当前位置: 首页 > 行业资讯 > 网络安全日报 2024年03月18日

网络安全日报 2024年03月18日

发表于:2024-03-18 08:30 作者: 蚁景网安实验室 阅读数(1619人)

1、印度Android用户钓鱼诈骗活动日趋猖獗

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/android-phishing-scam-using-malware-as-a-service-on-the-rise-in-india/

研究人员报告,自2023年3月起至今,印度Android用户成为了钓鱼诈骗软件活动的目标。这种恶意软件已经发展成一个服务形式,涵盖了800多个应用程序,并感染了超过3700台设备。钓鱼页面设计用于易于欺骗的场景,比如电费付款、预约医院和快递预定等。这些页面会在不同应用程序中加载,最后出售给诈骗者。诈骗者通常通过电话、短信、电子邮件或社交应用程序联系受害者,通知他们需要重新安排服务,引诱他们下载应用并提交个人信息。此外,该恶意软件能通过钓鱼网页窃取银行账户信息,甚至能偷取设备上的短信,让诈骗者即便绕过OTP认证也能转移资金。研究人员将这种威胁识别为Android/SmsSpy。此外,研究人员揭露了一家名为ELVIA INFOTECH的网络犯罪集团,他们作为服务提供者出售这些钓鱼网页和恶意软件,并在Telegram群组中进行交易。这些恶意应用程序通常会假装是“客户支持”或者是一些在印度流行的快递公司,诱骗受害者点击假图标并攻击他们。该恶意软件不但能通过钓鱼页盗取个人信息,还会请求发送和查看短信的权限,以截获包含一次性密码(OTP)的短信,协助完成银行交易。

2、RedCurl团伙利用Windows PCA工具进行企业间谍活动

https://www.trendmicro.com/en_us/research/24/c/unveiling-earth-kapre-aka-redcurls-cyberespionage-tactics-with-t.html

俄语网络犯罪组织RedCurl正在利用一个名为程序兼容性助手(PCA)的合法微软Windows组件执行恶意命令。研究人员分析中指出,该服务(pcalua.exe)原本设计用来识别和解决与旧程序的兼容问题,但敌对方可以利用这个工具作为命令行解释器的替代,以此执行命令并绕过安全限制。RedCurl组织自2018年起活跃,以企业间谍活动面向位于澳大利亚、加拿大、德国、俄罗斯、斯洛文尼亚、英国、乌克兰和美国的实体发起攻击。研究人员观察的攻击链包括使用含有恶意附件(.ISO和.IMG文件)的网络钓鱼电子邮件,启动一个多阶段的过程,该过程首先通过cmd.exe从远程服务器下载名为curl的合法工具,然后用作传递装载器(ms.dll或ps.dll)的渠道。接着,恶意的DLL文件运用PCA来启动一个下载器进程,该进程负责与curl之前使用的同一域建立连接,获取装载器。攻击中还利用了Impacket这款开源软件来执行未授权的命令。根据指挥控制(C2)基础设施的重叠以及与该组织使用的已知下载器制品的相似性,分析人员将攻击与Earth Kapre团队联系起来。

3、关键FortiClient EMS漏洞PoC被出售

https://fortiguard.fortinet.com/psirt/FG-IR-24-007

研究人员最近修复了其FortiClient Endpoint Management Server(EMS)解决方案中的一个SQL注入漏洞(CVE-2023-48788),这似乎引起了许多人的兴趣:研究人员的攻击团队计划下周发布技术细节和概念验证Exploit,而有人正试图通过GitHub以不到300美元的价格出售一个PoC。关于CVE-2023-48788,这是Fortinet最近修补的几个漏洞之一。在星期三,有人在GitHub建立了一个页面,宣传针对CVE-2023-48788的“新Exploit”,并链接到了SatoshiDisk.com上的一个帖子,那是一个基于Web的平台,用户可以上传他们想出售的文件,其他用户如果支付设定的价格就可以下载。但问题在于,购买之前无法检查PoC是真是假。研究人员指出,该漏洞不影响Fortinet网关设备,而是FortiClient EMS,这些设备不太可能通过互联网到达。根据Shodan等站点的数据,目前大约只有几百个系统暴露在外。

4、思科修复IOS XR软件中的高危提权和拒绝服务漏洞

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-ssh-privesc-eWDMKew3

思科本周修补了其IOS XR软件中的高危权限提升和拒绝服务(DoS)漏洞。思科解决了IOS XR软件中的多个漏洞,其中包括三个高危漏洞,这些漏洞可被用于提升权限和触发拒绝服务(DoS)状态。漏洞CVE-2024-20320是一个思科IOS XR软件SSH权限提升漏洞。该问题存在于思科8000系列路由器和思科网络融合系统(NCS)540和5700系列路由器的Cisco IOS XR软件的SSH客户端功能中。经过认证的本地攻击者可以利用这个漏洞在受影响的设备上提升权限。思科修复的第二个高危漏洞,跟踪编号为CVE-2024-20318,存在于思科IOS XR软件的第2层以太网服务中。一个未经认证的、邻近的攻击者可以触发该漏洞,导致线卡网络处理器重置,从而导致拒绝服务(DoS)状态。第三个高危漏洞,跟踪编号为CVE-2024-20327,是ASR 9000系列路由器的以太网上的点对点协议(PPPoE)终止功能的DoS漏洞。一个未经认证的、邻近的攻击者可以触发该漏洞,导致ppp_ma进程崩溃,从而引发拒绝服务(DoS)状态。

5、法国政府数据泄露暴露4300万民众信息

https://www.francetravail.fr/candidat/soyez-vigilants/cyberattaque-soyez-vigilants.html

法国政府部门——负责注册和帮助失业人员的France Travail——最近成为一起大规模数据泄露的受害者,这次泄露影响了多达4300万公民的信息。France Travail在周三宣布,已将此次涉及包含20年个人信息的事件通报给该国的数据保护监管机构CNIL。泄露的数据包括姓名、出生日期、社会保障号码、France Travail标识符、电子邮件地址、邮政地址和电话号码,好在密码和银行详情没有受到影响。然而,CNIL警告说,此次泄露中被窃数据可能与其他数据泄露中被盗数据相关联,用于构建关于任何特定个人的更大信息库。目前尚不清楚攻击者是否窃取了数据库的全部内容,但声明暗示至少有部分数据被提取。这次据称非法提取的数据库包含了目前注册在册的人员、过去20年注册过的人员,以及那些虽未在求职者名单上却在francetravail.fr上拥有候选人空间的人员的个人身份数据。

6、DarkGate活动利用微软零日漏洞进行攻击

https://www.trendmicro.com/en_us/research/24/c/cve-2024-21412--darkgate-operators-exploit-microsoft-windows-sma.html

研究人员在2024年1月中旬发现了一个名为DarkGate的攻击活动,该活动利用了Windows零日漏洞CVE-2024-21412。研究人员报告称,APT组织“水木马”(Water Hydra)利用CVE-2024-21412漏洞进行了零日攻击。DarkGate远程访问木马(RAT)使用Borland Delphi编写,并以恶意软件即服务(MaaS)模式存在于网络犯罪生态系统中,被认为是一个复杂的威胁,并且持续进行优化。自2018年起,DarkGate活动支持包括进程注入、下载与执行文件、信息盗窃、执行shell命令及键盘记录等功能,其恶意负载还采用多种规避技术。攻击链的分析开始于利用PDF附件的网络钓鱼信息,该PDF含有一个精心构建的链接。威胁行为者在PDF文件中部署了来自doubleclick[.]net域的开放重定向。当受害者点击链接时,会被重定向到一个托管.URL因特网快捷方式文件的受损Web服务器,该文件利用了CVE-2024-21412漏洞。威胁行为者使用开放重定向分发假冒的Microsoft软件安装程序(.MSI),它们假装是包括Apple iTunes、Notion、NVIDIA等正版软件。

7、新型恶意软件BunnyLoader 3.0窃取凭证及加密货币

https://unit42.paloaltonetworks.com/analysis-of-bunnyloader-malware/

最近,研究人员揭露了一种名为“BunnyLoader 3.0”的新型恶意软件,此恶意软件专门设计用来窃取用户登录凭证和加密货币,同时能够在操作系统中潜伏不被发现。自2023年9月首次被发现以来,BunnyLoader经过多次升级和增强,以逃避安全检测和提高效能。2024年2月11日,黑客公开了这一恶意软件的最新版本——BunnyLoader 3.0。与前一版本相比,3.0版本在性能上有了90%的显著提升,且有效减少了载荷体积和增强了键盘记录功能,这使得它比以往任何版本都要危险。研究人员的报告不仅揭示了BunnyLoader背后的技术细节,还展示了恶意软件作者用来规避侦测的策略和技术,例如更改文件名、模仿合法应用程序等。这些策略使BunnyLoader能够避开网络安全专家的视线。

8、SIM交换者在eSIM攻击中可劫持电话号码

https://www.facct.ru/media-center/press-releases/esim-bank-attacks/

SIM换号攻击者已经适应了新的攻击手段,通过将受害者的电话号码端口转移到一张新的eSIM卡(一种存储在许多新型智能手机芯片上的可重写数字SIM卡)来窃取该号码。eSIM(嵌入式用户身份识别模块)是存储在移动设备芯片上的数字卡片,与物理SIM卡承担相同的角色和功能,但可以远程重新编程、配置、停用、更换和删除。用户通常可以通过扫描服务提供商的QR码,将eSIM添加到支持该功能的设备上。随着智能手机制造商越来越青睐eSIM,因为eSIM无需SIM卡插槽,还能在小型可穿戴设备上提供蜂窝连接,这项技术逐渐流行起来。研究报告称,自2023年秋以来,俄罗斯及全球的SIM换号者利用向eSIM的转变劫持电话号码,并绕过保护措施访问银行账户。只是在一个金融机构,分析师就记录了一百多次企图访问客户个人在线服务账户的案例。以前,SIM换号攻击者依赖社交工程手段或与移动运营商服务内部人员合作来助攻转移目标号码。然而,随着公司实施更多保护措施防范这类接管行为,网络犯罪分子转而关注新技术的出现机遇。目前,攻击者使用被盗、暴力破解或泄露的凭证入侵用户的移动账户,并自行开始把受害者的号码转移到另一台设备上。他们通过被劫持的移动账户生成可用于激活新eSIM的QR码,然后用自己的设备扫描该QR码,从而实际上劫持了该号码。

9、国际货币基金组织邮箱账户遭黑客攻击

https://www.bleepingcomputer.com/news/security/international-monetary-fund-email-accounts-hacked-in-cyberattack/

国际货币基金组织(IMF)在上周五披露了今年早些时候其11个电子邮件账户被未知攻击者入侵的网络安全事件。这一由190个会员国资助的国际金融机构,也是总部位于华盛顿特区的联合国主要金融机构。根据发布的新闻稿,IMF在二月份检测到了这次事件,并正在进行调查以评估攻击的影响。到目前为止,IMF未发现证据表明攻击者获得了进入受损电子邮件账户之外的其他系统或资源的访问权限。IMF表示:“国际货币基金组织(IMF)最近经历了一次网络事件,该事件于2024年2月16日被侦测到。随后的调查,得到了独立网络安全专家的协助,确定了入侵的性质,并采取了补救措施。调查确定了11个IMF电子邮件账户受到了泄露。受影响的电子邮件账户已重新保安。我们目前没有迹象表明除这些电子邮件账户之外还有更多的泄露。对这一事件的调查仍在继续。”虽然IMF没有提供有关该事件的更多细节,但该组织确认他们使用基于云的Microsoft 365电子邮件平台。目前尚不清楚这些事件是否与IMF电子邮件账户受到安全泄露的事件有关。

10、ShadowSyndicate针对aiohttp漏洞发起扫描攻击

https://cyble.com/blog/cgsi-probes-shadowsyndicate-groups-possible-exploitation-of-aiohttp-vulnerability-cve-2024-23334/

研究人员监测到,自2024年2月27日公布了aiohttp(异步HTTP客户端/服务器框架)漏洞(CVE-2024-23334)的概念验证(PoC)及教学视频后,网络犯罪集团ShadowSyndicate可能开始利用这一漏洞进行网络攻击。此漏洞为目录遍历问题,可能让未经认证的远程攻击者访问服务器上的敏感文件。根据研究人员的数据显示,全球有超过43000个aiohttp实例暴露在互联网上,其中美国、德国和西班牙的实例数量尤为突出。因此,这些未修补的实例潜在面临严重威胁,强烈建议立即修补至最新版本。研究人员监测到2月29日开始,有大量针对该漏洞的扫描尝试。通过对攻击源IP地址的分析发现,ShadowSyndicate自2022年7月活跃至今,涉嫌与多起勒索软件攻击事件有关。鉴于该集团对aiohttp漏洞的兴趣,组织应尽快更新软件至推荐版本3.9.2并采取必要的防护措施,以避免未来潜在的系统安全风险。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。