量数字资产的公司高管,他们的账户受到基于短信的双因素身份验证的保护。
上个月,一个名为FIN7的出于经济动机的网络犯罪集团重新浮出水面,微软威胁分析师将其与最终目标是在受害者网络上部署Clop勒索软件有效载荷的攻击联系起来。据观察,该组织在2023年4月的机会主义攻击中部署了Clop勒索软件,这是自2021年底以来的首次勒索软件活动。在最近的这些攻击中,FIN7攻击者利用基于PowerShell的POWERTRASH内存中恶意软件植入程序在受感染的设备上部署Lizar后期开发工具。这使得威胁行为者能够在目标网络中站稳脚跟,并横向移动以使用OpenSSH和Impacket部署Clop勒索软件。这个合法的Python工具包也可用于远程服务执行和中继攻击。
https://blog.cyble.com/2023/05/19/capcut-users-under-fire/
一场新的恶意软件分发活动正在进行中,伪造CapCut视频编辑工具将各种恶意软件传播给毫无戒心的受害者。CapCut 是一个视频剪辑制作软件,支持混音、滤色、动画、慢动作、画中画、防抖等功能。它仅在Google Play上的下载量就超过5亿次,其网站每月的点击量超过3000万次。威胁行为者通过创建网站来分发伪装成CapCut安装程序的恶意软件。Cyble的分析师发现的第一个活动使用伪造的CapCut网站,这些网站具有一个下载按钮,可以在用户的计算机上提供Offx Stealer的副本。
研究人员发现了多个以NodeJS库命名的npm包,这些包甚至打包了一个类似于NodeJS的Windows可执行文件,但却投放了一个险恶的木马。这些软件包具有隐蔽性和极低的检测率,在被研究人员检测到之前已经在npm上存在了两个多月。“两个多月前首次发布,nodejs-encrypt-agent乍一看似乎是一个合法的软件包,”ReversingLabs研究人员在他们的报告中说。“然而,有一个很小但非常重要的区别:nodejs-encrypt-agent软件包包含一个可移植的可执行 (PE) 文件,当ReversingLabs分析时发现该文件是恶意的,”研究人员写道。
根据发送给受影响员工的数据泄露通知信中使用的措辞,美国电视提供商Dish Network在2月遭受勒索软件攻击后很可能支付了赎金。虽然它没有直接确认它已付款,但Dish 暗示它“收到提取数据已被删除的确认”。勒索软件团伙只会在支付赎金后删除数据或提供解密密钥,这意味着Dish极不可能在不支付赎金的情况下收到被盗数据已被删除的确认信息。即使执法部门能够拦截托管数据的服务器,如果不支付赎金,也无法知道威胁行为者是否也将数据副本存储在其他地方。遗憾的是,支付赎金并不能保证完全删除被盗数据。过去的事件表明,支付赎金的受害者随后在数周后遭到进一步勒索,他们的数据被出售给其他威胁行为者,或者在数据泄露网站上泄露。
CISA今天警告称,三星设备存在一个安全漏洞,可用于绕过Android地址空间布局随机化(ASLR)保护的攻击。ASLR是一项Android安全功能,可将关键应用程序和操作系统组件加载到设备内存中的内存地址随机化。这使得攻击者更难利用与内存相关的漏洞并成功发起缓冲区溢出、面向返回编程或其他基于内存的攻击等攻击。该漏洞(CVE-2023-21492)影响运行Android 11、12和13的三星移动设备,是由于将敏感信息插入到日志文件中所致。具有高权限的本地攻击者可以使用暴露的信息来执行ASLR绕过,从而可以利用内存管理问题。
Luxottica已确认其合作伙伴之一在2021年遭遇数据泄露,该数据库本月在黑客论坛上免费发布后暴露了7000万客户的个人信息。Luxottica是世界上最大的眼镜公司、眼镜和处方镜框制造商,拥有雷朋、奥克利、香奈儿、普拉达、范思哲、杜嘉班纳、巴宝莉、乔治阿玛尼、迈克尔科尔斯等众多知名品牌。该公司还在美国经营一家视力保险公司 Eyemed。2022年11月,现已解散的“Breached”黑客论坛的一名成员试图出售他声称是2021年的数据库,其中包含与美国和加拿大的Luxottica客户相关的3亿条个人信息记录。据卖家称,该数据库包含客户的个人信息,例如电子邮件地址、名字和姓氏、地址和出生日期。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
