当前位置: 首页 > 行业资讯 > 网络安全日报 2023年09月01日

网络安全日报 2023年09月01日

发表于:2023-09-01 08:30 作者: 合天网安实验室 阅读数(3196人)

1、密歇根大学遭遇网络攻击后被迫关闭网络

https://umich.edu/announcements/

密歇根大学为了应对网络安全事件,已将所有系统和服务下线,在开课前一天晚上对在线服务造成了广泛影响。密歇根大学 (UM) 是美国历史最悠久、规模最大的教育机构之一,拥有 30000 多名学术和行政人员,大约有 51000 名学生。从周日开始,该大学网站上发布了一系列公告 ,一次网络安全事件导致 IT 中断,并中断了对重要在线服务的访问,包括 Google、Canvas、Wolverine Access 和电子邮件。尽管密歇根大学聘请 IT 团队来恢复受影响的系统,但由于事件的严重性,管理层认为断开密歇根大学网络与互联网的连接是最安全的。

2、DreamBus僵尸网络利用RocketMQ漏洞感染服务器

https://blogs.juniper.net/en-us/threat-research/dreambus-botnet-resurfaces-targets-rocketmq-vulnerability

新版本的 DreamBus 僵尸网络恶意软件利用 RocketMQ 服务器中的严重远程代码执行漏洞来感染设备。被利用的漏洞被追踪为 CVE-2023-33246,是一个权限验证问题,影响 RocketMQ 5.1.0 及更早版本,允许攻击者在某些条件下执行远程命令。研究人员发现了最近利用该缺陷的 DreamBus 攻击,他们报告称该活动在 2023 年 6 月中旬出现激增。在 2023 年 6 月上旬发现了首次利用 CVE-2023-33246 的 DreamBus 攻击,目标是 RocketMQ 的默认 10911 端口和其他七个端口。为了阻止最新的 DreamBus 攻击,研究人员建议 RockerMQ 管理员升级到 5.1.1 或更高版本。

3、新型安卓恶意软件MMRat利用Protobuf协议窃取数据

https://www.trendmicro.com/en_us/research/23/h/mmrat-carries-out-bank-fraud-via-fake-app-stores.html

新型安卓银行恶意软件 MMRat 利用很少使用的通信方法(protobuf 数据序列化)来更有效地从受感染的设备窃取数据。MMRat 于 2023 年 6 月下旬首次被发现,主要针对东南亚用户,并且在 VirusTotal 等防病毒扫描服务中仍未被发现。虽然研究人员不知道恶意软件最初是如何传播给受害者的,但他们发现 MMRat 是通过伪装成官方应用商店的网站分发的。受害者下载并安装携带 MMRat 的恶意应用程序,通常模仿官方政府或约会应用程序,并在安装过程中授予风险权限,例如访问 Android 的辅助功能服务。该恶意软件会自动滥用辅助功能来授予自己额外的权限,使其能够在受感染的设备上执行各种恶意操作。

4、研究人员演示利用Microsoft Entra ID提升权限技术

https://www.secureworks.com/research/power-platform-privilege-escalation

研究人员发现,通过利用废弃的回复 URL 与 Microsoft Entra ID(以前称为 Azure Active Directory)应用程序相关的权限升级案例。攻击者可以利用这个废弃的 URL 将授权代码重定向到自己,用非法获取的授权代码交换访问令牌。然后,攻击者可以通过中间层服务调用 Power Platform API 并获得提升的权限。研究人员还提供了一个开源工具用来扫描废弃的回复 URL。

5、微软警告AiTM网络钓鱼攻击活动增多

https://thehackernews.com/2023/08/phishing-as-service-gets-smarter.html

微软警告称,AiTM 网络钓鱼技术有所增加,这些技术正在作为网络钓鱼即服务 (PhaaS) 网络犯罪模型的一部分进行传播。除了支持 AiTM 的 PhaaS 平台有所增加之外,微软还指出,PerSwaysion 等现有的网络钓鱼服务正在整合 AiTM 功能。微软威胁情报团队发布的一系列帖子中表示:“PhaaS 生态系统的这一发展使攻击者能够进行大量网络钓鱼活动,试图大规模规避 MFA 保护。”具有 AiTM 功能的网络钓鱼工具包以两种方式工作,其中一种涉及使用反向代理服务器(即网络钓鱼页面)来转发客户端和合法网站之间的流量,并秘密捕获用户凭据、双因素身份验证代码、和 cookie。第二种方法涉及同步中继服务器。

6、Akira 勒索软件针对未配置多重身份验证的 Cisco ASA

https://securityaffairs.com/150157/cyber-crime/cisco-asa-ransomware-attacks.html

思科了解到Akira 勒索软件威胁行为者针对未配置多重身份验证的 Cisco ASA VPN 实施了攻击。

7、朝鲜黑客在 PyPI 存储库中部署新的恶意 Python 包

https://thehackernews.com/2023/08/north-korean-hackers-deploy-new.html

作为正在进行的名为VMConnect的恶意软件供应链活动的一部分,在软件包索引 (PyPI) 存储库中还发现了另外三个流氓 Python 软件包,有迹象表明朝鲜国家支持的威胁行为者参与其中。

8、Netgear 发布了两个高严重性漏洞的补丁

https://therecord.media/netgear-releases-patches-for-two-bugs

网络硬件巨头 Netgear 发现了两个漏洞,影响其一款路由器型号及其网络管理软件。其中一个漏洞(编号为 CVE-2023-41183)允许黑客利用 Netgear 的 Orbi 760 路由器。

9、美国国家安全委员会数据泄露,影响包括政府组织和2000多家公司

https://securityaffairs.com/150138/security/nasa-tesla-doj-verizon-2k-leaks.html

美国国家安全委员会泄露了其成员的近万封电子邮件和密码,影响包括政府组织和大公司在内的 2000 家公司。

10、NoName057(16)组织针对波兰证券交易所和银行进行网络攻击

https://cybernews.com/cyber-war/polish-stock-exchange-banks-knocked-offline-by-pro-russian-hackers/

俄罗斯背景的 NoName057(16) 组织于周一上午 10 点左右在他们的加密 Telegram 频道上宣布了针对波兰的网络攻击事件。该组织的第一个目标是华沙证券交易所。该组织发布消息称:“为了向所有反对本国当局陷入恐俄症的波兰公民表示支持,我们今天的 DDoS 攻击瞄准了波兰目标。”然而,该组织继续对几家波兰主要商业银行提出索赔,包括北高银行、Raiffeisen 银行、Plus 银行、农业信贷银行和法国巴黎银行。目前,华沙证券交易所、Pekao 银行和 Raiffeisen 银行的网站仍处于离线状态。

免责声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表合天网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和合天网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与合天网安实验室一律不予承担。