当前位置: 首页 > 行业资讯 > 网络安全日报 2024年04月15日

网络安全日报 2024年04月15日

发表于:2024-04-15 08:14 作者: 合天网安实验室 阅读数(3209人)

1、攻击者通过WSF脚本文件传播Raspberry Robin恶意软件

https://threatresearch.ext.hp.com/raspberry-robin-now-spreading-through-windows-script-files

Raspberry Robin于2021年底首次被发现,是一种Windows蠕虫。研究人员发现攻击者传播Raspberry Robin的方式发生了变化。该恶意软件现在通过Windows脚本文件(WSF)进行传播。这些脚本经过高度混淆处理,并使用了一系列反分析技术,使恶意软件能够逃避检测。感染后,该恶意软件通过Tor与其命令和控制(C2)服务器进行通信。Raspberry Robin能够下载和执行额外的载荷文件,该恶意软件已被用于投递SocGholish、Cobalt Strike、IcedID、BumbleBee和Truebot等恶意软件。

2、TA547使用Rhadamanthys窃密木马针对德国企业进行攻击

https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta547-targets-german-organizations-rhadamanthys-stealer

研究人员发现TA547针对德国组织开展了钓鱼邮件攻击活动,以传播Rhadamanthys窃密木马。这是研究人员首次观察到TA547使用Rhadamanthys,这是一种被多个攻击者所使用的窃密木马。 此外,TA547使用了恶意的PowerShell脚本,研究人员认为该脚本是由 ChatGPT、Gemini、CoPilot等大型语言模型(LLM)生成的。

3、法国足球俱乐部巴黎圣日耳曼遭受网络攻击

https://cybersecuritynews.com/french-football-club-cyber-attack/

4月3日,法国足球俱乐部巴黎圣日耳曼(PSG)的信息系统部门检测到了对其俱乐部票务系统的“异常访问”。该俱乐部表示,目前没有证据表明任何数据被攻击者提取或利用。然而,此次事件确实暴露了某些类型的身份数据,包括姓名、电子邮件和邮政地址、手机号码、出生日期、账户状态以及部分模糊的IBAN。俱乐部向支持者保证,他们已采取一切必要措施来解决这种情况并防止此类事件再次发生。

4、思科NX-OS网络管理平台存在安全漏洞

https://cybersecuritynews.com/cisco-nexus-dashboard-vulnerability/

Cisco Nexus Dashboard Fabric Controller是适用于所有支持NX-OS的网络管理平台。研究人员在Cisco Nexus Dashboard交换矩阵控制器中发现一个新漏洞,该漏洞与带外(OOB)即插即用(PnP)功能相关。该漏洞允许未经身份验证的远程攻击者读取受影响设备上的任意文件。思科已经对该漏洞进行了修复,并发布了相关安全公告。该漏洞的CVE编号为CVE-2024-20348,评分为7.5。

5、Fortinet修复了其产品中的安全漏洞

https://securityaffairs.com/161674/security/forticlientlinux-rce.html

Fortinet解决了FortiOS和其他产品中的多个漏洞,包括FortiClientLinux中的一个关键远程代码执行漏洞。该漏洞被标记为CVE-2023-45590,CVSS评分为9.4。该漏洞是FortiClientLinux中存在的代码生成控制不当(“代码注入”)问题。未经身份验证的攻击者可诱导FortiClientLinux用户访问特制网站,从而触发该漏洞以执行任意代码。

6、Palo Alto 称其防火墙中的漏洞被恶意利用

https://www.bleepingcomputer.com/news/security/palo-alto-networks-warns-of-pan-os-firewall-zero-day-used-in-attacks/

Palo Alto Networks警告称,其PAN-OS防火墙中未修补的关键命令注入漏洞正在被攻击者恶意利用。该漏洞被标记为CVE-2024-3400,是一个命令注入漏洞,其CVSS评分为10.0,因为它不需要特殊权限或用户交互即可利用。研究人员称,目前有82000台暴露的在线设备可能容易受到CVE-2024-34000的攻击。

7、Roku警告576000个账号遭受撞库攻击的影响

https://www.bleepingcomputer.com/news/security/roku-warns-576-000-accounts-hacked-in-new-credential-stuffing-attacks

Roku警告称,在3月初披露了一起入侵15000个账号的事件后,有576000个账号在新的撞库攻击中被黑客入侵。该公司表示,攻击者使用从其他在线平台窃取的登录信息,在撞库攻击中入侵尽可能多的活跃Roku账号。在发现第二波撞库攻击后,Roku已经重置了所有受影响账号的密码,并直接将该事件通知受影响的客户。

8、微软修复了两个被积极利用的安全漏洞

https://securityaffairs.com/161692/security/two-zero-day-malware-attacks.html

微软修复了两个零日漏洞,分别被标记为CVE-2024-29988和CVE-2024-26234,攻击者正在利用这些漏洞来传播恶意软件。CVE-2024-29988是SmartScreen安全提示功能绕过漏洞,该漏洞在野外被积极利用,但微软尚未在公告中证实。CVE-2024-26234是一种代理驱动程序欺骗漏洞,恶意的驱动程序将会使用有效的微软硬件发布者证书签名,以部署后门程序。

9、德国数据库公司Genios确认遭受勒索软件攻击

https://therecord.media/genios-germany-ransomware-attack

GBI Genios是一家被德国众多媒体机构使用的数据库公司,该公司称其服务器遭受黑客攻击,并证实该事件是勒索软件攻击。这家总部位于慕尼黑的公司是“法兰克福汇报”和德国商报媒体集团的子公司。除媒体实体外,该公司的数据库还被大学和图书馆广泛使用。“法兰克福汇报”的一位发言人表示,其系统及其子公司没有受到影响。目前受害公司尚未针对此事透露更多细节。

10、研究人员称LockBit勒索组织可能更名为DarkVault

https://cybernews.com/news/lockbit-dark-vault-rebrand

研究人员称,LockBit勒索组织似乎正计划更名为DarkVault。研究人员在查看DarkVault最近推出的网站时,发现其网站的一些部分存在与LockBit网站相似的元素,这可能是由于攻击者的失误而导致。在某一时刻,LockBit一定意识到了这个错误,现在DarkVault网站中与Lockbit相似的元素都已经消失了。目前DarkVault网站中尚未列出受害者列表。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。