https://www.securityjoes.com/post/bibi-linux-a-new-wiper-dropped-by-pro-hamas-hacktivist-group
根据报道,亲哈马斯的黑客组织在以色列和哈马斯之间的战争期间,使用一种名为BiBi-Linux Wiper的新型Linux擦除器恶意软件,针对以色列的一些目标进行攻击。这种恶意软件是一个x64 ELF可执行文件,没有混淆或保护措施。它允许攻击者指定目标文件夹,并且如果以root权限运行,可能会破坏整个操作系统。研究人员自愿协助以色列公司应对战争危机,在取证调查过程中,发现了这种新型Linux擦除器恶意软件,并将其追踪为BiBi-Linux Wiper。研究人员还提供了该恶意软件的技术细节、样本哈希值、感染指标和防御建议。
https://unit42.paloaltonetworks.com/malicious-operations-of-exposed-iam-keys-cryptojacking/
据报道,研究人员发现了一场持续多年的加密挖矿活动,该活动被命名为“EleKtra-Leak”。该活动的黑客能够自动克隆GitHub仓库,并窃取其中暴露的AWS密钥。研究人员称,黑客通常在AWS密钥在GitHub仓库中暴露后的五分钟内就能够获取它们,并在多个区域尽可能多地启动Amazon EC2实例来挖掘Monero。在8月30日至10月6日的一个多月时间里,研究人员发现了474个不同的挖矿程序,它们可能由黑客控制的EC2实例运行。研究人员表示,虽然GitHub和AWS都有相应的机制来检测和阻止暴露的AWS密钥被滥用,但并不能覆盖所有情况。他们建议开发者应该独立地实施持续集成/持续交付(CI/CD)的安全实践,比如在提交代码时扫描仓库。此外,他们还建议用户在发现AWS密钥被暴露时,立即撤销使用它们的API连接,以防止资源被盗用。
https://posts.specterops.io/lateral-movement-abuse-the-power-of-dcom-excel-application-3c016d0d9922
研究人员介绍了一种有趣的横向移动技术,即利用分布式组件对象模型(DCOM)Excel应用程序中的ActivateMicrosoftApp ()方法。DCOM是微软的一种解决方案,允许软件组件远程通信。COM对象必须在客户端和服务器端正确配置,Windows注册表存储了DCOM配置数据,包括类标识符(CLSID)、程序标识符(ProgID)和应用程序标识符(AppID)。客户端通过提供CLSID、ProgID或AppID来请求在远程计算机上创建一个对象,远程计算机进行验证,如果具有权限,就会使用DCOMLaunch.exe或DLLHOST.exe启动实例,然后客户端就可以访问远程计算机上的所有函数和方法。研究人员重点介绍了如何使用Excel的ActivateMicrosoftApp ()方法来执行任意代码。该方法允许在指定的Excel文档中执行一个命名的宏。研究人员利用这个方法,在远程计算机上创建一个包含恶意宏的Excel文档,并通过PowerShell远程实例化Excel应用程序,然后调用Run ()方法来执行恶意宏。该技术可以绕过防火墙和杀毒软件的检测,实现隐蔽的横向移动。研究人员还提供了一些防御建议,比如限制DCOM权限、监控DCOM流量、禁用不必要的COM对象等。
https://www.esentire.com/blog/the-wiki-slack-attack
Wiki-Slack攻击是一种新型的网络钓鱼攻击,它利用了Slack平台的一个特性,即允许用户创建重定向链接,即以slack-redir.net为域名的链接,当用户点击这些链接时,会被重定向到目标网站。黑客可以通过在Slack上发送包含恶意网站的重定向链接来诱导用户点击,从而窃取用户的敏感信息或者安装恶意软件。这种攻击的危险性在于,用户可能会认为这些链接是来自Slack官方或者可信任的来源,而不会怀疑其真实性。而且,由于Slack平台广泛用于企业和组织的内部沟通,这种攻击可能会影响大量的用户和数据。为了防范这种攻击,用户应该在点击Slack上的任何链接之前,检查其目标网址是否与显示的网址一致,或者直接在浏览器中输入目标网址,而不要通过Slack重定向链接访问。此外,用户还应该使用安全软件来保护自己的设备和网络,并及时更新系统和应用程序。
https://www.hackread.com/ransomedvc-ransomware-quit-sell-infrastructure/
RansomedVC是一个2023年8月份出现的勒索软件团伙,它声称自己是为了揭露违反欧盟一般数据保护条例(GDPR)的企业而进行渗透测试,但实际上是为了敲诈受害者的钱财。该团伙曾声称侵入了索尼、NTT Docomo等大型日本企业,并在暗网上出售窃取的数据。然而,最近该团伙在其暗网站上发布了一则声明,称他们已经退出勒索软件行业,并将其基础设施(包括暗网网站、数据泄露站、加密器、解密器等)以比特币出售给感兴趣的买家。该团伙没有透露退出的原因,也没有提供任何证据证明他们真的拥有所声称的基础设施。安全专家认为,这可能是一个骗局,旨在从其他网络犯罪分子那里骗取更多的钱财。
Pwn2Own 多伦多 2023 黑客大赛落下帷幕,参赛团队在为期 3 天的比赛时间里,针对消费类产品进行了 58 次零日漏洞利用(以及多次漏洞碰撞),共获得了 103.85 万美元的奖金。
https://thehackernews.com/2023/10/researchers-uncover-wiretapping-of-xmpp.html
一名安全研究人员声称他发现有人试图利用托管在德国 Hetzner和Linode(Akamai 的子公司)的服务器,秘密拦截来自基于 XMPP 的即时消息服务 jabber[.]ru(又名xmpp[.]ru)的流量。
https://www.anquanke.com/post/id/291090
Lazarus 集团被认为是一场新活动的幕后黑手,在该活动中,一家未透露姓名的软件供应商通过利用另一款备受瞩目的软件中的已知安全漏洞而受到损害。
知名网络安全公司 HackerOne 宣布,自 2012 年成立以来,其漏洞赏金计划已向白帽和漏洞研究人员发放了超 3 亿美元的奖励。
F5 BIG-IP 配置实用程序中存在一个严重漏洞(编号为 CVE-2023-46747),允许远程访问配置实用程序的攻击者执行未经身份验证的远程代码执行。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。