当前位置: 首页 > 行业资讯 > 网络安全日报 2023年10月31日

网络安全日报 2023年10月31日

发表于:2023-10-31 08:22 作者: 蚁景网安实验室 阅读数(2290人)

1、黑客利用MSIX应用程序包文件传播GHOSTPULSE恶意软件

https://www.elastic.co/security-labs/ghostpulse-haunts-victims-using-defense-evasion-bag-o-tricks

最近,一种新的网络攻击活动被发现,利用伪造的MSIX应用程序包文件,模仿一些流行的软件,如谷歌浏览器、微软Edge、Brave、Grammarly和Cisco Webex,来分发一种名为GHOSTPULSE的新型恶意软件加载器。目标用户可能通过一些已知的技术,如被入侵的网站、搜索引擎优化(SEO)污染或恶意广告,被诱导下载这些MSIX包文件。运行MSIX文件会打开一个Windows提示框,要求用户点击安装按钮,这样就会通过一个PowerShell脚本从远程服务器悄悄地下载GHOSTPULSE到受感染的主机上。这个过程分为多个阶段,第一个有效载荷是一个TAR归档文件,其中包含一个伪装成Oracle VM VirtualBox服务的可执行文件,实际上是一个与Notepad++捆绑的合法二进制文件。TAR归档文件中还包含handoff.wav和一个被篡改的libcurl.dll版本,后者通过利用gup.exe易受DLL侧加载攻击的事实,将感染过程推向下一个阶段。接下来,被篡改的DLL文件会解析handoff.wav,后者又包含了一个加密的有效载荷,该有效载荷通过mshtml.dll进行解码和执行,这是一种称为模块践踏的方法,最终加载GHOSTPULSE。GHOSTPULSE充当一个加载器,使用另一种称为进程替身的技术来启动最终恶意软件的执行,其中包括SectopRAT、Rhadamanthys、Vidar、Lumma和NetSupport RAT。

2、动态搜索广告传播恶意软件,危害用户安全

https://www.malwarebytes.com/blog/threat-intelligence/2023/10/malvertising-via-dynamic-search-ads-delivers-malware-bonanza

一种利用动态搜索广告(DSA)传播恶意软件的网络攻击活动近期被研究人员发现。网站所有者不知道的是,他们的一个广告是自动创建的,目的是宣传Python开发人员的流行程序,并且人们在Google上搜索该程序时可以看到该广告。点击广告的受害者会被带到一个被黑的网页,其中包含下载该应用程序的链接,结果却安装了十多个不同的恶意软件。动态搜索广告(DSA)是一种Google广告,它使用网站内容自动创建广告。虽然此功能对于广告商来说非常方便,但它也带来了不太可能但有可能被滥用的可能性。事实上,如果有人能够在所有者不知情的情况下修改网站内容,那么自动广告可能会完全产生误导。研究人员建议用户进行安全浏览,并对赞助内容始终保持谨慎。

3、乌克兰“IT军队”攻击俄罗斯运营商

https://securityaffairs.com/153192/hacktivism/it-army-of-ukraine-hit-russia-isp.html

乌克兰自愿“IT军队”是一支由政府领导的网络志愿者组织,旨在对抗俄罗斯的网络攻击和宣传。该组织通过Telegram频道发布任务,要求志愿者对俄罗斯的网站和基础设施进行分布式拒绝服务(DDoS)攻击,以干扰其正常运行。该组织还要求志愿者举报YouTube上散布关于乌克兰战争谎言的频道。乌克兰“IT军队”的目标包括俄罗斯的能源巨头Gazprom,俄罗斯的银行和政府网站,以及俄罗斯的新闻网站。该组织还将白俄罗斯作为俄罗斯的盟友之一,对其注册的网站进行攻击。乌克兰“IT军队”的行动引起了国际红十字会(ICRC)的关注,该组织发布了针对平民黑客参与冲突的行为准则。这些准则包括禁止对医疗和人道主义设施、民用对象和生存必需品进行网络攻击,禁止使用自动传播和无差别破坏的恶意软件或其他工具或技术,禁止发出暴力威胁以在平民中传播恐怖,禁止煽动违反国际人道法的行为等。

4、Hive勒索软件团伙疑似改名为Hunters International

https://www.bleepingcomputer.com/news/security/new-hunters-international-ransomware-possible-rebrand-of-hive/

据报道,一种名为Hunters International的新勒索软件服务品牌出现了,它使用了Hive勒索软件行动的代码,这让人有理由怀疑原来的团伙在换了个旗号后重新活跃起来。安全研究人员分析了Hunters International的样本,发现它与Hive勒索软件攻击中使用的代码有着惊人的相似之处。具体来说,研究人员首先发现了这种新的加密器,他得出结论认为Hunters International恶意软件是Hive勒索软件版本6的一个样本。在上面的推文的回复中,安全研究人员分享说,他在Hunters International的代码中发现了“一些保留的Hive勒索软件字符串”。研究人员更仔细地观察了Hunters International样本,发现了与Hive勒索软件匹配的多达60%以上的代码重叠和相似之处。Hunters International团伙否认了研究人员的“指控”,称他们是勒索软件界的一种新服务,他们从Hive开发者那里购买了加密器源代码。

5、美国学区遭黑客攻击,学生数据被泄露并发送给家长

https://www.databreaches.net/hackers-escalate-leak-200k-ccsd-students-data-claim-to-still-have-access-to-ccsd-email-system/

2023年10月5日,美国内华达州的克拉克县学区(CCSD)发现其电子邮件环境受到了未经授权的访问,随后启动了调查,并与执法部门合作。CCSD是美国第五大学区,拥有超过30万名学生和1.5万名教师。调查结果显示,黑客获取了部分学生、家长和员工的有限个人信息,包括学生照片、地址、学生ID号和电子邮件地址等。攻击发生后,CCSD禁止了外部账户访问其谷歌工作空间,并强制重置了所有学生的密码。然而,事态并没有得到控制,一些家长收到了来自黑客的电子邮件,警告他们他们的孩子的数据已经被泄露,并附上了包含学生数据的PDF文件。这些电子邮件以“CCSD Leak”为标题,声称有超过20万份类似的学生资料被黑客泄露,并建议家长小心保护自己。这一事件引起了家长和学生的恐慌和愤怒,他们担心黑客会利用他们的数据进行其他恶意行为,例如身份盗窃或进一步的网络钓鱼攻击。

6、加拿大禁止政府电话使用微信和卡巴斯基

https://www.securityweek.com/canada-bans-wechat-and-kaspersky-on-government-phones/

加拿大周一以隐私和安全风险为由,禁止政府智能手机和其他移动设备使用流行的中国通讯应用微信和俄罗斯平台卡巴斯基。

7、波音公司正在调查勒索软件攻击事件

https://www.securityweek.com/boeing-investigating-ransomware-attack-claims/

波音公司正在调查 LockBit 勒索软件团伙最近提出的勒索,称大量数据从这家航空航天巨头的网络中被泄露。

8、Apple推出联系人密钥验证提高 iMessage 安全性

https://www.securityweek.com/apple-improves-imessage-security-with-contact-key-verification/

苹果周五推出了联系人密钥验证,这是一项旨在提高 iMessage 服务安全性的新功能。

9、一种复杂的恶意软件STRIPEDFLY感染了100 多万台设备

https://securityaffairs.com/153208/malware/stripedfly-complex-malware.html

被追踪为 StripedFly 的复杂恶意软件五年来一直未被发现,并感染了大约一百万台设备。

10、Kubernetes 的NGINX 入口控制器中发现新的高危漏洞

https://thehackernews.com/2023/10/urgent-new-security-flaws-discovered-in.html

Kubernetes 的NGINX Ingress 控制器中披露了三个未修补的高严重性安全漏洞,威胁行为者可能会利用这些漏洞从集群中窃取秘密凭证。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。