当前位置: 首页 > 行业资讯 > 网络安全日报 2024年04月01日

网络安全日报 2024年04月01日

发表于:2024-04-01 08:31 作者: 蚁景网安实验室 阅读数(1041人)

1、DinodasRAT Linux植入程序针对全球实体发起攻击

https://securelist.com/dinodasrat-linux-implant/112284/

研究人员的报告揭示了DinodasRAT(也称为XDealer)的Linux版本,这是一个用C++编写的多平台后门,主要针对基于Red Hat和Ubuntu Linux的系统。该后门通过创建隐藏文件确保仅运行一个实例,并利用SystemV或SystemD启动脚本来建立持久性。它收集有关受感染机器的信息来创建唯一标识符,而不会收集任何特定于用户的数据。后门通过与C2服务器的TCP或UDP通信来执行各种命令,如文件操作、服务控制、进程枚举和远程shell执行。Linux版本的DinodasRAT使用Pidgin的libqq库进行通信加密。此恶意软件的基础设施已启动并运行,主要影响中国、土耳其和乌兹别克斯坦等地区。此活动表明,DinodasRAT的主要用途是通过Linux服务器获取和维护访问权限,用于数据泄露和间谍活动。

2、PyPI暂停新项目和用户注册以应对恶意软件攻击

https://checkmarx.com/blog/pypi-is-under-attack-project-creation-and-user-registration-suspended/

2024年3月28日,Python Package Index (PyPI)宣布暂停新用户注册和项目创建,以应对Checkmarx安全团队发现的一系列恶意软件包。这些恶意软件包利用“误植”漏洞,通过仿冒域名诱骗用户安装,进而窃取加密货币钱包、浏览器数据和登录凭据。PyPI的这一举措旨在保护Python开发者社区,同时为平台提供时间实施更强大的安全措施。恶意代码位于每个包的setup.py文件中,可在安装时自动执行。采用了一种技术,其中setup.py文件包含使用Fernet加密模块加密的模糊代码。安装该软件包后,混淆代码会自动执行,从而触发恶意负载。检索到的有效负载还使用Fernet模块进行了加密。解密后,有效负载揭示了一个广泛的信息窃取程序,旨在从受害者的计算机中获取敏感信息。

3、Facebook被指控拦截Snapchat用户流量涉嫌反竞争行为

https://images.law.com/contrib/content/uploads/documents/403/56855/Facebook-antitrust-class-action-complaint.pdf

近日的报道揭露了Facebook在2016年至2019年间通过一个名为“应用内操作面板”(IAAP)的秘密项目,利用名为“捉鬼敢死队”的技术拦截和解密Snapchat、YouTube和Amazon的SSL加密流量。这个项目的目的是为了获取竞争对手的数据,以支持Facebook的竞争决策。Facebook鼓励用户安装套件,这些套件冒充官方服务器并解密流量,使Facebook能够读取和分析原本加密的数据。这一做法可能违反了窃听法,并可能构成犯罪。目前,针对Meta的广告商已提起诉讼,指控Facebook的这一行为。

4、XZ实用程序中发现后门漏洞,可破坏sshd身份验证

https://www.openwall.com/lists/oss-security/2024/03/29/4

红帽公司最近发出警告,指出大多数Linux发行版中包含的XZ格式压缩实用程序XZ Utils存在一个严重漏洞(CVE-2024-3094)。这个漏洞可能允许恶意行为者破坏sshd身份验证,并远程获得对整个系统的未经授权的访问。这个漏洞是由于xz库的5.6.0和5.6.1版本中存在恶意代码,这是由PostgreSQL开发人员Andres Freund在微软发现的。红帽表示,这些版本的库中的恶意注入已被混淆,并且仅完整包含在下载包中。此外,红帽还指出,这些易受攻击的版本尚未被Linux发行版广泛集成,大部分是在预发行版本中。受影响的发行版包括Fedora 41和Fedora Rawhide,而红帽企业Linux(RHEL)的任何版本都不会受到影响。Debian表示其稳定版本未受影响,但测试、不稳定和实验发行版受到影响。CISA建议开发人员和用户将XZ Utils降级到未受影响的版本,并报告任何恶意活动。

5、新的Linux漏洞可能导致密码泄露和剪贴板劫持

https://pwning.tech/nftables/

研究人员发现了一个影响util-linux软件包中的“wall”命令的漏洞,编号为CVE-2024-28085,代号为WallEscape。这个漏洞可能导致用户密码泄露或剪贴板内容被更改。在满足特定条件(如mesg设置为“y”和wall设置为setgid)的情况下,攻击者可以利用未正确过滤的转义序列在用户的终端上创建虚假的sudo提示符,诱骗用户输入密码。Ubuntu 22.04和Debian Bookworm易受此攻击,而CentOS由于wall命令没有setgid权限而不易受攻击。建议用户更新到util-linux版本2.40以缓解该缺陷。

6、新的ZenHammer攻击可绕过AMD CPU的RowHammer防御

https://comsec.ethz.ch/research/dram/zenhammer/

苏黎世联邦理工学院的网络安全研究人员开发了名为ZenHammer的新型DRAM(动态随机存取存储器)攻击变体,这种攻击可以绕过AMD Zen 2和Zen 3系统上的目标行刷新(TRR)等缓解措施。该攻击首次在DDR5设备上触发RowHammer位翻转,尽管制造商已经采取了针对该问题的缓解措施。研究人员表示,AMD系统与Intel系统一样容易受到Rowhammer攻击,这增加了攻击面。研究人员还提供了最佳的锤击指令序列,以提高行激活率,从而促进更有效的锤击。AMD表示正在评估DDR5设备上的RowHammer位翻转,并将在完成后提供更新。

7、AT&T确认7300万客户数据泄露

https://www.att.com/support/article/my-account/000101995?bypasscache=1

AT&T确认了一起影响约7300万现有和前任客户的数据泄露事件。尽管公司之前否认了数据泄露,但最终确认泄露的数据集似乎来自2019年或更早,影响了大约760万当前账户持有者和大约6540万前账户持有者。泄露的数据包括姓名、地址、电话号码,部分客户的社会安全号码和出生日期也被泄露。这些数据最初在2021年由一个名为Shiny Hunters的威胁者声称出售。现在,另一个威胁行为者在黑客论坛上泄露了相同的数据集。AT&T表示,760万客户的安全密码也被泄露,并已由公司重置。公司正在联系所有受影响的客户,并重置他们的密码,同时将就个人信息泄露与当前和前任账户持有人沟通。AT&T还强调,泄露的数据不包含个人财务信息或通话记录,并将向所有受影响的客户提供后续指导和支持。

8、动视建议启用2FA保护受恶意软件窃取影响的账户

https://www.bleepingcomputer.com/news/security/activision-enable-2fa-to-secure-accounts-recently-stolen-by-malware/

动视暴雪建议用户启用双因素身份验证(2FA)来保护其账户,此前有报告称大量游戏玩家的账户信息在恶意软件活动中被窃取。这些账户信息主要涉及使用作弊或付费作弊服务的玩家。数据库中包含数百万游戏玩家的凭据,尤其是《使命召唤》和《反恐精英》玩家。虽然动视暴雪的服务器未受损害,但为了防止潜在的风险,公司推荐用户更改密码并启用2FA。此外,动视暴雪正在与作弊软件开发者协调,以限制此次活动的影响,并向受影响的账户持有者提供安全指导。尽管数据库中的登录数量表明对游戏社区产生了重大影响,但尚不清楚有多少账户是有效的或重复的。

9、新的Darcula网络钓鱼服务通过iMessage针对iPhone用户

https://www.bleepingcomputer.com/news/security/new-darcula-phishing-service-targets-iphone-users-via-imessage/

Darcula 已被用于各种服务和组织,从邮政、金融、政府、税务部门到电信公司、航空公司、公用事业,为欺诈者提供 200 多种模板供您选择

10、JetBrains 修补了 TeamCity 中的 26 个安全问题

https://www.securityweek.com/26-security-issues-patched-in-teamcity/

JetBrains 已修复其 TeamCity 构建管理和持续集成服务器中的 26 个安全问题,并已采取措施降低漏洞被恶意攻击的风险。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。