当前位置: 首页 > 行业资讯 > 网络安全日报 2023年09月25日

网络安全日报 2023年09月25日

发表于:2023-09-25 08:36 作者: 合天网安实验室 阅读数(3538人)

1、APT37组织利用朝韩政治社会话题发起网络钓鱼攻击

https://blog.alyac.co.kr/5251

Geumseong121 组织是朝鲜支持的 APT 攻击组织,也称 APT37 、 Group123 、 RedEyes 和 ScarCruft。攻击者将其伪装成一名与朝鲜有关的国内活动人士关于朝鲜领导人金正恩于 9 月 12 日至 17 日访问俄罗斯的手稿,从而引起了用户的兴趣。此次攻击中使用的文件包含大量虚拟值,这是攻击者通常用来逃避反病毒检测的方法之一。朝鲜黑客组织针对国内涉朝组织或活动人士的鱼叉式网络攻击变得越来越复杂和有针对性。

2、研究人员披露BBTok银行木马新变种

https://research.checkpoint.com/2023/behind-the-scenes-of-bbtok-analyzing-a-bankers-server-side-components/

研究人员最近发现一个活跃的活动在拉丁美洲运营和部署 BBTok 银行木马的新变种。在这项研究中,研究人员重点介绍了新发现的感染链,这些感染链使用了一种独特的靠地二进制文件 (LOLBins) 组合。这导致检测率较低,尽管 BBTok 银行木马至少自 2020 年以来一直在运营。在研究人员分析该活动时,发现了攻击者在攻击中使用的一些服务器端资源,目标是巴西和墨西哥的数百名用户。

3、研究人员披露LUCR-3勒索软件组织

https://permiso.io/blog/lucr-3-scattered-spider-getting-saas-y-in-the-cloud

LUCR-3 与 Scattered Spider、Oktapus、UNC3944 和 STORM-0875 等组织重叠,是一个出于经济动机的攻击者,利用身份提供商 (IDP) 作为环境的初始访问权限,目的是窃取知识产权 (IP)勒索。LUCR-3 针对各个行业的财富 2000 强公司,包括但不限于软件、零售、酒店、制造和电信。LUCR-3 并不严重依赖恶意软件甚至脚本,而是 LUCR-3 熟练地使用受害者自己的工具、应用程序和资源来实现其目标。在较高级别上,初始访问是通过损害 IDP 中的现有身份来获得的。LUCR-3 使用文档门户、票务系统和聊天应用程序等 SaaS 应用程序来了解受害者组织的运作方式以及如何访问敏感信息。然后,他们利用从 SaaS 应用程序中侦察获得的数据来执行数据窃取任务。数据盗窃通常集中在 IP、代码签名证书和客户数据上。

4、Gold Melody攻击组织向勒索软件出售攻陷网络访问权限

https://www.secureworks.com/research/gold-melody-profile-of-an-initial-access-broker

出于经济动机的攻击者Gold Melody组织已被揭露为初始访问经纪人(IAB),该经纪人向其他对手出售受感染组织的访问权限,以实施勒索软件等后续攻击。这个出于经济动机的组织至少从 2017 年起就一直活跃,通过利用未修补的面向互联网的服务器中的漏洞来危害组织。受害者学表明,这是为了经济利益而进行的机会主义攻击,而不是由国家支持的威胁组织进行的旨在从事间谍活动、破坏或破坏的有针对性的活动。据观察,截至 2020 年中期,该网络犯罪组织的受害者足迹已扩大到北美、北欧和西亚的零售、医疗保健、能源、金融交易和高科技组织。

5、攻击者在GitHub发布虚假WinRAR漏洞POC以传播Venom远控

https://unit42.paloaltonetworks.com/fake-cve-2023-40477-poc-hides-venomrat/

恶意行为者针对 GitHub 上最近披露的 WinRAR 漏洞发布了虚假概念验证 (PoC) 漏洞,目的是用 Venom RAT 恶意软件感染下载代码的用户。攻击者利用此 WinRAR 漏洞的虚假 PoC 是基于公开可用的 PoC 脚本,该脚本利用了名为 GeoServer 的应用程序中的 SQL 注入漏洞,该漏洞被跟踪为 CVE-2023-25157。托管该存储库的GitHub 帐户halersplonk不再可访问。据称该 PoC 于 2023 年 8 月 21 日提交,即该漏洞公开宣布四天后。CVE-2023-40477 涉及WinRAR 实用程序中的不正确验证问题,该实用程序可被利用以在 Windows 系统上实现远程代码执行 (RCE)。

6、T-Mobile应用程序故障可允许用户查看他人帐户信息

https://www.bleepingcomputer.com/news/security/t-mobile-app-glitch-let-users-see-other-peoples-account-info/

T-Mobile 客户表示,他们在登录该公司的官方移动应用程序后可以看到其他人的帐户和账单信息。根据社交媒体上的用户报告,暴露的信息包括客户的姓名、电话号码、地址、账户余额以及信用卡详细信息,例如到期日期和最后四位数字。一些受此问题影响的客户在登录自己的帐户时可能会看到其他多人的敏感信息。虽然今天早些时候 Reddit 和 Twitter 上开始出现大量报告,但一些 T-Mobile 客户也声称他们在过去两周内一直遇到这种情况。

7、新加坡警方警告新型安卓恶意软件诈骗规模逾1000万新元

https://www.channelnewsasia.com/singapore/android-malware-scam-factory-reset-phone-police-3785801

新加坡警方发布了有关安卓恶意软件诈骗新变种的通报,其中,当恶意软件在手机的网上银行应用程序上执行未经授权的交易后,诈骗者会在受感染的设备上启动恢复出厂设置。2023 年上半年,已有超过 750 起受害者将恶意软件下载到手机中的案例,损失至少为 1000 万新元(730 万美元)。受害者会在 Facebook 和 Instagram 等社交媒体平台上看到各种服务的广告,例如家庭清洁和宠物美容以及食品购买。然后,受害者会通过平台或消息应用程序 WhatsApp 联系“卖家”。此后,“卖家”将发送一个统一资源定位器(URL)链接,供受害者下载 Android Package Kit(APK)文件,这是一个为 Android 操作系统创建的应用程序。然后受害者将下载并安装该应用程序,其中包括授予其无障碍服务。他们将被指示通过 PayNow 转账 5 新元作为押金。受害者的网上银行凭证在转账时会被恶意软件的键盘记录功能窃取。

8、研究人员披露XWorm远控木马新变种的攻击活动

https://thehackernews.com/2023/09/inside-code-of-new-xworm-variant.html

XWorm 是远程访问木马群体中相对较新的代表,它已经成为全球最持久的威胁之一。自 2022 年研究人员首次观察到它以来,它经历了多次重大更新,显着增强了其功能并巩固了其持久力。研究人员发现了该恶意软件的最新版本,因此无法拒绝将其拆开以检查 XWorm 机制配置的机会。该样本最初是通过文件托管服务 MediaFire 分发的。该恶意软件打包在 RAR 存档中并受密码保护。执行后,Suricata 规则立即检测到该威胁,并将其识别为 XWorm。

9、Atos Unify安全性产品存在严重远程代码执行漏洞

https://www.securityweek.com/atos-unify-vulnerabilities-could-allow-hackers-to-backdoor-systems

Atos Unify 产品中发现的两个漏洞可能允许恶意行为者造成破坏,甚至对目标系统建立后门访问。研究人员在统一通信和协作解决方案中发现了这些漏洞。SEC Consult 是一家总部位于奥地利的网络安全咨询公司,隶属于 Atos Group 的 Eviden 业务。这些漏洞影响为统一通信提供安全性的 Atos Unify 会话边界控制器 (SBC)、用于远程办公室的 Unify OpenScape Branch 产品以及专为紧急服务而设计的边界控制功能 (BCF)。研究人员发现,这些产品的 Web 界面受到 CVE-2023-36618 的影响,经过身份验证的攻击者可以利用该漏洞以低权限执行任意 PHP 函数,然后以 root 权限执行操作系统命令。第二个安全漏洞 CVE-2023-36619 可以被未经身份验证的攻击者利用来访问和执行某些脚本。攻击者可以利用这些脚本造成拒绝服务 (DoS) 情况或更改系统的配置。

10、Omron公司修补被工控恶意软件利用过的PLC和工程软件漏洞

https://www.securityweek.com/omron-patches-plc-engineering-software-flaws-discovered-during-ics-malware-analysis/

日本电子公司Omron最近修补了工业网络安全公司 Dragos 在分析复杂恶意软件时发现的可编程逻辑控制器 (PLC) 和工程软件漏洞。去年,美国网络安全机构 CISA 向组织通报了影响 Omron NJ 和 NX 系列控制器的三个漏洞。这些漏洞之一是 CVE-2022-34151 的关键硬编码凭据问题,可用于访问欧姆龙 PLC。Pipedream 被认为是一个国家支持的威胁组织所为,该组织可能与俄罗斯有关。Dragos 去年确定 Pipedream 的一个名为 BadOmen 的组件利用CVE-2022-34151与目标 Omron NX/NJ 控制器上的 HTTP 服务器进行交互。BadOmen 可用于操纵物理过程并造成物理过程中断。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表合天网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和合天网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与合天网安实验室一律不予承担。