当前位置: 首页 > 行业资讯 > 网络安全日报 2024年03月22日

网络安全日报 2024年03月22日

发表于:2024-03-22 08:25 作者: 蚁景网安实验室 阅读数(1502人)

1、Kimsuky团伙利用Windows帮助文件进行网络攻击

https://www.rapid7.com/blog/post/2024/03/20/the-updated-apt-playbook-tales-from-the-kimsuky-threat-actor-group/

据研究人员透露,臭名昭著的朝鲜黑客团伙Kimsuky已开始采取新的网络攻击手段。Kimsuky一直偏爱使用钓鱼攻击,有时还会通过长时间的社会工程学手段冒充学者或媒体人与目标建立联系。他们之前的攻击中,受害者会收到加载了恶意软件的问卷。虽然研究人员尚不确定该团伙如何分发其最新的攻击载荷,但它们确信包括有毒的Microsoft编译的HTML帮助(CHM)文件,以及ISO、VHD、ZIP和RAR文件。由于CHM文件能执行JavaScript,Kimsuky对它们越发感兴趣。研究人员检查了他们认为是Kimsuky的一个CHM文件,发现了“一个使用HTML和ActiveX在Windows机器上执行任意命令的例子,通常用于恶意目的。”这种恶意软件会安装一个VBScript,并修改Windows注册表以确保在系统启动时运行团伙的脚本。该脚本会收集受害者计算机的信息、运行的进程、最近的Word文件,并列出目录及其内容。

2、新型网络钓鱼攻击运用Office漏洞部署NetSupport恶意软件

https://perception-point.io/blog/operation-phantomblu-new-and-evasive-method-delivers-netsupport-rat/

一种新型网络钓鱼活动正在针对美国组织,其目的是部署名为NetSupport RAT的远程访问木马。研究人员正在追踪这一活动,称其为“Operation PhantomBlu”。PhantomBlu行动引入了一种新颖的利用方法,通过利用OLE(对象链接与嵌入)模板操控,巧妙地利用Microsoft Office文档模板来执行恶意代码,同时规避检测,背离了NetSupport RAT的典型传输机制。NetSupport RAT是合法远程桌面工具NetSupport Manager的恶意变种,使得攻击者能在受损的终端上进行一系列数据收集行动。这次攻击从一封假装是会计部门发送、主题涉及工资的钓鱼邮件开始,诱使收件人打开附件中的Microsoft Word文档查看“月度工资报告”。仔细分析邮件头部——特别是Return-Path和Message-ID字段——表明攻击者通过一个名为Brevo(前身为Sendinblue)的合法电子邮件营销平台发送邮件。一旦打开Word文档,受害者被指引输入邮件正文中提供的密码并启用编辑,继而双击嵌入在文档中的打印机图标查看工资图表。这样做实际上会打开一个包含Windows快捷方式文件的ZIP归档文件("Chart20072007.zip"),该快捷方式作为PowerShell拖放者,从远程服务器检索和执行NetSupport RAT二进制文件。

3、黑客积极利用JetBrains TeamCity漏洞传播恶意软件

https://www.trendmicro.com/en_us/research/24/c/teamcity-vulnerability-exploits-lead-to-jasmin-ransomware.html

根据研究人员的报告,多个威胁行为者正在积极利用JetBrains TeamCity最近曝光的安全漏洞来发动攻击。研究人员报告称,攻击者可以利用CVE-2024-27198进行广泛的恶意活动,包括投放Jasmin勒索软件、部署XMRig加密货币挖矿程序、部署Cobalt Strike信标、部署SparkRAT后门、执行域发现和持久性命令等。攻击者借此安装恶意软件,与指挥控制服务器联系,并执行其他命令,如部署Cobalt Strike信标和远程访问木马。这些恶意活动不仅对敏感数据和关键系统的保密性、完整性和可用性构成威胁,还会给受影响的组织带来财务和运营风险,因此迅速采取行动减轻这些漏洞的危害并防止勒索软件敲诈和其他恶意软件造成进一步损失至关重要。

4、Ivanti漏洞遭大规模攻击活动利用

https://www.varonis.com/blog/increased-threat-activity-targeting-ivanti-vulnerabilities

研究人员报告显示,此次活动主要以两个漏洞为目标:CVE-2023-46805,一种高严重性的验证绕过漏洞,以及CVE-2024-21887,一种关键严重性的命令注入漏洞。黑客通过串联这两个漏洞获得了远程执行任意命令的能力。这些漏洞的详情于2024年1月10日公开披露,并迅速有相应的概念验证(POC)代码作为流行的Metasploit攻击框架的攻击模块发布。首批报告显示,一名黑客自2023年12月起开始利用这些目标,该行为持续增长,因为更多的网络犯罪分子将这些漏洞和技术纳入他们的攻击工具集。这些信息,加上最近的Shodan查询显示,可能有近三万个设备在线,这暗示了组织需要确保他们已做好准备并充分保护自己以抵御当今的网络威胁。研究人员发现最近的活动与金钱驱动的威胁行为者“Magnet Goblin”有关,由Check Point提出。美国网络安全与基础设施安全局(CISA)最近证实,其Ivanti产品遭到了恶意活动的入侵。CISA的事件细节目前还不太清楚,但据了解,黑客已经从受损的设备上窃取了凭据,并部署了webshell和反向shell以获得并维持持久性。

5、新型“Loop DoS”攻击威胁30万系统

https://cispa.de/en/loop-dos

研究人员发现了一种名为“Loop DoS”的新型拒绝服务(DoS)攻击方式,该攻击通过UDP漏洞针对应用层协议,创建无限循环通信,影响约30万主机。与传统的滥用大量流量使系统不堪重负的DoS攻击不同,“Loop DoS”攻击利用了UDP(面向无连接的协议)不验证消息的特性,通过伪造IP地址制造服务器间的无休止通信,导致服务不可用。这种攻击可以影响DNS、NTP、TFTP等常用协议,以及Echo和Chargen这样的传统协议。尽管目前还未发现该漏洞被广泛利用,但此现象展示了网络安全威胁的演变和网络犯罪分子的高级化。系统管理员和IT安全专家需通过阻止使用UDP协议、转向采用认证和监控的TCP通信等手段来减少威胁。

6、GitHub 在公共测试版中推出“代码扫描自动修复”

https://www.securityweek.com/github-rolls-out-code-scanning-autofix-in-public-beta/

GitHub 周三宣布推出代码扫描自动修复的公开测试版,这是一项旨在帮助开发人员更快地解决代码漏洞的新功能。代码扫描自动修复最初于 2023 年 11 月宣布,依靠 GitHub 的人工智能代码完成工具 Copilot 和语义代码分析引擎 CodeQL 来识别 JavaScript、Typescript、Java 和 Python 存储库中的漏洞,并为其提供修复建议。

7、FortiClient EMS 严重漏洞被广泛利用

https://securityaffairs.com/160885/uncategorized/fortinet-forticlient-ems-critical-flaw.html

研究人员针对 Fortinet 的 FortiClient 企业管理服务器 (EMS) 软件中的一个严重缺陷发布了 PoC 漏洞,该漏洞已被积极利用。

8、PWN2OWN 温哥华 2024第一天 – 特斯拉被攻破

https://securityaffairs.com/160870/hacking/pwn2own-vancouver-2024-day-1.html

2024 年 Pwn2Own 温哥华黑客大赛第一天,参赛者团队展示了特斯拉黑客技术,参与者在 2024 年 Pwn2Own 温哥华黑客竞赛第一天因展示 19 个独特的零日而获得了 732,000 美元的奖金。专家们成功演示了针对 Tesla 汽车、Linux 和 Windows 操作系统等的漏洞利用。

9、因系统故障,埃塞俄比亚某商业银行可以无”限额“取钱

https://www.wionews.com/business-economy/ethiopia-bank-glitch-allows-customers-to-withdraw-millions-heres-what-happened-701766

埃塞俄比亚最大的商业银行(Commericial Bank of Ethiopia)出现一起技术故障,旗下的 ATM 可以无”限额“取钱。

10、 IDC:2027 年中国网络安全市场规模将超 200 亿美元

https://www.secrss.com/articles/64540

IDC 预测,中国网络安全市场规模从 2022 年的 123.5 亿美元快速增长至 2027 年的 233.2 亿美元,期间年复合增长率为 13.5%,高于全球平均水平。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。