当前位置: 首页 > 行业资讯 > 网络安全日报 2024年07月09日

网络安全日报 2024年07月09日

发表于:2024-07-09 08:07 作者: 合天网安实验室 阅读数(569人)

1、恶意软件Turla利用LNK文件逃避技术发动新攻击

https://www.gdatasoftware.com/blog/2024/07/37977-turla-evasion-lnk-files

研究人员发现,恶意软件Turla利用恶意LNK文件发动新攻击。该攻击使用快捷方式文件执行无文件后门,通过内存修补、绕过AMSI、禁用系统事件日志等手段逃避检测。感染始于一个被入侵的菲律宾媒体网站,通过伪装成PDF文档的LNK文件进行传播。该恶意软件利用msbuild.exe加载后门,创建计划任务以达成持久化驻留。

2、Anatsa恶意软件利用Google Play应用进行传播

https://cybersecuritynews.com/malicious-qr-reader

研究人员最近在Google Play上发现了一个恶意二维码阅读器应用,该应用传播了Anatsa银行恶意软件,这是一种专门窃取用户敏感银行信息的恶意程序。目前该应用下载次数已达数千,对用户财务数据构成严重威胁。Anatsa恶意软件具备键盘记录、覆盖攻击和远程访问等高级功能,难以被传统安全措施检测。谷歌已迅速响应,从Play Store中移除了该应用,并加强了应用审查流程。

3、研究人员揭露Eldorado勒索软件新动态

https://www.group-ib.com/blog/eldorado-ransomware/

Eldorado勒索软件自3月份起便成为网络安全的新威胁,其RaaS模式已导致16家公司遭受攻击,主要在美国,影响房地产、教育、医疗保健和制造业等行业。研究人员发现,Eldorado的犯罪团伙在RAMP论坛上积极推广其恶意服务,并寻求合作伙伴。该勒索软件基于Go语言,能够加密Windows和Linux平台,在加密过程中会生成独特的密钥,并将勒索信放置在用户的文档和桌面文件夹中。研究人员强调Eldorado是一个独立的新威胁,并非现有勒索软件组织的分支。

4、Ghostscript存在沙盒绕过远程代码执行漏洞

https://codeanlabs.com/blog/research/cve-2024-29510-ghostscript-format-string-exploitation/

近日,一个被标记为中等严重性的Ghostscript漏洞(CVE-2024-29510)引发了安全研究人员的关注。研究人员揭露了一种攻击者可以绕过 Ghostscript默认沙盒设置并实现远程代码执行的方法。由于Ghostscript广泛用于Web应用程序和云服务中,用于文档转换和预览,因此该漏洞对这些服务构成了重大安全威胁。随着PoC的发布和漏洞受到更多关注,专家们强调了立即更新Ghostscript的紧迫性,以避免可能的大规模安全事件。

5、研究人员公布Mallox勒索软件新变种解密器

https://www.uptycs.com/blog/mallox-ransomware-linux-variant-decryptor-discovered

网络安全研究人员公布了一种针对Linux系统,名为Mallox的勒索软件变种,目前其解密器已被发现。Mallox勒索软件自2021年中期以来一直活跃,此次变种使用Python脚本进行数据加密,并通过TOR网络进行数据泄露威胁。攻击者通过自定义脚本创建勒索软件加密器和解密器,加密文件后附加.lmallox扩展名,研究人员提供了寻找Mallox基础设施的方法,包括在FOFA和Censys上执行特定查询。

6、多国政府邮件服务器遭ProxyLogon与ProxyShell漏洞攻击

https://hunt.io/blog/proxylogon-and-proxyshell-used-to-target-government-mail-servers-in-asia-europe-and-south-america

据网络安全研究人员分析,一系列政府邮件服务器近期遭受了利用ProxyLogon和ProxyShell漏洞的网络攻击。这些攻击影响了多个国家和地区的政府机构,包括阿富汗、格鲁吉亚、阿根廷和老挝。攻击者通过一个在DigitalOcean上的服务器,通过公开的漏洞成功获取了对邮件服务器的未授权访问,并下载了官员间的通信记录。这一事件暴露了即使在漏洞被广泛知晓后,由于系统未能及时更新,攻击者仍有机会利用这些漏洞进行网络攻击。

7、Microsoft SmartScreen漏洞被用于垃圾邮件攻击

https://cyble.com/blog/increase-in-the-exploitation-of-microsoft-smartscreen-vulnerability-cve-2024-21412/

研究人员发现一个利用Microsoft SmartScreen漏洞(CVE-2024-21412)的垃圾邮件攻击活动正在增加。攻击者通过精心设计的电子邮件诱饵,包括医疗保险、交通通知和税务相关主题,诱导用户下载并执行恶意负载。攻击链涉及多阶段利用,包括forfiles.exe、PowerShell、mshta等合法工具,以及DLL侧加载和IDATLoader技术,最终部署Lumma和Meduza Stealer等信息窃取恶意软件。攻击活动影响全球多个地区,包括西班牙、美国和澳大利亚。

8、Roblox公司由于第三方服务商导致数据泄露

https://thecyberexpress.com/third-party-data-breach-exposes-roblox-data/

Roblox公司经历了一起数据泄露事件,该事件源自其年度开发者大会的第三方服务提供商。这次泄露涉及了通过第三方平台注册的现场和在线与会者的数据,包括全名、电子邮件和IP地址。Roblox公司,作为一家拥有超过2.14亿月活跃玩家的视频游戏开发商,主要用户群体为青少年,其数据安全尤为重要。尽管公司未确认是否有其他数据受到影响,但已在努力加强安全措施,以避免未来发生类似事件。与此同时,其他游戏平台如Teenpatti.com、Mobile Premier League等也遭遇了数据泄露或攻击,这表明游戏行业正成为网络攻击者的目标。

9、Splunk修复关键远程代码执行漏洞

https://thecyberexpress.com/updates-released-for-splunk-vulnerability/

Splunk公司发布了一系列安全更新,以解决其Splunk Enterprise和云平台上的16个漏洞,其中包括高严重漏洞CVE-2024-36985,这是一个通过外部查找机制导致的远程代码执行(RCE)漏洞。此漏洞影响9.0.10、9.1.5和9.2.2之前的版本,攻击者可以利用它执行任意命令。Splunk建议用户立即更新至最新版本或暂时禁用受影响的应用程序以降低风险。此外,还包括了对跨站点脚本(XSS)、命令注入、拒绝服务(DoS)和不安全文件上传等问题的修复。

10、南非国家医疗实验室遭勒索软件攻击,所有备份被清空

https://www.freebuf.com/news/405387.html

南非国家卫生实验室服务局(NHLS)是由政府运营的医疗检测实验室网络,该机构在从勒索软件攻击中恢复的过程中继续奋战,勒索软件攻击破坏了系统并删除了备份。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。