在过去的几个月里,研究人员一直在跟踪被命名为MetaStealer木马家族的一系列信息窃密攻击活动,已经观察到的许多 MetaStealer家族样本都存在于在磁盘映像格式(.dmg)中包含的恶意应用程序包中,磁盘映像使用以下名称如“Advertising terms of reference (MacOS presentation).dmg”、“CONCEPT A3 full menu with dishes and translations to English.dmg”、“AnimatedPoster.dmg”、“Brief_Presentation-Task_Overview-(SOW)-PlayersClub.dmg”等,这表明MetaStealer家族的攻击目标是使用Mac设备的商业用户。
研究人员近期发现一批针对哥伦比亚多个行业40多家知名公司的大规模网络钓鱼活动,攻击者以紧急通知、逾期债务报告或诱人的报价等欺骗性题材向目标发送恶意电子邮件,通过各种形式的恶意附件文件诱导受害者点击运行,最终在受害者的计算机上谨慎地安装臭名昭著的“Remcos”恶意软件。Remcos是一种复杂远程控制木马,它使攻击者能够完全控制受感染的计算机,并可用于包括数据盗窃、后续感染和帐户接管等各种操作。
https://securelist.com/backdoored-free-download-manager-linux-malware/110465/
研究人员发现一批可疑域名托管名为“Free Download Manager”软件的Debian存储库,该Debian软件包包含受感染的postinst脚本,脚本运行时将两个ELF文件放入路径/var/tmp/crond和/var/tmp/bs,然后创建一个cron任务每隔10分钟启动后门程序/var/tmp/crond。crond后门向C2域名发出A类DNS请求,启动反向shell与C2服务器通信,最后攻击者通过反向shell部署Bash 窃取程序,该窃取程序收集系统信息、浏览历史记录、保存的密码、加密货币钱包文件以及云服务的凭据数据。
https://thehackernews.com/2023/09/rust-written-3am-ransomware-sneak-peek.html
研究人员在一次安全响应事件中发现了一个名为3AM的新型勒索软件家族,攻击者在尝试于目标网络中部署LockBit(又名 Bitwise Spider或Syphid)失败后部署了该勒索软件。3AM因其在勒索信中被提及而得名,该软件的加密文件附加扩展名为 .Threeamtime,勒索软件在开始加密文件之前会尝试停止受感染计算机上的多项服务如各种安全和备份相关软件,加密完成符合预定义条件的文件后,它会尝试删除卷影 (VSS) 副本。目前尚不清楚恶意软件作者是否与已知的电子犯罪组织有任何联系。
https://thehackernews.com/2023/09/microsoft-releases-patch-for-two-new.html
近日微软发布软件修复程序来修复其产品组合中的59个错误,其中包括两个已被恶意网络攻击者积极利用的零日漏洞,分别是CVE-2023-36761(Microsoft Word 信息泄露漏洞,CVSS评分6.2),以及CVE-2023-36802(Microsoft 流服务代理特权提升漏洞,CVSS评分7.8)。微软在公告中表示,利用CVE-2023-36761漏洞可能会泄露NTLM 哈希值,CVE-2023-36802可能会被滥用获取系统权限,目前尚不清楚有关利用性质或攻击背后的威胁行为者身份的确切细节。
https://www.freebuf.com/articles/377938.html
Mozilla 周二发布了安全更新,修复了 Firefox 和 Thunderbird 中的一个关键零日漏洞。该漏洞被标记为 CVE-2023-4863,是 WebP 图像格式中的堆缓冲区溢出漏洞,在处理特制图像时可能导致任意代码执行。Mozilla 在一份公告中说,打开恶意 WebP 图像可能导致内容进程中的堆缓冲区溢出,这个漏洞在其他产品中被广泛利用。
https://www.securityweek.com/airbus-launches-investigation-after-hacker-leaks-data/
空客公司在一名黑客泄露了据称从这家法国航空航天巨头系统中窃取的信息后展开了调查。网络犯罪情报公司 Hudson Rock 周二报道称,一名在线绰号为“USDoD”的黑客本月早些时候在一个网络犯罪论坛上声称,他们入侵了空中客车公司。
https://thehackernews.com/2023/09/alert-new-kubernetes-vulnerabilities.html
可以利用 Kubernetes 中发现的三个相互关联的高严重性安全漏洞,在集群内的 Windows 端点上以提升的权限实现远程代码执行。这些问题编号为 CVE-2023-3676、CVE-2023-3893和 CVE-2023-3955,CVSS 分数为 8.8,影响所有具有 Windows 节点的 Kubernetes 环境Akamai 于 2023 年 7 月 13 日负责任地披露后,于 2023 年 8 月 23 日发布了这些漏洞的修复程序。
https://thehackernews.com/2023/09/update-adobe-acrobat-and-reader-to.html
Adobe于2023年9月星期二发布的补丁更新附带了针对Acrobat和Reader中被攻击者主动利用的关键安全漏洞,该漏洞的编号为 CVE-2023-26369,CVSS评分严重程度为7.8,影响Windows和macOS版的Acrobat DC、Acrobat Reader DC、Acrobat 2020和 Acrobat Reader 2020等软件,该漏洞被描述为越界写入,成功利用该漏洞可能会实现打开特制的PDF 文档来导致远程执行代码,Adobe声称已经意识到CVE-2023-26369漏洞已经在针对Adobe Acrobat和Reader软件的有限攻击中被广泛利用。
微软公布了 Windows Update 在四年内逐步禁用第三方打印机驱动的计划,此举旨在增强 Windows 生态系统的安全性,因为影响数以百计型号的打印机驱动漏洞常常被忽视数年之久,给用户造成严重安全隐患。Windows 未来将默认使用新的打印模式,禁用第三方打印驱动。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。