当前位置: 首页 > 行业资讯 > 网络安全日报 2023年12月25日

网络安全日报 2023年12月25日

发表于:2023-12-25 08:27 作者: 蚁景网安实验室 阅读数(2170人)

1、研究人员披露Predator间谍软件数百万美元许可模型

https://blog.talosintelligence.com/intellexa-and-cytrox-intel-agency-grade-spyware/

复杂商业间谍软件Predator的一项新分析表明,其在重新启动之间持续存在的能力是作为“附加功能”提供的,并且取决于客户选择的许可选项。2021 年,Predator 间谍软件无法在受感染的 Android 系统上重新启动(iOS 上也有)。但是,到 2022 年 4 月,他们的客户就可以享受到这种功能了。Predator 可以针对 Android 和 iOS,被描述为一种“远程移动提取系统”,其以许可模式出售,根据初始访问所使用的漏洞和并发感染的数量,该模式的售价高达数百万美元,远离脚本小子和新手犯罪分子。

2、APT33组织利用新的FalseFont恶意软件针对国防公司发起攻击

https://twitter.com/MsftSecIntel/status/1737895715911700830

伊朗网络间谍组织APT33正在使用最近发现的 FalseFont 后门恶意软件来攻击全球的国防承包商。微软观察到伊朗民族国家演员 Peach Sandstorm 试图向国防工业基地 (DIB) 部门的组织工作的个人提供一个新开发的名为 FalseFont 的后门。这些攻击的目标 DIB 部门包括超过 100000 家参与研究和开发军事武器系统、子系统和组件的国防公司和分包商。该黑客组织也被称为 Peach Sandstorm、HOLMIUM 或 Refined Kitten,至少自 2013 年以来一直活跃。他们的目标涵盖美国、沙特阿拉伯和韩国的各个行业部门,包括政府、国防、研究、金融和工程垂直领域。FalseFont 是微软今天公布的活动中部署的自定义后门,它允许操作员远程访问受感染的系统、执行文件以及将文件传输到其命令和控制 (C2) 服务器。

3、诈骗者利用广告推送传播MS Drainer钓鱼网站盗取巨额加密货币

https://drops.scamsniffer.io/post/from-google-to-x-ads-tracing-the-crypto-wallet-drainers-58-million-trail/

攻击者利用谷歌和 Twitter 的广告传播包含名为“MS Drainer”的加密货币流失程序的网站,该网站在过去 9 个月内已从 63210 名受害者那里窃取了 5900 万美元。从 2023 年 3 月至今,他们发现了超过一万个使用 MS Drainer 的网络钓鱼网站,其中 5 月、6 月和 11 月的活动激增。用户被带到一个看似合法的网络钓鱼网站,并被诱骗批准恶意合约,从而允许 Drainer 自动执行未经授权的交易,并将受害者的钱转移到攻击者的钱包地址。MS Drainer 的源代码由名为“Pakulichev”或“PhishLab”的用户以 1,500 美元的价格出售给网络犯罪分子,该用户还对使用该工具包窃取的任何资金收取 20% 的费用。此外,PhishLab 还销售为恶意软件添加新功能的附加模块,价格在 500 至 1,000 美元之间。

4、OpenAI针对ChatGPT数据泄露漏洞推出了不完善的修复程序

https://embracethered.com/blog/posts/2023/openai-data-exfiltration-first-mitigations-implemented/

OpenAI 缓解了 ChatGPT 中的数据泄露错误,该错误可能会将对话详细信息泄露到外部 URL。据发现该漏洞的研究人员称,缓解措施并不完美,因此攻击者在某些条件下仍然可以利用它。此外,ChatGPT 的 iOS 移动应用程序尚未实施安全检查,因此该平台上的风险仍未得到解决。安全研究人员发现了一种从 ChatGPT 中窃取数据的技术,并于 2023 年 4 月向 OpenAI 报告。该研究人员后来于 2023 年 11 月分享了有关创建恶意 GPT 的更多信息,这些恶意 GPT 利用该缺陷对用户进行网络钓鱼。由于聊天机器人供应商没有做出回应,研究人员决定于 2023 年 12 月 12 日公开披露他的发现,他展示了一个名为“The Thief!”的定制井字棋 GPT,该 GPT 可以将对话数据泄露到外部由研究人员操作的 URL。

5、Ivanti发布了针对13个严重Avalanche RCE漏洞的补丁

https://forums.ivanti.com/s/article/Avalanche-6-4-2-Security-Hardening-and-CVEs-addressed

Ivanti 发布了安全更新,修复了该公司 Avalanche 企业移动设备管理 (MDM) 解决方案中的 13 个关键安全漏洞。Avalanche 允许管理员通过互联网从一个中央位置管理超过 100000 台移动设备、部署软件并安排更新。这些安全缺陷是由WLAvalancheService 堆栈或基于堆的缓冲区溢出漏洞造成的。未经身份验证的攻击者可以在低复杂性攻击中利用它们,这些攻击不需要用户交互即可在未修补的系统上获得远程代码执行。攻击者向移动设备服务器发送特制数据包可能会导致内存损坏,从而导致拒绝服务 (DoS) 或代码执行。

6、攻击者利用伪造的F5 BIG-IP零日警告电子邮件部署数据擦除器

https://www.gov.il/he/Departments/publications/reports/alert_1687

以色列国家网络管理局警告称,假冒 F5 BIG-IP 零日安全更新的网络钓鱼电子邮件会部署 Windows 和 Linux 数据擦除器。以色列国家网络管理局 (INCD) 充当 CERT,负责保护国家免受网络威胁,并向组织和公民发出已知攻击的警告。自十月以来,以色列一直是亲巴勒斯坦和伊朗黑客活动分子的重点攻击目标,他们一直在对该国的组织进行数据盗窃和数据擦除攻击。11 月,研究人员发现了一种名为 BiBi Wiper 的新数据擦除器, 它同时针对 Linux 和 Windows 设备,据信是由亲哈马斯的黑客活动分子创建的。

7、加密货币诈骗者滥用Twitter功能来冒充知名账户

https://twitter.com/XrplServices/status/1736432471166660814

加密货币诈骗者正在滥用合法的 Twitter“功能”来宣传诈骗、虚假赠品以及用于窃取您的加密货币和 NFT 的欺诈性 Telegram 频道。在 X(以前更广泛地称为 Twitter)上,帖子的 URL 由发推者的帐户名和状态 ID 组成。网站使用状态 ID 来确定应从网站数据库加载哪些帖子,而不去检查帐户名是否有效。这允许您获取推文的 URL 并将帐户名称修改为您想要的任何名称,甚至是高调的帐户。访问 URL 时,网站只会将您重定向到与 ID 关联的正确 URL。诈骗者在过去两周(甚至更长时间)已经开始 使用 这种重定向机制 来创建看似属于合法、知名组织的 URL。所有冒充组织都是与加密货币相关的帐户,例如 Binance(1100 万粉丝)、以太坊基金会(300 万)、zkSync(130 万)和 Chainlink(100 万)。

8、安卓恶意软件Chameleon禁用指纹解锁以窃取PIN

https://www.threatfabric.com/blogs/android-banking-trojan-chameleon-is-back-in-action

Chameleon Android 银行木马以新版本重新出现,该版本使用一种棘手的技术来接管设备——禁用指纹和面部解锁来窃取设备 PIN。它通过使用 HTML 页面技巧来获取对辅助功能服务的访问权限,并使用一种破坏生物识别操作以窃取 PIN 并随意解锁设备的方法来实现此目的。今年 4 月发现的 Chameleon 早期版本冒充澳大利亚政府机构、银行和 CoinSpot 加密货币交易所,在受感染的设备上执行键盘记录、覆盖注入、cookie 盗窃和短信盗窃。

9、Inhospitality恶意垃圾邮件活动针对酒店业发起攻击

https://news.sophos.com/en-us/2023/12/19/inhospitality-malspam-campaign-targets-hotel-industry/

一项针对全球酒店的密码窃取恶意软件活动正在利用有关服务问题或信息请求的电子邮件投诉作为社会工程诱饵,以获取活动目标的信任,然后再向其发送链接恶意负载。攻击者最初通过电子邮件联系目标,该电子邮件只包含文本,但主题是服务面向企业(如酒店)会希望快速响应。只有在目标回复威胁行为者的初始电子邮件后,威胁行为者才会发送后续消息,链接到他们声称的有关其请求或投诉的详细信息。社会工程角度涵盖了各种各样的主题,但可以分为两大类:对发送者声称在最近住宿中遇到的严重问题的投诉,或请求提供信息以帮助将来可能的预订。

10、游戏巨头育碧正在调查数据泄露事件

https://securityaffairs.com/156331/data-breach/ubisoft-investigating-alleged-data-breach.html

游戏发行商育碧正在审查著名研究人员 vx-underground 披露证据后有关潜在数据泄露。研究人员报告称,2023 年 12 月 20 日,一名未知威胁参与者可以访问育碧基础设施大约 48 小时。管理员发现攻击后将入侵者锁定。目前尚不清楚攻击者如何入侵该公司,他们试图窃取 R6 Siege 用户数据,但没有成功。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。