当前位置: 首页 > 行业资讯 > 网络安全日报 2023年09月05日

网络安全日报 2023年09月05日

发表于:2023-09-05 07:56 作者: 蚁景网安实验室 阅读数(5732人)

1、研究人员披露RedEyes组织利用恶意LNK传递后门

https://asec.ahnlab.com/ko/56526/

RedEyes 组织,也称为 APT37、ScarCruft ,该组织使用的恶意软件以前以 CHM 格式传播,现在以 LNK 格式传播。恶意代码通过 mshta 进程执行特定 url 中存在的附加脚本,从攻击者的服务器接收命令,并执行附加的恶意操作。经研究人员确认,已确认的 LNK 文件是由攻击者将包含恶意代码的压缩文件上传到正常站点来分发的。恶意 LNK 文件以文件名 REPORT.ZIP 上传。该文件在 LNK 内包含正常的 Excel 文档数据和恶意脚本代码。近期大量利用 CHM、LNK 的恶意代码正在传播,用户需格外小心。在恶意LNK的情况下,许多文件大小超过10MB的情况已得到证实为恶意软件,因此不应执行未知创建者的大型LNK文件。

2、UAC-0057组织利用WinRAR软件漏洞进行网络攻击

https://cert.gov.ua/article/5661411

研究人员检测到 UAC-0057 组织利用 CVE-2023-38831、PicassoLoader JavaScript 变体、Rabbit 算法和 Cobalt Strike Beacon 的一次网络攻击。研究人员发现包含CVE-2023-38831漏洞利用的文件 Zbirnyk_tez_НУОУ_23.rar ,成功利用该文件将导致执行BAT文件 16872_16_2023_03049.pdf .cmd ,这将确保启动 LNK 文件 16872_16_2023_03049.lnk 的一部分,该文件使用 mshta.exe 实用程序执行嵌入在快捷方式文件中的 HTA 文件。启动HTA文件将导致在计算机上创建诱饵文件 16872_16_2023_03049.pdf (“综合防御:反击俄罗斯联邦对乌克兰武装侵略的经验”)并执行JavaScript代码,旨在下载图像 113-1131910-clipart.svg ,使用Rabbit .NET-file算法进行位移和解密接收(编译日期:2023-08-29 06:07:09),这反过来将确保计算机被 Cobalt Strike Beacon 程序击败(编译日期“regsvr.dll”:2023-08-21 14:04:21)。上述 JavaScript 文件是之前使用的 PicassoLoader 加载器的功能实现的变体。

3、研究人员披露Emotet银行木马再次出现

https://www.trellix.com/en-us/about/newsroom/stories/research/icymi-emotet-reappeared-early-this-year-unfortunately.html

Emotet 恶意软件,也称为 Geodo 和 Heodo,是一种著名的银行木马,但也可用作其他恶意软件的下载程序或植入程序。该恶意软件于 2014 年首次出现,2021 年 1 月,Emotet 基础设施被拆除,但于当年 11 月恢复,并在 2022 年和 2023 年初增加其运营。Emotet 仍然是一种危险且有弹性的恶意软件,因为 Emotet 攻击者利用了多个不同的感染链(恶意宏/VBS/WSF、ZipBombing、LNK 文件、HTA 文件)在短时间内。当 Emotet 在短暂中断后于 2023 年 3 月恢复运营时,最初的感染媒介是带有宏的大量填充的 Microsoft Word 文档。此后不久,根据Microsoft强制执行的政策,他们从 Word 文档转移到 OneNote 部分。在最新版本的 Emotet 有效负载中,我们观察到其 TTP 发生了重大变化,包括用于逃避检测机制的新传递向量。

4、AlphV勒索软件组织称针对乔治亚县进行攻击

https://therecord.media/forsyth-county-georgia-ransomware-alphv-post

AlphV勒索软件组织(也称为 BlackCat)声称对佐治亚州一个大县发动了攻击,该地距亚特兰大约一小时车程。福赛斯县官员承认六月发生过袭击事件,但没有提供有关所发生事件的细节。周二,AlphV 团伙声称对此次袭击负责,并将该县添加到其泄露站点,并威胁要公开 350GB 据称被盗的数据。该县于 6 月份发出了违规通知信,警告该县超过 250000 名居民,文件在未遂攻击期间从县服务器中被删除。完成审查后,他们发现社会安全号码和驾驶执照号码被盗。调查人员搜索了暗网,没有发现任何迹象表明这些数据已被出售。AlphV 周二声称拥有社会安全号码、财务报告、保险信息、贷款申请、商业协议等。

5、X 将从其高级用户那里收集生物识别数据用于安全和身份识别

https://securityaffairs.com/150350/digital-id/x-will-collect-biometric-data.html

社交媒体平台 X(以前称为 Twitter)更新了其隐私政策,通知其高级用户该公司将收集他们的生物识别数据以遏制欺诈和防止冒充。彭博社首先报道了 这一消息,并确认这一变化只会影响高级用户。

6、MinIO 存储系统漏洞被利用在受影响的服务器上执行任意代码

https://securityaffairs.com/150308/breaking-news/minio-storage-system-exploit.html

Security Joes 研究人员观察到,一个未知的威胁参与者使用公开可用的 MinIO 对象存储系统漏洞利用链,在易受攻击的服务器上实现任意代码执行。

7、Chrome 扩展程序可以从网站窃取明文密码

https://www.bleepingcomputer.com/news/security/chrome-extensions-can-steal-plaintext-passwords-from-websites

威斯康星大学麦迪逊分校的一组研究人员已将一个概念验证扩展上传到 Chrome 网上应用店,该扩展可以从网站的源代码中窃取纯文本密码。此外,研究人员发现,许多拥有数百万访问者的网站(包括一些 Google 和 Cloudflare 门户)在其网页的 HTML 源代码中以明文形式存储密码,允许扩展程序检索它们。

8、Fitbit可能因涉嫌违反GDPR而面临11亿欧元的罚款

https://cybernews.com/news/fitbit-violates-gdpr/

针对谷歌旗下的健康和健身公司Fitbit提出了三起投诉,该公司强迫新用户同意将高度个人数据传输到欧盟以外。

9、Clop声称通过M&T银行网络攻击导致宾夕法尼亚州数据泄露

https://thecyberexpress.com/clop-claims-the-pennsylvania-data-breach/

在通过M&T银行黑客攻击获得马萨诸塞州居民的信息后,Clop声称宾夕法尼亚州数据泄露。

10、英国国防部数千份绝密文件被俄罗斯黑客泄露

https://www.secrss.com/articles/58460

据镜报当地时间9月2日21:21分更新的报道,英国军事和情报网站的绝密安全信息已被与俄罗斯有关的黑客在网上泄露。攻击者发布了数千页的数据,这些数据可以帮助犯罪分子进入HMNB克莱德核潜艇基地、波顿当化学武器实验室和GCHQ监听站。

免责声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。