当前位置: 首页 > 行业资讯 > 网络安全日报 2023年06月25日

网络安全日报 2023年06月25日

发表于:2023-06-25 08:47 作者: 蚁景网安实验室 阅读数(2612人)

1、黑客使用Tsunami僵尸网络恶意软件感染Linux SSH服务器

https://asec.ahnlab.com/en/54647/

一个未知的威胁行为者正在暴力破解Linux SSH服务器以安装各种恶意软件,包括Tsunami DDoS(分布式拒绝服务)机器人、ShellBot、日志清理器、特权升级工具和XMRig(Monero)加密货币挖掘器。SSH(Secure Socket Shell)是一种用于登录远程机器的加密网络通信协议,支持隧道、TCP端口转发、文件传输等。网络管理员通常使用SSH远程管理Linux设备,执行诸如运行命令、更改配置、更新软件和解决问题等任务。但是,如果这些服务器的安全性很差,它们可能容易受到暴力攻击,从而使威胁行为者可以尝试许多潜在的用户名-密码组合,直到找到匹配项。

2、SeroXen恶意软件使用BatCloak混淆工具以规避安全软件检测

https://www.trendmicro.com/en_ph/research/23/f/seroxen-incorporates-latest-batcloak-engine-iteration.html

安全研究人员警告说,恶意软件开发人员正在采用一种易于使用的混淆工具,该工具可以使恶意软件绕过防病毒软件。趋势科技本月早些时候发布的分析报告对从公共存储库中获取的数百个受感染的批处理文件样本进行了分析,得出的结论是,BatCloak屏蔽了80%的文件,使其免受安全软件的检测。批处理文件通常带有.bat扩展名,是带有命令行解释器脚本的纯文本文件。BatCloak用于隐藏SeroXen不被检测的技术之一是复杂的字符串操作,该技术混淆了恶意软件使用Windows命令提示符界面通过命令指定环境变量的过程。

3、微软修复了Azure Active Directory身份验证漏洞

https://www.descope.com/blog/post/noauth

微软已经修复了Azure Active Directory (Azure AD)身份验证漏洞,该漏洞可能允许威胁参与者提升权限并可能完全接管目标帐户。这种错误配置(发现它的Descope安全团队将其命名为nOAuth )可能会在针对配置为使用访问令牌中的电子邮件声明进行授权的Azure AD OAuth应用程序的帐户和权限升级攻击中被滥用。攻击者只需将其Azure AD管理员帐户上的电子邮件更改为受害者的电子邮件地址,并使用“通过 Microsoft 登录”功能在易受攻击的应用程序或网站上进行授权。如果目标资源允许在授权过程中使用电子邮件地址作为唯一标识符,那么他们就可以完全控制目标的帐户。

4、新的Condi恶意软件利用TP-Link AX21路由器构建DDoS僵尸网络

https://www.fortinet.com/blog/threat-research/condi-ddos-botnet-spreads-via-tp-links-cve-2023-1389

2023年5月出现了一个名为“Condi”的新型DDoS即服务僵尸网络,它利用TP-Link Archer AX21(AX1800)Wi-Fi路由器中的漏洞组建了一支机器人大军来进行攻击。Condi旨在招募新设备来创建强大的DDoS(分布式拒绝服务)僵尸网络,攻击者可以租用这些设备对网站和服务发起攻击。此外,Condi背后的威胁行为者出售恶意软件的源代码,这是一种异常激进的货币化方法,注定会导致许多具有不同功能的变种。今天发布的一份新的Fortinet报告解释说,Condi的目标是CVE-2023-1389,这是路由器Web管理界面API中的一个高严重性的未经身份验证的命令注入和远程代码执行漏洞。

5、研究人员警告vRealize的严重漏洞在攻击中被利用

https://www.greynoise.io/blog/observed-in-the-wild-new-tag-for-cve-2023-20887-vmware-aria-operations-for-networks

VMware更新了两周前发布的安全公告,警告客户,一个现已修补的允许远程执行代码的关键漏洞正在被主动利用进行攻击。“GreyNoise研究分析师Jacob Fisher表示:“我们观察到有人试图利用上述概念验证代码进行大规模扫描,试图启动一个反向外壳,该外壳连接回攻击者控制的服务器以接收更多命令。”该漏洞影响VMware Aria Operations for Networks(以前称为 vRealize Network Insight),这是一种网络分析工具,可帮助管理员优化网络性能或管理VMware和Kubernetes部署。未经身份验证的威胁参与者可以在不需要用户交互的低复杂度攻击中利用此命令注入漏洞。

6、UPS披露客户信息泄露并被用于网络钓鱼攻击

https://www.bleepingcomputer.com/news/security/ups-discloses-data-breach-after-exposed-customer-info-used-in-sms-phishing/

跨国运输公司UPS警告加拿大客户,他们的一些个人信息可能已通过其在线包裹查找工具暴露并在网络钓鱼攻击中被滥用。乍一看,UPS发送的标题为“打击网络钓鱼和网络钓鱼 - 来自UPS的更新”的信件似乎是在警告客户网络钓鱼的危险。然而,事实证明这实际上是一个数据泄露通知,该公司偷偷披露了一份声明,称它已经收到了包含收件人姓名和地址信息的SMS网络钓鱼消息的报告。UPS在Emsisoft威胁分析师布雷特·卡洛 (Brett Callow)分享的一封信中表示:“UPS意识到,一些包裹收件人收到了欺诈性短信,要求在包裹投递前付款。”收到网络钓鱼报告后,UPS与交付链内的合作伙伴合作,了解威胁行为者获取目标运输信息的方法。

7、威胁行为者利用多个物联网漏洞传播Mirai僵尸网络

https://unit42.paloaltonetworks.com/mirai-variant-targets-iot-exploits/

自2023年3月以来,Unit 42研究人员观察到威胁行为者利用多个物联网漏洞传播Mirai僵尸网络的变体。威胁行为者有能力完全控制受感染的设备,并将这些设备集成到僵尸网络中。然后,这些设备用于执行其他攻击,包括分布式拒绝服务(DDoS)攻击。总的来说,该恶意软件针对各种互联产品中至少22个已知的安全问题,其中包括路由器、DVR、NVR、WiFi通信适配器、热监控系统、访问控制系统和太阳能发电监视器。攻击首先利用上述漏洞之一,为从外部资源执行shell脚本奠定基础。该脚本将下载与受感染设备的架构相匹配的僵尸网络客户端。bot客户端执行后,shell脚本下载程序会删除客户端的文件以清除感染轨迹并降低检测到的可能性。

8、苹果修复了iMessage零点击零日漏洞

https://support.apple.com/en-us/HT213811

Apple解决了三个新的零日漏洞,这些漏洞在通过iMessage零点击攻击在iPhone上安装Triangulation间谍软件的攻击中被利用。该公司在描述被跟踪为CVE-2023-32434和CVE-2023-32435的内核和WebKit漏洞时表示:“Apple知道有报告称此问题可能已被积极利用于iOS 15.7之前发布的iOS版本。这两个安全漏洞是由卡巴斯基安全研究人员Georgy Kucherin、Leonid Bezvershenko和Boris Larin发现并报告的。卡巴斯基表示,这些攻击始于2019年,并且仍在持续中。该公司在6月初报告称,其网络上的一些iPhone通过利用iOS零日漏洞的iMessage零点击漏洞感染了以前未知的间谍软件。

9、百万计的GitHub存储库可能受到RepoJacking攻击

https://blog.aquasec.com/github-dataset-research-reveals-millions-potentially-vulnerable-to-repojacking

数以百万计的GitHub存储库可能容易受到依赖关系存储库劫持(也称为“RepoJacking”)的攻击,这可能有助于攻击者部署影响大量用户的供应链攻击。该警告来自AquaSec的安全团队“Nautilus”,他们分析了125万个GitHub存储库的样本,发现其中约2.95%容易受到RepoJacking的攻击。通过将此百分比推断到GitHub超过3亿的整个存储库,研究人员估计该问题影响了大约900万个项目。GitHub上的用户名和存储库名称更改很频繁,因为组织可以通过收购或合并获得新的管理层,或者可以切换到新的品牌名称。发生这种情况时,会创建重定向,以避免破坏使用更改名称的存储库中的代码的项目的依赖关系。但是,如果有人注册旧名称,则该重定向将无效。

10、 iOttie在网站被黑客入侵后披露数据泄露

https://apps.web.maine.gov/online/aeviewer/ME/40/6bbb2a98-50b3-4fb1-844f-9572cf363b2a.shtml

车载和移动配件制造商iOttie警告说,其网站已被入侵近两个月,以窃取在线购物者的信用卡和个人信息。iOttie是一家受欢迎的移动设备车载支架、充电器和配件制造商。iOttie表示,他们于6月13日发现其在线商店在2023年4月12日至6月2日期间遭到恶意脚本的入侵。iOttie数据泄露通知警告称:“我们认为犯罪电子窃取行为发生在2023年4月12日至2023年6月2日期间。然而,2023年6月2日,在WordPress/插件更新期间,恶意代码被删除。”iOttie没有透露有多少客户受到影响,但表示姓名、个人信息和支付信息可能被盗,包括财务帐号、信用卡和借记卡号、安全码、访问码、密码和PIN。

免责声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。