当前位置: 首页 > 行业资讯 > 网络安全日报 2024年06月04日

网络安全日报 2024年06月04日

发表于:2024-06-04 08:22 作者: 合天网安实验室 阅读数(2523人)

1、Andariel组织使用新型Dora RAT恶意软件攻击韩国机构

https://asec.ahnlab.com/en/66088/

与朝鲜有关的威胁行为者Andariel在其针对韩国教育机构、制造公司和建筑企业的攻击中,使用了一种新的基于Golang的后门程序Dora RAT。这些攻击使用了键盘记录器、信息窃取工具和代理工具等恶意软件,可能用于控制并窃取感染系统中的数据。这些攻击的特点是利用一个存在漏洞的Apache Tomcat服务器来分发恶意软件。韩国的这家网络安全公司指出,该系统运行的是2013年版本的Apache Tomcat,容易受到多种漏洞的攻击。Andariel也被称为Nicket Hyatt、Onyx Sleet和Silent Chollima,是一个自2008年以来代表朝鲜战略利益运作的高级持续性威胁(APT)组织。该组织通常使用鱼叉式网络钓鱼、水坑攻击和已知软件漏洞获取初始访问权并向目标网络分发恶意软件。

2、APT28使用HeadLace恶意软件和凭证收集工具攻击欧洲

https://www.recordedfuture.com/grus-bluedelta-targets-key-networks-in-europe-with-multi-phase-espionage-camp

俄罗斯GRU支持的威胁行为者APT28被指控在一系列攻击活动中,使用HeadLace恶意软件和凭证收集网页,针对欧洲的网络进行攻击。APT28,也被称为BlueDelta、Fancy Bear、Forest Blizzard、FROZENLAKE、Iron Twilight、ITG05、Pawn Storm、Sednit、Sofacy和TA422,是与俄罗斯战略军事情报单位GRU相关的高级持续性威胁(APT)组织。这一黑客团伙操作高度隐秘和复杂,常常通过深度准备和定制工具展示其适应能力,并依赖合法的互联网服务(LIS)和本地二进制文件(LOLBins)在常规网络流量中隐蔽其操作。从2023年4月至12月,BlueDelta在三个不同阶段部署Headlace恶意软件,使用地理围栏技术,主要针对欧洲网络,重点是乌克兰。BlueDelta的间谍活动反映了一种更广泛的策略,旨在收集对俄罗斯在其对乌克兰的持续侵略中具有军事意义的实体的情报。

3、攻击者利用伪造浏览器更新传播BitRAT和Lumma恶意软件

https://www.esentire.com/blog/fake-browser-updates-delivering-bitrat-and-lumma-stealer

假浏览器更新正在用于传播远程访问木马(RATs)和信息窃取恶意软件,如BitRAT和Lumma Stealer(又名LummaC2)。假浏览器更新已经导致了众多恶意软件感染,包括著名的SocGholish恶意软件。在2024年4月,我们观察到FakeBat通过类似的假更新机制进行分发。攻击链开始于潜在目标访问一个被植入JavaScript代码的陷阱网站,这些代码旨在将用户重定向到一个伪造的浏览器更新页面(“chatgpt-app[.]cloud”)。重定向的网页嵌入了一个指向ZIP归档文件(“Update.zip”)的下载链接,该文件托管在Discord上,并自动下载到受害者的设备上。值得指出的是,威胁行为者经常利用Discord作为攻击向量。Bitdefender最近的分析发现,在过去六个月内,Discord上分发了超过50000个危险链接,这些链接用于传播恶意软件、网络钓鱼活动和垃圾邮件。

4、Pumpkin Eclipse网络攻击导致美国60余万路由器断网

https://blog.lumen.com/the-pumpkin-eclipse/

超过60万台小型办公室/家庭办公室(SOHO)路由器因神秘的网络攻击而被破坏并离线,导致用户无法访问互联网。这一神秘事件发生在2023年10月25日至27日之间,影响了美国的一家互联网服务提供商(ISP),研究人员命名为“南瓜日食”(Pumpkin Eclipse)。此次攻击特别影响了ISP发行的三款路由器型号:ActionTec T3200、ActionTec T3260和Sagemcom。这一事件发生在10月25日至27日的72小时内,使受感染的设备永久无法使用,并需要进行硬件更换。此次断网事件非常重要,特别是因为它在这一时间段内导致受影响ISP的自主系统编号(ASN)中49%的所有调制解调器被突然移除。虽然未披露ISP的名称,但证据表明该ISP可能是Windstream,该公司在同一时间段内遭遇了一次故障,用户报告称受影响的调制解调器显示出“持续的红灯”。

5、研究人员警告互联网暴露的OT设备遭遇的网络攻击激增

https://www.microsoft.com/en-us/security/blog/2024/05/30/exposed-and-vulnerable-recent-attacks-highlight-critical-need-to-protect-internet-exposed-ot-devices/

微软强调了保护互联网暴露的运营技术(OT)设备的重要性,因为自2023年末以来,针对这些环境的网络攻击激增。这些针对OT设备的反复攻击强调了提高OT设备安全姿态的关键需求,并防止关键系统成为容易攻击的目标。该公司指出,对OT系统的网络攻击可能使恶意行为者篡改用于工业过程的关键参数,无论是通过可编程逻辑控制器(PLC)编程还是使用人机界面(HMI)的图形控制,导致故障和系统中断。微软进一步表示,OT系统通常缺乏足够的安全机制,使其容易被对手利用,并执行“相对容易”的攻击,加上将OT设备直接连接到互联网带来的额外风险,这一事实更加严重。这不仅使得这些设备通过互联网扫描工具被攻击者发现,还可能被利用以通过弱密码或已知漏洞的过时软件获得初始访问权限。

6、Check Point VPN 零日漏洞PoC 代码已经公开

https://www.securityweek.com/poc-published-for-exploited-check-point-vpn-vulnerability/

针对影响 Check Point 安全网关多个迭代的、被积极利用的零日漏洞,概念验证 (PoC) 代码已经发布。该问题于 5 月 27 日披露,编号为 CVE-2024-24919(CVSS 评分为 8.6),被描述为启用了 IPSec VPN 或移动访问网关中的任意文件读取问题。

7、Apache Log4j2 严重漏洞仍威胁全球金融

https://securityaffairs.com/163984/hacking/critical-apache-log4j2-flaw-still-threatens-global-finance.html

尽管严重的 Apache Log4j2 漏洞 (CVE-2021-44832) 是在一年多前发现并修补的,但它仍然对全球金融业构成重大威胁。

8、普华永道数据遭泄露,海量内部文件曝光

https://www.secrss.com/articles/66638

“四大”会计师事务所之一普华永道的18900份内部档案被公开,文件大小共222GB。泄露的文件包括客户评审文件、人力资源文件和员工文件。

9、英国BBC数据泄露,现任和前任雇员均受影响

https://www.bleepingcomputer.com/news/security/bbc-suffers-data-breach-impacting-current-former-employees/

英国广播公司(BBC)披露了 5 月 21 日发生的一起数据安全事件,该事件涉及未经授权访问托管在云服务上的文件,从而泄露了 BBC 养老金计划成员的个人信息。

10、59% 公共部门的应用程序长期存在安全漏洞

https://www.helpnetsecurity.com/2024/05/30/public-sector-applications-security-debt/

Veracode 在一份报告中,详细调查分析了全球超过 25 个国家的公共部门组织,最终发现 59% 的公共部门应用程序存在安全漏洞(超过一年仍未修复的安全漏洞)。值得一提的是,把调查对象扩展到社会各个行业面上,这一比例为 42%。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。