当前位置: 首页 > 行业资讯 > 网络安全日报 2024年08月05日

网络安全日报 2024年08月05日

发表于:2024-08-05 08:05 作者: 合天网安实验室 阅读数(1145人)

1、黑客利用免费TryCloudflare服务投放远程控制木马

https://www.proofpoint.com/us/blog/threat-insight/threat-actor-abuses-cloudflare-tunnels-deliver-rats

研究人员警告称,威胁行为者正越来越多地滥用Cloudflare Tunnel服务进行恶意软件活动,通常投放远程控制木马。此类活动首次于今年2月被检测到,黑客利用TryCloudflare免费服务分发多种RAT,包括AsyncRAT、GuLoader、VenomRAT、Remcos RAT和Xworm。在最新的攻击活动中,研究人员观察到,威胁行为者通过税务主题邮件引诱目标,邮件中的URL或附件链接到LNK负载文件,启动后运行BAT或CMD脚本以部署PowerShell。攻击的最终阶段下载Python安装程序以投放最终负载。

2、黑客通过开发者问答平台传播恶意Python包

https://checkmarx.com/blog/stackexchange-abused-to-spread-malicious-python-package-that-drains-victims-crypto-wallets/

研究人员发现,黑客滥用问答平台Stack Exchange,引导开发者下载恶意Python包,这些包能够窃取加密货币钱包中的资金。研究人员报告称,这些恶意包在安装后会自动执行,启动一系列事件以控制受害者的系统,同时窃取数据并掏空其加密货币钱包。这场始于2024年6月25日的攻击活动,专门针对Raydium和Solana的加密货币用户。这些包已被从PyPI仓库移除,总下载次数为2082次。恶意包内含有完整的信息窃取功能,能够窃取网页浏览器密码、Cookie、信用卡详情、加密货币钱包信息,以及Telegram、Signal和Session等消息应用的数据。它还具备截屏、搜索包含GitHub恢复码和BitLocker密钥的文件的功能。

3、APT28利用汽车销售钓鱼邮件攻击外交官

https://unit42.paloaltonetworks.com/fighting-ursa-car-for-sale-phishing-lure/

俄罗斯关联的威胁行为者APT28最近开展了一项新活动,通过汽车销售钓鱼诱饵传播模块化Windows后门程序HeadLace。研究人员指出,这项活动可能自2024年3月起开始,主要针对外交官。值得注意的是,自2023年7月以来,另一个俄罗斯国家支持的黑客组织APT29也使用过类似的汽车销售钓鱼诱饵,这表明APT28可能正在重新利用成功的策略用于其自身的攻击活动。

4、新型Windows后门BITSLOTH利用BITS进行隐秘通信

https://www.elastic.co/security-labs/bits-and-bytes-analyzing-bitsloth

研究人员发现了一种未被记录的Windows后门程序,利用内置功能Background Intelligent Transfer Service(BITS)作为命令和控制(C2)机制。这种新型恶意软件被研究人员命名为BITSLOTH,于2024年6月25日首次发现,关联到针对南美某政府外交部的网络攻击。该活动集群被追踪为REF8747。研究人员表示,最新版本的BITSLOTH后门具有包括键盘记录和屏幕捕获在内的35个处理函数。此外,BITSLOTH还具有多种发现、枚举和命令行执行功能。该工具自2021年12月起开发,被威胁行为者用于数据收集。

5、Facebook广告引流至虚假网站窃取信用卡信息

https://www.recordedfuture.com/research/eriakos-scam-campaign-detected

Facebook用户近日成为一个复杂的电商诈骗网络的目标,该网络通过数百个假网站窃取个人和财务数据,利用品牌冒充和恶意广告手段进行诈骗。研究人员在2024年4月17日检测到这一活动,并因其使用的内容分发网络(CDN)命名为ERIAKOS。这些欺诈网站仅通过移动设备和广告诱饵访问,目的是规避自动检测系统。该活动专门针对通过Facebook广告诱饵访问诈骗网站的移动用户,这些广告有时依靠限时折扣吸引用户点击。这些假网站和广告主要冒充一个主要在线电商平台和一个电动工具制造商,并通过虚假的销售优惠吸引受害者购买各种知名品牌的产品。另一个关键的分发机制是利用Facebook上的假用户评论引诱潜在受害者。此外,搜索引擎上的假Google广告会将用户重定向到一个恶意网站,该网站会交付一个托管在GitHub上的Windows可执行文件,最终投放名为DeerStealer的信息窃取器。

6、英国关停诈骗数百万美元的“Russian Coms”诈骗平台

https://hackread.com/uk-shuts-down-russian-coms-fraud-platform/

英国国家犯罪调查局(NCA)近日成功关闭了一个名为“Russian Coms”的诈骗平台,该平台在全球范围内造成了数千万英镑的经济损失。此次行动得到全球执法合作伙伴和欧洲刑警组织的支持,已逮捕三名嫌疑人,并破坏了数百名犯罪分子的各种诈骗计划。据NCA发布的新闻稿称,在三年时间里,该平台共进行了超过130万次电话呼叫,涉及超过50万个独特的英国电话号码,估计有17万名英国公民成为骗局的受害者。据研究人员报告,英国受害者的平均财务损失超过9400英镑。诈骗分子采用多种手段,包括冒充银行说服受害者将资金转移到所谓的安全账户、以不存在的商品骗取资金、完全访问银行账户,以及虚假借口收集实体借记卡和信用卡。

7、Mirai僵尸网络瞄准易受目录遍历攻击的OFBiz服务器

https://isc.sans.edu/diary/Increased%20Activity%20Against%20Apache%20OFBiz%20CVE-2024-32113/31132

研究人员发布报告显示,开源ERP框架OFBiz目前成为新的Mirai僵尸网络变种的目标。OFBiz是由Apache基金会支持的一个Java框架,用于创建ERP应用程序。尽管OFBiz的普及度较商业替代品低,但其同样承载着敏感的业务数据,其安全性至关重要。今年5月,OFBiz发布了一个关键安全更新,修复了一个目录遍历漏洞,该漏洞可能导致远程命令执行。受影响的OFBiz版本为18.12.13之前的版本。几周后,关于该漏洞的详细信息被公之于众。目录遍历(或路径遍历)漏洞可以用于绕过访问控制规则。例如,如果用户可以访问“/public”目录但不能访问“/admin”目录,攻击者可能会使用类似“/public/../admin”的URL来欺骗访问控制逻辑。最近,CISA和FBI在“设计安全”倡议中发布了警报,重点关注目录遍历漏洞。CISA指出,他们目前正在追踪55个目录遍历漏洞,作为“已知被利用漏洞”(KEV)目录的一部分。

8、黑客利用配置错误的Jupyter Notebooks进行DDoS攻击

https://www.aquasec.com/blog/panamorfi-a-new-discord-ddos-campaign/

研究人员披露了一项针对配置错误的Jupyter Notebooks的新型分布式拒绝服务(DDoS)攻击活动。该活动由研究人员命名为“Panamorfi”,利用一个名为mineping的Java工具发起TCP洪水DDoS攻击。mineping最初是为Minecraft游戏服务器设计的DDoS工具。攻击链条包括利用暴露在互联网的Jupyter Notebook实例运行wget命令,从文件共享网站Filebin获取一个ZIP归档文件。该ZIP文件包含两个Java归档(JAR)文件:conn.jar和mineping.jar。conn.jar用于建立与Discord频道的连接并触发mineping.jar包的执行。

9、Chrome引入应用程序绑定加密保护Cookie免受恶意软件攻击

https://security.googleblog.com/2024/07/improving-security-of-chrome-cookies-on.html

Google宣布在其Chrome浏览器中加入应用程序绑定加密(App-Bound Encryption),以防止信息窃取恶意软件在Windows系统上获取Cookie。Chrome安全团队的表示,尽管Windows上的数据保护API(DPAPI)可以保护静态数据免受其他用户或冷启动攻击,但无法防御能够以登录用户身份执行代码的恶意应用。应用程序绑定加密通过将应用程序的身份(如Chrome)与加密数据相结合,防止其他应用在尝试解密时访问该数据。因为应用绑定服务以系统特权运行,攻击者需要获得系统特权或向Chrome注入代码,这并非合法软件的行为。此方法强烈绑定加密密钥与机器,因此不适用于在多台机器间漫游的Chrome配置文件环境。支持漫游配置文件的组织应遵循最佳实践并配置ApplicationBoundEncryptionEnabled策略。

10、Linux内核受新型SLUBStick跨缓存攻击影响

https://www.stefangast.eu/papers/slubstick.pdf

研究人员披露了一种名为SLUBStick的新型Linux内核跨缓存攻击,该攻击能够将有限的堆漏洞转化为任意内存读写能力,具有99%的成功率,允许攻击者提升权限或逃脱容器。来自格拉茨理工大学的研究团队展示了这一攻击在Linux内核版本5.9和6.2(最新版本)上的有效性,覆盖32位和64位系统,表现出高度的通用性。SLUBStick能够绕过现代内核防御机制,如监督模式执行预防(SMEP)、监督模式访问预防(SMAP)和内核地址空间布局随机化(KASLR)。该攻击将在本月晚些时候的Usenix安全研讨会上详细介绍,研究人员将展示在启用最新防御机制的Linux系统上实现权限提升和容器逃逸的过程。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。