当前位置: 首页 > 行业资讯 > 网络安全日报 2024年11月11日

网络安全日报 2024年11月11日

发表于:2024-11-11 08:17 作者: 合天网安实验室 阅读数(2550人)

1、朝鲜黑客采用新战术攻击加密货币相关企业

https://securityaffairs.com/170659/malware/bluenoroff-apt-macos-malware.html

自2024年7月以来,朝鲜黑客针对加密货币相关行业的企业展开了新的网络攻击,使用钓鱼邮件和专门针对macOS的新型恶意软件。安全研究人员发现,这些钓鱼邮件看似包含有关比特币价格上涨风险的有用信息,但实际上内藏恶意软件。这些钓鱼邮件诱惑收件人点击并且下载一个名为“Hidden Risk Behind New Surge of Bitcoin Price.app”的恶意macOS应用程序包。该应用程序会下载并打开一个真实的PDF文件,里面是一篇今年早些时候发布的研究论文。与此同时,它还会隐蔽的下载并执行一个恶意二进制文件。由于该恶意软件应用程序包已通过Apple Developer Program成员签名和公证,macOS不会发出任何警告。安全研究员同时还发现该恶意软件的安装包带有效的代码签名和公证告诉Gatekeeper该文件是安全的,并且Apple的XProtect或XProtectRemediator(恶意软件清除工具)没有此恶意软件的特征,导致该恶意软件无法被轻易发现。

2、恶意软件Androxgh0st集成Mozi僵尸网络用于IoT漏洞的攻击

https://hackread.com/androxgh0st-botnet-integrate-mozi-iot-vulnerabilities/

Androxgh0st僵尸网络自2024年1月以来主要针对web服务器。近期,安全研究人员在分析Androxgh0st僵尸网络的命令与控制(C&C)日志时发现,该僵尸网络中具有Mozi僵尸网络相关的有效攻击载荷。因此可推测Androxgh0st僵尸网络为了能够更有效地感染IoT设备,在最新的变种中集成了Mozi僵尸网络的攻击组件,并利用一系列web应用程序和物联网(IoT)设备的各种漏洞进行攻击,其中便包含了Sophos Firewall防火墙漏洞、TP-Link Archer AX21远程代码执行漏洞、Netgear DGN设备的远程代码执行漏洞以及GPON Home Routers路由的远程代码执行漏洞

3、M2交易所遭到黑客攻击导致1370万美元加密货币被盗

https://www.cryptopolitan.com/m2-exchange-reports-hack-restores-13-7m-in-eth-sol-and-btc/

11月1日,加密货币交易所M2遭到了一起黑客攻击事件导致超过1370万美元的加密货币从其热钱包中被盗。受影响的资产包括以太坊(ETH)、Solana(SOL)和比特币(BTC)。M2是一个相对较小的交易所,总部位于阿布扎比,主要服务于有限的市场。截至11月1日,M2的每日交易量仅为3.2万美元。尽管如此,M2在冷钱包中持有超过6700万美元的各种资产,在热钱包中持有超过1150万美元的资产,分布在六条链上,包括Bitcoin、Ethereum、Solana、BNB Chain、Avalanche、Arbitrum和Polygon。M2交易所的这次黑客攻击再次突显了加密货币领域面临的安全挑战。尽管M2迅速恢复了资金并确保用户未遭受损失,但此类事件提醒交易所和用户必须加强安全措施,以防范潜在的风险。

4、VEEAM漏洞再次被新的勒索软件Frag利用

https://news.sophos.com/en-us/2024/11/08/veeam-exploit-seen-used-again-with-a-new-ransomware-frag/

据近期多起管理检测和响应(MDR)的案例中,安全研究人员发现威胁行为者利用了Veeam备份服务器中的一个漏洞,同时还部署了一种新的勒索软件 “Frag”,该勒索软件在此之前从未被记录。初始访问时,威胁行为者通常会通过被 compromized 的VPN设备获得初始访问权限。接着通过利用CVE-2024-40711漏洞创建新的管理员账户,进一步渗透目标系统,最后在威胁行为者获得控制权后,便部署勒索软件Frag,该勒索软件的参数可以指定加密受害者单个文件或者整个目录,并且在加密的文件后添加扩展名.frag。

5、Palo Alto Networks Expedition存在高危漏洞

https://securityaffairs.com/170697/uncategorized/palo-alto-networks-warns-potential-pan-os-rce.html

美国网络安全和基础设施安全局(CISA)于10月确认,Palo Alto Networks Expedition(防火墙配置迁移工具)存在高危漏洞(CVE-2024-5910)并且正在被攻击者利用。该漏洞由于在一个关键功能缺少身份验证,导致拥有攻击者在具有网络访问权限下通过发送简单的请求到暴露的端点来重置管理员密码,从而获得对系统的完全控制,包括了接管Palo Alto Networks Expedition的管理员账户。Palo Alto Networks已于2024年7月发布了修复该漏洞的安全更新,并建议无法立即升级的用户限制对Expedition安装的网络访问,确保只有授权用户、主机或网络才能访问。

6、Mazda车辆存在可被黑客利用的系统漏洞

https://hackread.com/hackers-mazda-vehicle-controls-system-vulnerabilities/

网络安全研究人员发现,马自达汽车的多个车型存在严重的车载信息娱乐系统漏洞,特别是2014年至2021年的Mazda 3车型中使用的Connectivity Master Unit (CMU)。这些漏洞源于对攻击者提供的输入处理不当,可能允许物理接近的攻击者通过特制的USB设备执行任意代码,从而获得系统最高权限,危及车辆安全。攻击者可以通过在FAT32格式的USB存储设备上创建包含OS命令的文件(文件名以.up结尾)来利用这些漏洞。一旦初始攻击成功,攻击者可以通过操纵根文件系统或安装特制的VIP微控制器软件,获得对车辆网络的无限制访问。

7、GuLoader黑客活动针对欧洲工业和工程公司

https://www.cadosecurity.com/blog/guloader-targeting-european-industrial-companies

安全研究人员最近发现了一项针对欧洲工业和工程公司的GuLoader活动。GuLoader 是一种规避性shellcode下载器,用于提供远程访问木马(RAT),自2019年以来一直被威胁行为者使用并继续发展。此次攻击活动主要通过鱼叉式网络钓鱼邮件进行初始访问,目标包括罗马尼亚、波兰、德国和哈萨克斯坦等国家的电子制造、工程和工业公司。攻击者通过发送包含订单查询的电子邮件,附件中附带压缩文件(如ISO、7z、gzip、RAR)。这些邮件通常来自虚假公司或被劫持的账户,常常劫持现有的邮件线程或请求订单信息,以增加欺骗性。邮件附件中的批处理文件包含经过混淆的PowerShell脚本,目的是规避检测。

8、攻击者通过Excel文件传播新型Remcos RAT变种

https://hackread.com/hackers-use-excel-files-remcos-rat-variant-windows/

网络安全研究人员发现了新的Remcos RAT(远程访问木马)变种,这是一种通过高级技术感染Windows系统、窃取数据并实现远程控制的危险恶意软件。该攻击活动是通过伪造成订单通知的欺骗性网络钓鱼邮件发起,附件是一个带有OLE对象的Excel文档。当用户打开这个恶意Excel文档时,CVE-2017-0199漏洞被利用来下载并执行一个HTML应用程序(HTA)文件。其中CVE-2017-0199是一个远程代码执行漏洞,它利用Microsoft Office和WordPad对特定文件的解析,使Excel能够显示内容。HTA文件经过多层混淆,使用JavaScript、VBScript、Base64编码、URL编码和PowerShell编写,主要用于下载恶意可执行文件(dllhost.exe),并通过32位PowerShell进程执行它,提取并部署Remcos RAT。

9、GodFather恶意软件瞄准全球500个银行和加密应用

https://cyble.com/blog/godfather-malware-targets-500-banking-and-crypto-apps-worldwide/

安全研究员最近发现了GodFather安卓银行木马的新型变种通过钓鱼网站分发,并跟踪访问者数量以规划进一步行动。其中一个钓鱼网站“mygov-au[.]app”伪装成澳大利亚政府的官方MyGov网站。该变种现已瞄准超过500个银行和加密货币应用程序。最初,GodFather主要集中在英国、美国、土耳其、西班牙和意大利等地,但现在已扩展到日本、新加坡、希腊和阿塞拜疆。该新变种将Java代码转为Native代码,增加了检测和分析的难度,利用辅助功能来捕获目标应用的凭证,降低用户警觉。新并且增加了新的命令,使木马能够自动化手势操作,模拟用户行为,执行未经授权的交易。

10、命令注入漏洞威胁 61,000 多个 D-Link NAS 设备

https://securityonline.info/cve-2024-10914-cvss-9-2-command-injection-flaw-threatens-61000-d-link-nas-devices

D-Link NAS 设备中发现了一个严重漏洞 CVE-2024-10914,对全球超过 61,000 个系统构成严重风险。该缺陷是“account_mgr.cgi”脚本中的命令注入漏洞,允许远程攻击者通过特制的 HTTP GET 请求执行任意命令。此问题影响多个 D-Link NAS 型号,包括 DNS-320、DNS-320LW、DNS-325 和 DNS-340L, CVSSv4 评分为 9.2 ,表明严重级别较高。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。