https://any.run/cybersecurity-blog/lu0bot-analysis/
Lu0Bot是一种Node.js语言编写的恶意软件,最初出现于2021年2月,早期它似乎是一个用于DDOS攻击的常规僵尸网络木马,如今Lu0Bot开始充当僵尸网络中的终端Bot,等待来自C2服务器的命令并将加密的基本系统信息发送回该服务器。Lu0Bot使用Node.js语言编写是基于现代Web应用程序中常用的运行时环境,其所使用的特定代码和库使得在运行时与操作系统的平台无关,且通常允许更大的多功能性,比如采用JavaScript代码的多层混淆技术。研究人员称如果Lu0bot的活动规模扩大并且C2服务器都开始积极响应可能会带来重大风险,最终造成击键 记录、身份盗窃、计算机完全控制受、充当DDOS机器人、使用受感染的系统进行非法活动等影响。
https://nvd.nist.gov/vuln/detail/CVE-2023-32315
黑客正在积极利用 Openfire 消息传递服务器中的一个高严重性漏洞,使用勒索软件加密服务器并部署加密挖矿程序。Openfire 是一种广泛使用的基于 Java 的开源聊天 (XMPP) 服务器,下载量达 900 万次,广泛用于安全的多平台聊天通信。该漏洞编号为 CVE-2023-32315,是一种影响 Openfire 管理控制台的身份验证绕过方式,允许未经身份验证的攻击者在易受攻击的服务器上创建新的管理员帐户。攻击者使用这些帐户安装恶意 Java 插件(JAR 文件),这些插件执行通过 GET 和 POST HTTP 请求接收的命令。第一个额外的有效负载是一个基于 Go 的加密挖掘木马,称为 Kinsing。
https://cyble.com/blog/exela-stealer-spotted-targeting-social-media-giants/
研究人员发现基于 Python 的开源窃取程序Exela Stealer,它具有广泛的反调试和反虚拟机 (VM) 技术,使其成为攻击者的有力工具。Exela 主要针对 Discord 用户,通过修改 Windows Discord 客户端来窃取敏感信息,包括登录凭据、个人数据,甚至可能是财务信息。Exela 窃取程序还旨在针对多个浏览器的数据和凭据。它还可以从各种应用程序中窃取会话详细信息,包括流行的社交媒体平台和游戏平台。通过 Discord 渠道泄露数据的能力表明了 Excela 背后的攻击者不断演变的策略,他们利用合法平台进行恶意目的。
https://isc.sans.edu/diary/A+new+spin+on+the+ZeroFont+phishing+technique/30248/
攻击者正在利用一种新技巧,即在电子邮件中使用零点字体,使恶意电子邮件看起来像是被 Microsoft Outlook 中的安全工具安全扫描过的。正在利用一种新技巧,即在电子邮件中使用零点字体,使恶意电子邮件看起来像是被 Microsoft Outlook 中的安全工具安全扫描过的。正在利用一种新技巧,即在电子邮件中使用零点字体,使恶意电子邮件看起来像是被 Microsoft Outlook 中的安全工具安全扫描过的。研究人员发现的一封新的 网络钓鱼电子邮件中,威胁参与者使用 ZeroFont 攻击来操纵广泛使用的电子邮件客户端(例如 Microsoft Outlook)上的消息预览。相关电子邮件在 Outlook 电子邮件列表中显示的消息与预览窗格中显示的消息不同。
https://www.proofpoint.com/us/blog/threat-insight/zenrat-malware-brings-more-chaos-calm
研究人员近期发现一款称为ZenRAT的新型远控木马家族,该家族隐藏在虚假的软件安装程序中,已被发现的历史活动利用SEO中毒、广告软件捆绑或电子邮件进行传播。ZenRAT最初是在一个外表与Bitwarden密码管理器软件相关的虚假网站上发现的,该网站与真实的bitwarden非常相似,该家族甚至克隆了Scott Nesbitt 从Opensource上发表的一篇有关Bitwarden密码管理器的文章。该恶意软件是一种模块化远程访问木马 (RAT),具有信息窃取功能,能够反沙箱、反虚拟机,专门针对Windows用户,如果Windows用户单击下载页面上标记为Linux或MacOS的下载链接,他们将被重定向到合法的 Bitwarden站点。
https://nvd.nist.gov/vuln/detail/CVE-2023-4863
近日Google为libwebp安全漏洞分配了一个新的CVE编号(CVE-2023-5129),该漏洞被用作攻击中的零日漏洞,漏洞存在于libwebp用于无损压缩的霍夫曼编码算法中,它使攻击者能够使用制作的恶意HTML页面执行越界内存写入。该漏洞由Apple安全工程与架构部门(SEAR)和多伦多大学Munk学院的公民实验室于9月6日星期三联合报告,不到一周后Google修复了该漏洞,安全咨询公司创始人Ben Hawke(曾领导Google零项目团队)还将CVE-2023-4863与Apple于9月7日解决的CVE-2023-41064漏洞联系起来。CVE-2023-5129被标记为libwebp中的严重问题,严重程度最高为10/10,并且针对libwebp开源库的更改将对使用libwebp的其他项目也具有重大影响。
研究人员称,由于利用了几乎相同的数据泄露网站和加密器,LostTrust勒索软件被认为与MetaEncryptor存在关联。LostTruat勒索团伙于2023年3月份开始进行攻击,并于9月份开始被人们发现。目前,该勒索组织已经在其数据泄露网站中列出了53个受害者,其中一些受害组织因未支付赎金而遭到数据泄露。MetaEncryptor勒索组织于2022年8月份开始进行攻击活动,截止至2023年7月份,该勒索组织在其网站中列出了12个受害者,7月份之后该勒索组织没有在其数据泄露网站中添加新的受害者。
https://therecord.media/russia-flight-booking-system-leonardo-ddos
俄罗斯的一个航班预订系统遭到网络攻击,导致机场延误。据当地航空预订系统Leonardo的开发商之一、俄罗斯国家国防公司Rostec称,该系统遭到了大规模的分布式拒绝服务(DDoS)攻击。这起事件持续了大约一个小时,影响了几位Leonardo客户的运营,其中包括俄罗斯航空公司Rossiya Airlines、Pobeda和旗舰航空公司Aeroflot。据俄罗斯国际航空公司称,这起事件导致该国最繁忙的莫斯科谢列梅捷沃国际机场的起飞延误长达一个小时。乌克兰黑客组织IT Army在其Telegram频道中声称对此次攻击事件负责。
https://www.menlosecurity.com/blog/evilproxy-phishing-attack-strikes-indeed/
EvilProxy是一种钓鱼服务工具包,可以通过反向代理和会话劫持的技术,绕过多数在线服务的二次验证保护,窃取用户的凭证。这种工具包在暗网市场上出售,任何网络犯罪者都可以购买并使用。研究人员介绍了一起针对高层管理人员的钓鱼攻击案例,该案例利用了求职平台“indeed.com”的一个开放重定向漏洞,将受害者引导到伪造的Microsoft登录页面。该页面实际上是一个反向代理服务器,可以拦截用户输入的账号、密码和二次验证代码,并立即使用它们登录用户的真实账户。这样,攻击者就可以获得用户的会话信息,并在不被察觉的情况下访问用户的邮件、文件和其他数据。
近日,安全研究人员发现了一个新的Linux漏洞,它被称为“Looney Tunables”,因为它可以通过修改一些名为“tunables”的环境变量来触发。这些环境变量是GNU C库(glibc)的一部分,它是GNU系统的C库,也是大多数基于Linux内核的系统中的基本组件。它提供了一些基本的功能,如字符串处理、数学运算、输入输出等。glibc中的ld.so动态加载器负责加载程序所需的共享库,并解析其中的符号。该漏洞利用了ld.so中的一个缓冲区溢出弱点,可以让本地攻击者在没有root权限的情况下,执行任意代码,并获得root权限。该漏洞影响了多个主流的Linux发行版,包括Ubuntu、Debian、Fedora、CentOS等。目前,glibc已经发布了修复版本,并建议用户尽快更新系统。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。