当前位置: 首页 > 行业资讯 > 网络安全日报 2024年05月20日

网络安全日报 2024年05月20日

发表于:2024-05-20 08:39 作者: 合天网安实验室 阅读数(3340人)

1、Kimsuky组织利用Facebook Messenger传播恶意软件

https://www.genians.co.kr/blog/threat_intelligence/facebook

与朝鲜有联系的Kimsuky黑客组织被归因于一种新的社会工程攻击,该攻击利用虚构的Facebook帐户通过Messenger攻击目标,并最终传播恶意软件。攻击者创建了一个Facebook帐户,其身份伪装成在朝鲜人权领域工作的公职人员。声明指出,这次冒充合法个人的多阶段攻击活动旨在针对朝鲜人权和反朝领域的活动人士。该方法与典型的基于电子邮件的鱼叉式网络钓鱼策略不同,它利用社交媒体平台通过Facebook Messenger接近目标,并诱骗他们打开由该角色编写的看似私人的文档。

2、研究人员发现GE HealthCare超声机的11个安全漏洞

https://www.nozominetworks.com/blog/ge-healthcare-vivid-ultrasound-vulnerabilities

安全研究人员披露了影响GE HealthCare Vivid Ultrasound产品系列的近十几个安全漏洞,恶意行为者可能会利用这些漏洞篡改患者数据,甚至在某些情况下安装勒索软件。这些缺陷造成的影响是多方面的:从在超声波机器上植入勒索软件,到访问和操纵易受攻击的设备上存储的患者数据。这些安全问题影响Vivid T9超声系统及其预装的Common Service Desktop Web应用程序,该应用程序暴露在设备的本地主机界面上,并允许用户执行管理操作。它们还会影响另一个名为EchoPAC的软件程序,该程序安装在医生的Windows工作站上,帮助他们访问多维回声、血管和腹部超声图像。

3、微软修复了NTLM身份验证失败的Windows Server错误

https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-windows-server-bug-causing-crashes-ntlm-auth-failures/

Microsoft修复了安装上个月的Windows Server安全更新后导致NTLM身份验证失败和域控制器重新启动的已知问题。根据Windows运行状况仪表板条目,此问题仅影响具有大量NTLM流量和少量主DC的组织中的Windows域控制器。在受影响的系统上,部署4月份的Windows Server安全更新后,管理员还会看到高负载,并且在极少数情况下,域控制器会因本地安全机构子系统服务(LSASS)进程崩溃而重新启动。微软表示:“在域控制器(DC)上安装2024年4月安全更新后,您可能会注意到NTLM身份验证流量显著增加。”

4、MITRE推出EMB3D嵌入式设备威胁建模框架

https://www.mitre.org/news-insights/news-release/mitre-releases-emb3d-cybersecurity-threat-model-embedded-devices

MITRE公司已正式为关键基础设施环境中使用的嵌入式设备制造商提供了名为EMB3D的新威胁建模框架。该非营利组织在宣布此举的帖子中表示:“该模型提供了嵌入式设备网络威胁的丰富知识库,提供了对这些威胁的共同理解以及缓解这些威胁所需的安全机制。”EMB3D与ATT&CK框架一样,预计将成为一个“活框架”,随着新参与者、漏洞和攻击媒介的出现,新的缓解措施会随着时间的推移而添加和更新,但特别关注嵌入式设备。

5、Phorpiex发送数百万钓鱼邮件进行LockBit 勒索活动

https://www.bleepingcomputer.com/news/security/botnet-sent-millions-of-emails-in-lockbit-black-ransomware-campaign/

自4月份以来,已通过Phorpiex僵尸网络发送了数百万封钓鱼电子邮件,以开展大规模的LockBit Black勒索软件活动。攻击者使用包含部署LockBit Black有效负载的可执行文件的ZIP附件,该有效负载一旦启动就会对接收者的系统进行加密。这些攻击中部署的LockBit Black加密器很可能是使用一名心怀不满的开发人员于2022年9月在Twitter上泄露的LockBit 3.0构建器构建的。不过,据信该活动与实际的LockBit勒索软件操作没有任何关系。

6、恶意PyPi包使用Sliver C2套件在Mac上安装后门

https://blog.phylum.io/malicious-go-binary-delivered-via-steganography-in-pypi/

一个新包模仿了Python包索引(PyPI)上流行的“请求”库,以带有Sliver C2对抗框架的macOS设备为目标,用于获得对企业网络的初始访问权限。研究人员发现,该活动涉及多个步骤和混淆层,包括在PNG图像文件中使用隐写术在目标上秘密安装Sliver有效负载。截至撰写本文时,恶意PyPI软件包已被删除,但它的发现是Sliver越来越多地采用远程访问企业网络的另一个迹象。Sliver是一款跨平台(Windows、macOS、Linux)开源对抗框架测试套件,专为“红队”操作而设计,在测试网络防御时模拟对手的行为。其主要功能包括自定义植入生成、命令和控制(C2)功能、后利用工具/脚本以及丰富的攻击模拟选项。

7、微软修复了QakBot恶意软件攻击中利用的Windows零日漏洞

https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-windows-zero-day-exploited-in-qakbot-malware-attacks/

微软修复了一个零日漏洞,该漏洞被利用来在易受攻击的Windows系统上传播QakBot和其他恶意软件负载。此权限提升错误被追踪为CVE-2024-30051,是由DWM(桌面窗口管理器)核心库中基于堆的缓冲区溢出引起的。成功利用该漏洞后,攻击者可以获得系统权限。桌面窗口管理器是Windows Vista中引入的一项Windows服务,允许操作系统在渲染玻璃窗框架和3D过渡动画等图形用户界面元素时使用硬件加速。研究人员在调查另一个Windows DWM核心库权限升级漏洞(编号为CVE-2023-36033)时发现了该漏洞,该漏洞也被用作攻击中的零日漏洞。

8、CISA警告D-Link路由器漏洞被积极利用应当立刻修补

https://www.cisa.gov/news-events/alerts/2024/05/16/cisa-adds-three-known-exploited-vulnerabilities-catalog

美国网络安全和基础设施安全局(CISA)周四根据活跃利用的证据,将两个影响D-Link路由器的安全漏洞添加到其已知被利用的漏洞(KEV)目录中。CVE-2014-100005:影响D-Link DIR-600路由器的跨站点请求伪造(CSRF)漏洞,允许攻击者通过劫持现有管理员会话来更改路由器配置。CVE-2021-40655:影响D-Link DIR-605路由器的信息泄露漏洞,允许攻击者通过伪造对/getcfg.php页面的HTTP POST请求来获取用户名和密码。

9、Slack抓取客户数据用于AI 模型训练,引发用户强烈抗议

https://www.securityweek.com/user-outcry-as-slack-scrapes-customer-data-for-ai-model-training/

Slack 透露,它一直在根据客户数据(包括消息、文件和使用信息)训练 AI/ML 模型。默认情况下它是选择加入的。企业工作场所协作平台 Slack 被曝一直在抓取客户数据(包括消息和文件)以开发新的人工智能和机器学习模型,引发了隐私方面的强烈反对。

10、一名美国妇女被指控帮助朝鲜IT人员渗透数百家美国公司

https://securityaffairs.com/163349/intelligence/north-korea-linked-it-workers-infiltrated-us-firms.html

美国政府已宣布指控、扣押、逮捕和奖励,以阻止朝鲜 IT 工人渗透到数百家公司并为朝鲜赚取数百万美元的计划。美国司法部周四宣布对来自亚利桑那州的 49 岁克里斯蒂娜·玛丽·查普曼 (Christina Marie Chapman) 提出指控,指控她在 2020 年 10 月至 2023 年 10 月期间协助朝鲜 IT 工人在美国找到工作。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。