https://blog.talosintelligence.com/tinyturla-full-kill-chain/
据研究人员最新发布的报告,与俄罗斯有关联的网络威胁行动组织Turla,成功侵入了一个未命名欧洲非政府组织(NGO)的多个系统,并部署了名为TinyTurla-NG(TTNG)的后门程序。攻击者首次渗透系统后,建立了持久性并修改了端点上运行的防病毒产品设置。此后,通过一个名为Chisel的通讯渠道来窃取数据,并向网络中其他可访问的系统拓展其控制范围。有证据显示,这些系统最早在2023年10月就已遭到破坏,Chisel在2023年12月部署,数据窃取活动在2024年1月12日左右发生。TinyTurla-NG首次被记录是在上个月,当时它被用于针对一家支持乌克兰抵抗俄罗斯入侵的波兰NGO的网络攻击中。攻击链条涉及Turla利用初期访问权限配置Microsoft Defender防病毒排除项来躲避检测,并部署TinyTurla-NG,该恶意软件被伪装成一个名为“System Device Manager”的服务以实现持久化。TinyTurla-NG作为一个后门,用于进行后续侦察、将感兴趣的文件窃取到命令与控制(C2)服务器,以及部署定制版本的Chisel隧道软件。具体的入侵途径仍在调查中。一旦攻击者获得对新系统的访问权限,他们将重复创建Microsoft Defender排除项、部署恶意组件并实现持久化的活动。
https://unit42.paloaltonetworks.com/strelastealer-campaign/
研究人员最新发现了一波针对性的网络钓鱼攻击,这次攻击主要通过传播名为StrelaStealer的信息窃取恶意软件。据研究人员发布的报告,这次攻击波及了超过100家欧盟和美国的组织。研究者发现,攻击者通过垃圾邮件附件的形式散布恶意软件,并不断更换邮件附件文件格式以躲避安全检测。StrelaStealer主要用于盗取知名邮件客户端的登录数据,并将其传送至攻击者控制的服务器。自2022年11月首次揭露StrelaStealer以来,研究人员在2023年11月和2024年1月监测到两次大规模使用该恶意软件的攻击行动,目标涉及高科技、金融、专业及法律、制造业、政府、能源、保险以及建筑行业。此外,攻击者还传播了采用更多混淆和反分析技术的新变种,并改用装有ZIP附件的发票主题邮件。ZIP压缩包内含有JavaScript文件,该文件会释放一个批处理文件进而运行恶意的DLL载荷。恶意软件还利用多种混淆手段,使得在沙箱环境中的分析变得困难。与此同时,Broadcom旗下的Symantec公司揭露,伪造的知名软件安装程序或在GitHub、Mega或Dropbox上托管的破解软件正成为传播名为Stealc的窃取恶意软件的渠道。另有研究显示,钓鱼活动还传播了Revenge RAT和Remcos RAT(又名Rescoms),其中后者是通过名为AceCryptor的加密程序即服务(CaaS)传播的。
亚马逊网络服务(AWS)近期修复了其托管的Apache Airflow(MWAA)服务中的一个关键安全漏洞。根据研究人员的报告,此漏洞允许恶意攻击者劫持用户会话,并可能在底层实例上实现远程代码执行。这一漏洞被Tenable公司命名为FlowFixation,并已由AWS地址解决。Tenable的高级安全研究员在一项技术分析中指出,攻击者在接管受害者账户后,可以执行读取连接字符串、添加配置以及触发有向无环图(DAGS)等任务。在某些情况下,此类操作可能会在MWAA底层实例上导致远程代码执行(RCE),并横向移动到其他服务。漏洞的根本原因是AWS MWAA的网络管理面板上存在会话固定现象,以及AWS域配置错误,从而导致跨站脚本攻击(XSS)。会话固定是一种网络攻击技术,当用户被服务认证而不使任何现有会话标识符无效时,就会发生这种情况。这使得敌手可以强行将一个已知的会话标识符固定到用户上,以便一旦用户完成认证,攻击者就可以访问已认证的会话。利用这一短板,攻击者可以迫使受害者使用并验证攻击者已知的会话,最终接管受害者的网络管理面板。
一种名为"GoFetch"的新型旁道攻击手段影响了苹果的M1、M2和M3处理器,此攻击手段可用于从CPU缓存中窃取密钥。GoFetch攻击利用现代苹果CPU中的数据存储器依赖预取器(DMPs),并瞄准了执行时间恒定的密码实现,从而重建包括OpenSSL Diffie-Hellman、Go RSA、CRYSTALS Kyber和Dilithium在内的多种算法的私钥。这一攻击由来自美国多所大学的七名研究人员开发,并于2023年12月5日向苹果报告了他们的发现。然而,由于这是一个基于硬件的漏洞,目前无法在受影响的CPU中修复它。虽然可以通过软件修复来减轻缺陷,但这会影响这些CPU的密码功能的性能。研究者们发现了苹果DMP系统实现中的一个缺陷,违反了恒定时间编程方式的良好实践原则。攻击者可以精心制作特殊输入,诱使预取器解引用数据,如果正确猜测了密钥的某些位,则该数据将呈现为指针。然后,他们观察DMP是否激活,逐渐推断出密钥的位。通过反复执行这一过程,可以逐步重建整个密钥。
KDE团队警告Linux用户安装全局主题时要极为谨慎,哪怕是从官方KDE Store下载。这些主题通过运行任意代码来自定义桌面外观,但KDE Store目前允许任何人上传新的主题和插件,且没有恶意行为检查机制。KDE坦言,目前缺乏资源去审查提交到官方商店中每个全局主题的代码。如果这些主题存在缺陷或恶意设计,可能会导致不可预料的后果。在一个Reddit帖子中,至少有一名用户在安装某个全局Plasma主题后,个人文件被擦除。该主题使用了危险的UNIX命令'rm -rf'删除了挂载驱动器上的所有个人数据,这一命令会强制递归删除目录内容,不提供任何警告且不提示确认。KDE团队承诺将开始对商店内容进行审查,并改善系统在用户安装社区开发的主题和插件之前显示的警告。同时,KDE呼吁社区举报KDE商店中已有的有问题软件。在此之前,用户在安装全局主题时仍会收到警告,提示内容未经发行版审核。直到KDE或用户所用的发行版直接提供的软件外,KDE建议用户在安装和运行软件时保持警惕。
https://therecord.media/north-korea-cryptocurrency-hacks-un-experts
在 3 月 7 日发布的一份报告中,联合国专家表示,他们追踪了 2017 年至 2023 年间“隶属于侦察总局 (RGB) 的网络威胁行为者,包括 Kimsuky、Lazarus Group、Andariel 和 BlueNoroff”的活动。
https://www.freebuf.com/articles/395806.html
3 月 22 日,国家互联网信息办公室公布《促进和规范数据跨境流动规定》,自公布之日起施行。
https://securityaffairs.com/160851/hacking/loop-dos-attack.html
该攻击通过配对使用UDP协议的服务器,并利用IP伪造技术,诱导它们进入一个无限循环的通信状态。
https://www.ithome.com/0/757/461.htm
专家表示该漏洞存在于多玛凯拔的 Saflok MT 系列、Quantum 系列、RT 系列、Saffire 系列、Confidant 系列和所有其它 Saflok 品牌的锁产品。
在对 Sign1 恶意软件详细分析后,Sucuri 指出该恶意软件使用了基于时间戳的随机化生成动态 URL,每 10 分钟就会更新一次,以躲避安全拦截。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
