https://mp.weixin.qq.com/s/EhRX26TP9rxEKys_MzDYvQ
近期安天CERT发现一组利用非官方软件下载站进行投毒和攻击下游用户案例,攻击者在网管运维工具上捆绑植入macOS平台远控木马,利用国内非官方下载站发布,以此取得政企机构内部关键主机桥头堡。安天CERT判断该事件针对的目标为国内IT运维人员,当运维人员寻找macOS平台下免费或破解的运维工具时可能会搜索到该下载站,并下载执行含有恶意文件的运维工具,进一步连接攻击者服务器运行远控木马窃取主机中的数据和文件。该团伙使用经过精心构造的域名,并对下载的载荷文件进行混淆处理,以规避安全产品的检测,安天CERT用“暗蚊”组织命名该团伙。
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-016a
CISA 和 FBI 今天警告称,使用 Androxgh0st 恶意软件的威胁行为者正在构建一个专注于云凭证盗窃的僵尸网络,并利用窃取的信息来传播额外的恶意负载。该僵尸网络于 2022 年首次被发现,大约一年前控制了 40000 多台设备。它扫描易受以下远程代码执行 (RCE) 漏洞影响的网站和服务器: CVE-2017-9841(PHPUnit 单元测试框架)、CVE-2021-41773(Apache HTTP Server)和CVE-2018-15133(Laravel PHP)网络框架)。Androxgh0st 是一种 Python 脚本恶意软件,主要用于针对包含机密信息的 .env 文件,例如各种知名应用程序的凭据(即 Amazon Web Services [AWS]、Microsoft Office 365、SendGrid 和 Laravel Web 中的 Twilio)应用程序框架。Androxgh0st 恶意软件还支持许多能够滥用简单邮件传输协议 (SMTP) 的功能,例如扫描和利用暴露的凭据和应用程序编程接口 (API) 以及 Web shell 部署。
https://www.cadosecurity.com/containerised-clicks-malicious-use-of-9hits-on-vulnerable-docker-hosts/
易受攻击的 Docker 服务正成为一项新颖活动的目标,在该活动中,威胁行为者正在部署 XMRig 加密货币挖矿程序以及 9Hits Viewer 软件,作为多管齐下的货币化策略的一部分。这是第一个记录在案的恶意软件将 9Hits 应用程序作为有效负载部署的案例。9Hits将自己宣传为“独特的网络流量解决方案”和“自动流量交换”,允许服务成员将流量引入其网站以换取购买积分。这是通过名为 9Hits Viewer 的软件来实现的,该软件运行一个无头 Chrome 浏览器实例来访问其他会员请求的网站,他们可以赚取积分来支付为其网站产生流量的费用。目前尚不清楚将恶意软件传播到易受攻击的 Docker 主机的确切方法,但怀疑涉及使用 Shodan 等搜索引擎来扫描潜在目标。
https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta866-returns-large-email-campaign
研究人员发现 TA866 在消失九个月后又重新出现在电子邮件威胁活动数据中。2024 年 1 月 11 日,研究人员阻止了一场大规模活动,其中包括针对北美的数千封电子邮件。以发票为主题的电子邮件附有 PDF,其名称例如“Document_[10 位数字].pdf”以及各种主题,例如“项目成就”。PDF 包含 OneDrive URL,如果单击这些 URL,则会启动多步骤感染链,最终导致恶意软件负载(WasabiSeed 和 Screenshotter自定义工具集的变体)。
一组九个漏洞(统称为“PixieFail”)影响 Tianocore EDK II 的 IPv6 网络协议栈,EDK II 是广泛用于企业计算机和服务器的 UEFI 规范的开源参考实现。这些缺陷存在于 PXE 网络启动过程中,该过程对于在数据中心和高性能计算环境中配置操作系统以及启动时从网络加载操作系统映像的标准过程至关重要。研究人员发现PixieFail 缺陷,并已通过 CERT/CC 和 CERT-FR 的协调努力向受影响的供应商披露。
美国网络安全和基础设施安全局 (CISA) 周四将一个现已修补的影响 Ivanti Endpoint Manager Mobile (EPMM) 和 MobileIron Core 的严重缺陷添加到其已知被利用的漏洞 ( KEV )目录中,并表示该漏洞正在被积极利用。所涉及的漏洞是CVE-2023-35082(CVSS 评分:9.8),这是一种身份验证绕过方法,它是针对 CVE-2023-35078(CVSS 评分:10.0)跟踪的同一解决方案中的另一个缺陷的补丁绕过。Ivanti在 2023 年 8 月指出:“如果利用此漏洞,未经授权的远程(面向互联网)参与者可能会访问用户的个人身份信息并对服务器进行有限的更改。”Ivanti Endpoint Manager Mobile (EPMM) 11.10、11.9 和 11.8 以及 MobileIron Core 11.7 及更低版本的所有版本均受该漏洞影响。
https://www.huntress.com/blog/ransomware-deployment-attempts-via-teamviewer
勒索软件攻击者再次使用 TeamViewer 获得对组织端点的初始访问权限,并尝试基于泄露的 LockBit 勒索软件构建器部署加密器。TeamViewer 是一种在企业界广泛使用的合法远程访问工具,因其简单性和功能而受到重视。不幸的是,该工具也受到诈骗者甚至勒索软件攻击者的使用,他们使用它来访问远程桌面,不受阻碍地删除和执行恶意文件。研究人员的一份新报告显示,网络犯罪分子并没有放弃这些旧技术,仍然通过 TeamViewer 接管设备来尝试部署勒索软件。分析的日志文件 (connections_incoming.txt) 显示这两种情况下都来自同一来源的连接,表明这是一个共同的攻击者。
https://www.praetorian.com/blog/tensorflow-supply-chain-compromise-via-self-hosted-runner-attack/
在开源TensorFlow机器学习框架中发现的持续集成和持续交付 (CI/CD) 错误配置可能会被用来策划供应链攻击。攻击者可能会滥用这些错误配置,“通过恶意拉取请求破坏 TensorFlow 的构建代理,从而对 GitHub 和 PyPi 上的 TensorFlow 版本进行供应链破坏” 。成功利用这些问题可能会允许外部攻击者将恶意版本上传到 GitHub 存储库,在自托管 GitHub 运行器上获得远程代码执行,甚至检索tensorflow-jenkins 用户的 GitHub 个人访问令牌 (PAT) 。
https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop_16.html
谷歌发布了更新,修复了 Chrome 浏览器中的四个安全问题,其中包括一个被积极利用的零日漏洞。该问题编号为CVE-2024-0519,涉及 V8 JavaScript 和 WebAssembly 引擎中的越界内存访问,威胁行为者可利用该问题触发崩溃。通过读取越界内存,攻击者可能能够获取秘密值,例如内存地址,这可以绕过 ASLR 等保护机制,以提高利用单独的弱点来实现代码的可靠性和可能性执行,而不仅仅是拒绝服务。有关攻击性质和可能利用该攻击的威胁行为者的更多详细信息已被隐瞒,以防止进一步利用。该问题于 2024 年 1 月 11 日匿名报告。
https://jira-software.status.atlassian.com/incidents/z9kvvpkbngws
1 月 18 日,多个 Atlassian Jira 产品正在经历持续中断。Jira Work Management、Jira Software、Jira Service Management 和 Jira Product Discovery 的用户面临连接问题。东部时间 18 日上午 5:52:Atlassian 已实施修复,应该可以解决该问题并继续监控该事件。 Jira 服务从 18 日早上开始(至少截至东部时间凌晨 3:34)遇到连接问题。该事件影响了多个 Atlassian 产品,Atlassian 正在调查原因。“我们正在调查影响 Jira Work Management、Jira Software、Jira Service Management 和 Jira Product Discovery 的中断问题。我们将在下一小时内提供更多详细信息,” 该公司的产品状态页面说道。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。