当前位置: 首页 > 行业资讯 > 网络安全日报 2024年02月18日

网络安全日报 2024年02月18日

发表于:2024-02-18 08:21 作者: 蚁景网安实验室 阅读数(1683人)

1、恶意脚本SNS Sender滥用AWS进行批量短信攻击

https://www.sentinelone.com/labs/sns-sender-active-campaigns-unleash-messaging-spam-through-the-cloud/

一种名为SNS Sender 的恶意 Python 脚本被宣传为威胁行为者通过滥用 Amazon Web Services (AWS) 简单通知服务 ( SNS ) 发送批量短信的一种方式。短信网络钓鱼消息旨在传播恶意链接,这些链接旨在捕获受害者的个人身份信息 (PII) 和支付卡详细信息,研究人员将其归因于名为 ARDUINO_DAS 的威胁行为者。SNS Sender 也是在野观察到的第一个利用 AWS SNS 进行 SMS 垃圾邮件攻击的工具。当前发现了 ARDUINO_DAS 与 150 多个待售网络钓鱼套件之间的联系。

2、朝鲜黑客通过YoMix Tumbler清洗被盗的加密货币

https://www.chainalysis.com/blog/2024-crypto-money-laundering/

朝鲜黑客组织 Lazarus 因多年来实施多次大规模加密货币盗窃而臭名昭著,现已转而使用 YoMix 比特币混合器来洗钱被盗收益。研究人员表示,2023 年,YoMix 出现了大量资金涌入,这并不是因为人气增加,而是因为 Lazarus 的活动。然而,每当一个平台受到制裁并与加密货币空间隔离时,拉撒路就会转向一个新的平台。 YoMix 是朝鲜威胁行为者使用的最新服务。研究人员对2023年洗钱活动向到更多服务存款地址蔓延,加上 Lazarus 集团的新策略,进行了深入分析。

3、大规模云数据库Zenlayer涉嫌泄露3.8亿条数据

https://www.hackread.com/massive-cloud-database-leak-exposes-380-records

网络安全研究员发现属于全球网络服务提供商 Zenlayer 的云数据库泄漏,该数据库未受到保护且配置错误。其中包含的敏感数据数量多达 3.8 亿条记录。在进一步深入服务器后发现,泄露的信息不仅涵盖了公司的内部运作,而且包含大量是客户数据。总共有 384,658,212 条记录,总计 57.46 GB。这个数据宝库没有受到基本密码的保护。它是公开的,任何人都可以访问,为威胁行为者的潜在利用敞开了大门。Zenlayer 是一家全球网络服务提供商,为电信、游戏、媒体、娱乐、云计算和区块链领域的全球品牌提供 SD-WAN、CDN 和云服务。总部位于洛杉矶和上海,在六大洲拥有 290 多个数据中心。

4、Zoom修补Windows应用程序中的关键权限提升漏洞

https://www.zoom.com/en/trust/security-bulletin/ZSB-24008/

Zoom 桌面和 VDI 客户端以及 Windows 会议 SDK 容易受到不正确的输入验证缺陷的影响,该缺陷可能允许未经身份验证的攻击者通过网络对目标系统进行权限升级。新披露的漏洞编号为CVE-2024-24691,由 Zoom 的进攻安全团队发现,CVSS v3.1 得分为 9.6,评级为“严重”。Zoom 会自动提示用户更新到最新版本。用户也可以手动下载并安装最新版本的 Windows 桌面客户端版本 5.17.7 。本次更新中除了解决验证不当的缺陷外,最新的 Zoom 版本还解决了其它六个漏洞。

5、黑客利用PlayDapp平台被盗私钥窃取17.9亿个加密代币

https://www.bleepingcomputer.com/news/security/hackers-mint-179-billion-crypto-tokens-from-playdapp-gaming-platform/

黑客使用被盗的私钥铸造并窃取了超过 17.9 亿个 PLA 代币,这是 PlayDapp 生态系统中使用的加密货币。PlayDapp 是一个基于区块链的平台,可在游戏中使用和交易不可替代代币 (NFT),允许用户无需中介即可在各种游戏中购买、出售和交易数字资产。2024 年 2 月 9 日,一个未经授权的钱包铸造了 2 亿枚 PLA 代币,当时价值 3650 万美元。研究人员指出攻击者可能使用泄露的私钥。PlayDapp 立即通知其社区,PLA 代币合约已被黑客入侵,为了在情况得到补救之前保护 PLA 资产,该平台将 PlayDapp 持有的所有(锁定和解锁)代币转移到新的安全钱包中。当前PLA 代币持有者被要求避免执行交易,直到 PlayDapp 使用当前快照迁移到安全系统。还建议用户对网络钓鱼和诈骗保持警惕,这些行为通常伴随着像这样的重大安全漏洞事件。

6、Glupteba僵尸网络利用未记录的UEFI Bootkit逃避检测

https://unit42.paloaltonetworks.com/glupteba-malware-uefi-bootkit/

研究人员发现Glupteba 僵尸网络包含了之前未记录的统一可扩展固件接口 ( UEFI ) bootkit 功能,为恶意软件增加了另一层复杂性和隐蔽性。这个 bootkit 可以干预和控制 [操作系统] 启动过程,使 Glupteba 能够隐藏自身并创建一种极难检测和删除的隐秘持久性。Glupteba 是一个功能齐全的信息窃取程序和后门,能够促进非法加密货币挖掘并在受感染的主机上部署代理组件。它利用比特币区块链作为备份命令和控制 (C2) 系统,使其能够适应网络攻击。其他一些功能允许它提供额外的有效负载、虹吸凭证和信用卡数据、执行广告欺诈,甚至利用路由器来获取凭证和远程管理访问权限。

7、FCC要求电信运营商在30天内报告PII数据泄露事件

https://www.bleepingcomputer.com/news/security/fcc-orders-telecom-carriers-to-report-pii-data-breaches-within-30-days/

美国联邦通信委员会(FCC)从 2024年 3 月 13 日开始,电信公司必须根据 FCC 更新的数据泄露报告要求,在 30 天内报告影响客户个人身份信息的数据泄露事件。FCC 的最终规则是在2024 年 1 月(一年前的2023 年1 月)发布的几项提案之后制定的,并于 2022 年 1 月首次分发,重点是使委员会的违规通知规则现代化,以便电信运营商必须尽快向客户通知安全漏洞。更新后的数据泄露报告规则旨在确保“电信、互联网络语音协议 (VoIP) 和电信中继服务 (TRS) 提供商有责任保护敏感客户信息,并向客户提供工具”如果他们的数据受到损害,需要保护自己。”

8、研究人员破解Rhysida勒索软件并免费发布解密工具

https://arxiv.org/abs/2402.06440

研究人员对 2023 年下半年造成重大损害的 Rhysida 勒索软件进行了调查,并提出了一种解密方法。Rhysida与另一个名为 Vice Society 的勒索软件团队有重叠,利用一种称为双重勒索的策略,通过威胁公布被盗数据来向受害者施加压力,迫使其付款。Rhysida 勒索软件采用安全随机数生成器来生成加密密钥,然后对数据进行加密。然而,该勒索软件存在一个实现漏洞,使能够在感染时重新生成随机数生成器的内部状态。研究人员使用重新生成的随机数生成器成功解密了数据。据知,这是 Rhysida 勒索软件首次成功解密。该研究也是继Magniber v2、Ragnar Locker、Avaddon和Hive之后,利用勒索软件中的实现漏洞实现数据解密的最新研究。

9、攻击者利用Ivanti漏洞在670多个IT基础设施上安装后门

https://thehackernews.com/2024/02/ivanti-vulnerability-exploited-to.html

攻击者正在利用最近披露的影响 Ivanti Connect Secure、Policy Secure 和 ZTA 网关的安全漏洞,在易受影响的设备上部署代号为DSLog 的后门。研究人员表示在公开发布概念验证 (PoC) 代码后的几个小时内,就观察到了 CVE-2024-21893 的利用情况。DSLog 植入程序有自己的技巧来阻碍分析和检测,包括为每个设备嵌入一个唯一的哈希值,从而使得无法使用该哈希值来联系另一台设备上的相同后门。攻击者向设备发出的 HTTP 请求中的User-Agent 标头字段提供相同的哈希值,以允许恶意软件从名为“cdi”的查询参数中提取要执行的命令。然后以 root 用户身份运行解码后的指令。

10、研究人员持续关注针对Microsoft Azure攻击活动

https://www.darkreading.com/cloud-security/senior-executives-targeted-ongoing-azure-account-takeover

在针对Microsoft Azure 企业云的持续攻击活动中,数十个环境和数百个个人用户帐户已受到损害。该活动在某些方面是分散的而经过精心设计的,涉及数据泄露、财务欺诈、冒充等,针对不同地理区域和行业垂直领域的组织,并针对沿途具有高度战略意义的个人进行量身定制的网络钓鱼。虽然攻击者的做法可能显得投机取巧,但广泛的妥协后活动表明攻击者的复杂程度越来越高。威胁行为者通过从不同的工具包中选择适当的工具、策略和程序 (TTP) 来适应每种独特的情况,从而表现出适应性。这种适应性反映了云威胁领域不断增长的趋势。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。