当前位置: 首页 > 行业资讯 > 网络安全日报 2024年07月05日

网络安全日报 2024年07月05日

发表于:2024-07-05 08:32 作者: 合天网安实验室 阅读数(910人)

1、APT 36组织针对游戏与武器爱好者投放间谍软件

https://www.sentinelone.com/labs/capratube-remix-transparent-tribes-android-spyware-targeting-gamers-weapons-enthusiasts/

安全研究人员揭露了APT 36组织(又名Transparent Tribe或透明部落组织)的新动向,该组织自2016年起活跃,针对印度政府和军事人员。最新发现的CapraRAT APK攻击活动通过伪装成视频浏览应用,将间谍软件瞄准了手机游戏玩家、武器爱好者和TikTok用户。这些APK利用WebView技术启动YouTube或游戏网站,同时更新了底层代码以适应Android设备。研究人员建议用户对应用请求的权限保持警惕,注意网络入侵指标,如特定端口使用和可疑字符串,以防范CapraRAT等恶意软件的侵害。

2、Xctdoor恶意软件通过ERP更新服务在韩国传播

https://asec.ahnlab.com/en/67558/

安全研究人员近期揭露了一起针对韩国国防和制造业的网络攻击事件,攻击者利用Xctdoor恶意软件通过韩国ERP解决方案的更新服务器进行传播。该恶意软件与2017年发现的Andariel组织使用的HotCroissant后门有相似之处。Xctdoor采用DLL格式,使用Go语言开发,具备多种信息窃取功能,包括屏幕截图、键盘记录等,并通过HTTP协议与C&C服务器通信。

3、FakeBat恶意软件通过驱动下载技术进行传播

https://blog.sekoia.io/exposing-fakebat-loader-distribution-methods-and-adversary-infrastructure/

网络安全研究人员通过分析,揭露了FakeBat的多个分发活动和其背后的基础设施。此外还发现,FakeBat的运营商在网络犯罪论坛上积极推广其服务,并且为客户提供了一种按安装付费的模式(LaaS)。为了对抗这种威胁,安全研究人员将持续监控FakeBat的C2服务器,并分享了入侵指标和跟踪方法,以帮助网络安全领域更好地防御此类攻击。

4、Orcinius木马利用VBA Stomping技术进行隐蔽攻击

https://blog.sonicwall.com/en-us/2024/06/new-orcinius-trojan-uses-vba-stomping-to-mask-infection/

近日,安全研究人员详细分析了Orcinius木马的感染机制。该木马通过一个伪装成日历的Excel文件进行传播,该文件含有模糊处理的VBA宏,利用VBA Stomping技术隐藏其真实代码。当受害者打开该Excel文件时,宏被执行,进而修改注册表、枚举当前窗口、设置持久性,并尝试从特定URL下载额外的恶意负载。此外,Orcinius木马还涉及监视键盘输入和激活下载。安全研究人员发布了针对此恶意软件的防护签名,以帮助防御此类威胁。

5、澳大利亚四大银行遭遇持续网络攻击威胁

https://thecyberexpress.com/national-australia-bank-warn-cyber-threats/

澳大利亚国民银行近日发出警告,澳大利亚四大银行正面临持续的网络攻击威胁。这些攻击由各种威胁行为体发起,包括业余黑客、有组织的跨国犯罪集团,甚至包括国家支持的威胁行为体。这些攻击形式多样,包括恶意代码分发、安全漏洞利用和拒绝服务活动等。攻击目的是窃取客户敏感信息和资金。据估计,澳大利亚每年因网络诈骗损失高达30亿美元。澳大利亚银行业协会也承认了当前形势的严重性,并将其称为“诈骗战争”,同时呼吁客户保持警惕,以防止资金落入犯罪分子手中。

6、研究人员披露PelView Plus设备高危漏洞

https://www.microsoft.com/en-us/security/blog/2024/07/02/vulnerabilities-in-panelview-plus-devices-could-lead-to-remote-code-execution/

近日,微软威胁情报团队披露了罗克韦尔自动化PanelView Plus设备中的两个关键漏洞。这些漏洞允许未经身份验证的远程攻击者执行代码(RCE)和拒绝服务(DoS),这些漏洞可能被远程攻击者利用来执行代码和造成服务中断。在2023年5月和7月微软向罗克韦尔自动化通报了这些漏洞,并在同年9月和10月获得了相应的安全补丁。本次微软分享了CVE-2023-2071这一远程代码执行(RCE)漏洞的详细技术细节及其发现过程。还提供了关于该漏洞的复现和利用技术细节。

7、威胁行为者公开出售NPM账户接管漏洞

https://thecyberexpress.com/account-takeover-vulnerability/

近日,一名名为Alderson1337的威胁行为体在BreachForums上公开出售针对npm账户的接管漏洞。并宣称该漏洞允许攻击者入侵特定组织员工的npm账户,并在软件包中注入难以检测的后门。为保持漏洞的机密性,威胁行为体选择私下交流而非公开披露PoC信息。npm作为JavaScript的关键包管理器,由GitHub的子公司npm, Inc.管理,其账户安全对全球开发者和组织至关重要。目前,npm Inc.尚未对此事发表官方回应,也未证实账户接管漏洞的存在。

8、Twilio旗下Authy应用遭入侵导致数千万用户数据泄露

https://www.twilio.com/en-us/changelog/Security_Alert_Authy_App_Android_iOS

Twilio旗下双因素认证应用Authy遭遇数据泄露,数百万用户电话号码被泄露。攻击者利用Authy中的一个未授权端点,获取了与账户相关的敏感数据,包括数百万用户的手机号码。在7月1日发布的安全警报中,Twilio表示没有证据显示攻击者获得了对Twilio系统或其他敏感数据的访问权限。然而,出于安全考虑,建议用户更新至Android 25.1.0或iOS 26.1.0及以上版本的应用程序,并提高对潜在网络钓鱼和短信钓鱼攻击的警惕。

9、多国执法关闭了600台与网络犯罪有关的Cobalt Strike服务器

https://www.nationalcrimeagency.gov.uk/news/national-crime-agency-leads-international-operation-to-degrade-illegal-versions-of-cobalt-strike

全球警方在代号为MORPHEUS的行动中成功关闭了近600台与Cobalt Strike相关的网络犯罪服务器。这次协调的执法行动由英国国家犯罪局(NCA)领导,得到了27个国家的在线服务提供商的协助,以及多国执法部门的参与。Cobalt Strike是一款被广泛用于对手模拟和渗透测试的工具,但其破解版本被恶意行为体滥用,用于后期利用和逃避检测。此次行动有效打击了网络犯罪活动,减少了勒索软件和恶意软件攻击的风险。

10、巴西数据保护机构禁止Meta使用来自该国的数据训练AI模型

https://securityaffairs.com/165216/social-networks/brazil-data-protection-authority-banned-meta-ai.html

巴西数据保护机构暂时禁止 Meta 使用来自该国的数据来训练其人工智能。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。