当前位置: 首页 > 行业资讯 > 网络安全日报 2023年08月28日

网络安全日报 2023年08月28日

发表于:2023-08-28 08:26 作者: 蚁景网安实验室 阅读数(9639人)

1、Lazarus组织利用ManageEngine漏洞部署QuiteRAT

https://blog.talosintelligence.com/lazarus-quiterat/

研究人员发现了朝鲜国家资助的 Lazarus 组织目标是欧洲和美国的互联网基础设施和医疗保健实体。这是不到一年内该攻击者发起的第三次记录在案的活动,该攻击者在这些操作中重复使用了相同的基础设施。在此活动中,攻击者在该漏洞的 PoC 公开披露五天后开始利用 ManageEngine ServiceDesk 漏洞 ( CVE-2022-47966 ),以交付和部署跟踪为 QuiteRAT 的更新恶意软件威胁。安全研究人员在二月份首次发现了这个恶意程序。QuiteRAT 具有许多与 Lazarus 组织的 MagicRAT 恶意软件相同的功能,但其文件大小要小得多。这两个植入程序均基于 Qt 框架构建,并包含任意命令执行等功能。

2、Spacecolon工具集部署Scarab勒索软件的变体

https://www.welivesecurity.com/en/eset-research/scarabs-colon-izing-vulnerable-servers/

研究人员介绍了 Spacecolon,这是一个小型工具集,用于向世界各地的受害者部署 Scarab 勒索软件的变体。它可能通过其操作员破坏易受攻击的 Web 服务器或通过暴力破解 RDP 凭据进入受害者组织。一些 Spacecolon 版本包含大量土耳其字符串,因此研究人员怀疑是一个讲土耳其语的开发商。Spacecolon 由三个 Delphi 组件组成——内部称为 HackTool、Installer 和 Service。除了这三个组件之外,Spacecolon 的运营商还严重依赖 Spacecolon 按需提供的各种第三方工具,包括合法的和恶意的。

3、2023年上半年勒索软件黑客停留时间降至五天

https://news.sophos.com/en-us/2023/08/23/active-adversary-for-tech-leaders/

在安全解决方案发出警报之前,勒索软件威胁攻击者在受感染的网络上花费的时间越来越少。上半年,黑客的中位停留时间从 2022 年的 9 天降至 5 天。网络安全公司研究人员的统计数据显示,今年上半年所有网络攻击的总体中位停留时间为 8 天,低于 2022 年的 10 天。研究人员观察到 43.42% 的案例中发生了数据泄露,比去年增加了 1.3%。大多数勒索软件事件发生在周五和周六,此时公司反应最慢,因为联系技术团队更加困难。最被滥用的工具之一仍然是远程桌面协议 (RDP),该工具内置于大多数 Windows 版本中。

4、Jupiter X Core插件存在漏洞可导致遭遇黑客劫持网站

https://patchstack.com/articles/critical-vulnerabilities-patched-in-jupiter-x-core-plugin/

Jupiter X Core(用于设置 WordPress 和 WooCommerce 网站的高级插件)的某些版本存在两个漏洞,允许劫持帐户并在未经身份验证的情况下上传文件。Jupiter X Core 是一款易于使用且功能强大的可视化编辑器,是 Jupiter X 主题的一部分,已在超过172000 个网站中使用。第一个漏洞被识别为 CVE-2023-38388,允许在未经身份验证的情况下上传文件,这可能导致在服务器上执行任意代码。第二个漏洞 CVE-2023-38389 允许未经身份验证的攻击者在知道电子邮件地址的情况下控制任何 WordPress 用户帐户。

5、法国就业机构遭遇网络攻击导致1000万人敏感数据受影响

https://www.infosecurity-magazine.com/news/sensitive-data-10m-french/

法国国家就业机构 Pole emploi 遭受网络攻击,可能泄露多达 1000 万人的关键信息。几位安全研究人员已将此漏洞与 Clop 勒索软件团伙的 MOVEit 活动联系起来,该活动已影响 977 个组织和近 5900 万人。在 2023 年 8 月 23 日发布的公开声明中,Pole emploi 确认其一家服务提供商的信息系统遭到破坏,存在泄露求职者个人数据的风险。该事件泄露了 2022 年 2 月在该机构登记的 600 万人的姓名、就业状况和社会安全号码,以及在网络攻击时未登记不到 12 个月的 400 万人。

6、NVIDIA显卡驱动程序中的漏洞可导致内存损坏和虚拟机逃逸

https://blog.talosintelligence.com/nvidia-graphics-driver-vulnerability-roundup/

研究人员披露了与 NVIDIA 显卡配合使用的 NVIDIA D3D10 驱动程序的着色器功能中的三个漏洞。若攻击者发送特制的着色器打包程序,则驱动程序很容易受到内存损坏的影响,这可能会导致驱动程序中出现内存损坏问题。这三个漏洞(分别为TALOS-2023-1719 (CVE-2022-34671)、TALOS-2023-1720 (CVE-2022-34671) 和 TALOS-2023-1721 (CVE-2022-34671))均具有 CVSS 严重性评级8.5 分(满分 10 分)。攻击者可以利用运行虚拟化环境(例如 VMware、QEMU 和 VirtualBox)的客户计算机中的这些漏洞来执行客户到主机的逃逸。

7、研究人员披露Redline窃取程序新变体

https://blog.eclecticiq.com/redline-stealer-variants-demonstrate-a-low-barrier-to-entry-threat

研究人员观察到Redline窃取程序的目标是用于立即获利的财务信息以及用于执行初始信息收集和建立持久性的侦察功能。RedLine 窃取程序几乎总是伴随着其他恶意软件:要么是先有加载程序来安装它,要么是进一步的恶意软件。在 2022 年 RedLine 窃取程序的最后一次主要迭代中,变体几乎总是配置为依赖漏洞利用工具包进行感染。在 2022 年的某个时候,随着开发人员重组,感染流量出现相对中断,但在 2023 年,该恶意软件重新成为一个突出的威胁,并且现在依赖其他恶意软件充当加载程序。Redline窃取程序专注于核心恶意软件开发模式(此次活动使用 WMI)并通过应用程序白名单和进程监控成功阻止恶意尝试,提供了将安全资源应用于此恶意软件和其他恶意软件的方法。

8、Rockwell ThinManager漏洞可导致工业设备的人机界面遭受网络攻击

https://www.securityweek.com/rockwell-thinmanager-vulnerabilities-could-expose-industrial-hmis-to-attacks/

研究人员在罗克韦尔自动化的 ThinManager ThinServer 产品中发现的漏洞可用于针对工业控制系统 (ICS) 的攻击。 研究人员在 ThinManager ThinServer 中发现了一个严重漏洞和两个高严重性漏洞。这些缺陷被追踪为 CVE-2023-2914、CVE-2023-2915 和 CVE-2023-2917。这些安全漏洞为不正确的输入验证问题,可能导致整数溢出或路径遍历。远程攻击者可以通过发送特制的同步协议消息来利用这些缺陷,而无需事先进行身份验证。利用这些漏洞可能会导致拒绝服务 (DoS) 情况、使用系统权限删除任意文件以及将任意文件上传到安装 ThinServer.exe 的驱动器上的任何文件夹。成功利用该漏洞可以让攻击者完全控制 ThinServer。该产品通常用于控制和监控工业设备的人机界面(HMI)。攻击者能够让自己访问这些 HMI。攻击者还可以从服务器转向攻击网络上的其他资产。

9、研究人员披露DarkGate恶意软件工具包新变体

https://www.malwarebytes.com/blog/threat-intelligence/2023/08/darkgate-reloaded-via-malvertising-campaigns

研究人员观察到一场恶意广告活动,该活动将潜在受害者引诱至 Windows IT 管理工具的欺诈网站。与之前的类似攻击不同,最终的有效负载的打包方式不同,并且无法立即识别。该诱饵文件作为 MSI 安装程序提供,其中包含 AutoIT 脚本,其中有效负载经过混淆以避免检测。研究人员分析得出该样本是 DarkGate 的更新版本,DarkGate 是 2018 年首次发现的多用途恶意软件工具包。该恶意软件主要使用恶意广告和搜索引擎中毒进行网络传播。

10、LockBit 3.0 勒索软件构建器泄露导致数百个新变种

https://thehackernews.com/2023/08/lockbit-30-ransomware-builder-leak.html

去年LockBit 3.0 勒索软件构建器的泄露导致威胁行为者滥用该工具产生新变种。卡巴斯基指出,它在遥测中总共检测到 396 个不同的 LockBit 样本,其中 312 个样本是使用泄露的构建器创建的。多达 77 个样本在勒索信中没有提及“LockBit”。

免责声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。