https://www.cisa.gov/sites/default/files/2023-08/CSRB_Lapsus%24_508c.pdf
美国政府分析了 Lapsus$ 勒索组织利用 SIM 交换等简单技术破坏数十个安全态势良好的组织并发布了一份报告。Lapsus$ 是一个组织松散的团体,主要由青少年组成,成员来自英国和巴西,他们在 2021 年至 2022 年间从事活动,目的是为了恶名、经济利益或娱乐。他们还将各种复杂的技术与“创造力的闪光”结合起来。去年 12 月, 在 Lapsus$ 泄露了所谓受害者的专有数据后,发生了一系列归因于或由 Lapsus$ 声称的事件后,对该组织的运作进行了审查 。
https://securelist.com/focus-on-droxidat-systembc/110302/
研究人员发现部署到关键基础设施目标的SystemBC 后门的新变体DroxiDat。在此次活动中,具有代理功能的后门与 Cobalt Strike 信标一起部署在南非国家的关键基础设施中。DroxiDat有效负载组件是一个不断变化的恶意后门。之前 SystemBC 有效负载中提供的大部分功能已从其代码库中剥离,而该 DroxiDat 恶意软件变体的目的是一个简单的系统分析器,其文件名表明其用例为“syscheck.exe”。它不提供下载和执行功能,但可以与远程侦听器连接并来回传递数据,以及修改系统注册表。
研究人员观察到针对北约联盟国家外交部的两份 PDF 文档。这些 PDF 文件伪装成来自德国大使馆,并包含两个外交邀请诱饵文件。其中一个 PDF 提供了 Duke 的变种,这是一种与俄罗斯国家资助的 APT29 网络间谍活动相关的恶意软件。另一个文件很可能用于测试或侦察,因为它不包含有效负载,但如果受害者打开电子邮件附件,则会通知攻击者。APT29使用 Zulip(一款开源聊天应用程序)进行命令和控制,以逃避并将其活动隐藏在合法的网络流量后面。
https://cybersecurity.att.com/blogs/labs-research/mac-systems-turned-into-proxy-exit-nodes-by-adload
AdLoad 恶意软件在 2017 年首次出现多年后,仍在感染 Mac 系统。AdLoad 是一个软件包捆绑器,据观察,它在其存在期间提供了广泛的有效负载。研究人员在对其最新有效负载进行调查期间发现,AdLoad 在过去一年中删除的最常见组件是代理应用程序,该代理应用程序将 MacOS AdLoad 受害者变成一个巨大的住宅代理僵尸网络。
CODESYS V3软件开发套件 (SDK)中披露了一组 16 个高严重性安全漏洞,这些漏洞可能导致特定条件下的远程代码执行和拒绝服务,从而给运营技术 (OT) 环境带来风险。这些漏洞从追踪为 CVE-2022-47378 到 CVE-2022-47393,被称为CoDe16,CVSS 评分为 8.8,但 CVE-2022-47391 除外,其严重程度为 7.5。其中十二个缺陷是缓冲区溢出漏洞。
https://www.infosecurity-magazine.com/news/flaws-wordpress-avada-theme-plugin/
Avada 主题及其随附的 Avada Builder 插件中已发现多个漏洞。安全研究员发现的这些安全漏洞使大量 WordPress 网站面临潜在的漏洞。在这些漏洞中,Avada Builder 插件存在两个。第一个是经过身份验证的 SQL 注入 (CVE-2023-39309)。利用此漏洞,拥有经过身份验证的访问权限的攻击者可能会破坏敏感数据并可能执行远程代码。第二个是反射跨站脚本 (XSS) 漏洞 (CVE-2023-39306),使未经身份验证的攻击者能够窃取敏感信息,并可能提高他们在受影响的 WordPress 网站上的权限。
警方已经控制了 Lolek 防弹托管提供商,逮捕了五个人并没收了涉嫌为 Netwalker 勒索软件攻击和其他恶意活动提供便利的服务器。防弹托管提供商是一家对其服务器上的犯罪活动或托管受版权保护材料的报告视而不见的托管公司。与传统公司相比,网络犯罪分子更喜欢这些类型的托管提供商,因为他们可以发起网络犯罪活动,而不必担心在报告恶意活动后他们会被关闭。
https://blog.syss.com/posts/zero-touch-pwn/
奥科桌面电话和 Zoom 的零接触配置 ( ZTP )中已披露多个安全漏洞,恶意攻击者可能利用这些漏洞进行远程攻击。外部攻击者利用奥科桌面电话和 Zoom 零接触配置功能中发现的漏洞,可以获得对设备的完全远程控制。然后,不受限制的访问可以被武器化,以窃听房间或电话、通过设备进行攻击并攻击公司网络,甚至构建受感染设备的僵尸网络。
福特警告称,许多福特和林肯汽车所使用的 SYNC3 信息娱乐系统存在缓冲区溢出漏洞,该漏洞可能允许远程执行代码,但表示车辆驾驶安全不会受到影响。SYNC3 是一款现代信息娱乐系统,支持车载 WiFi 热点、电话连接、语音命令、第三方应用程序等。该漏洞被追踪为 CVE-2023-29468,位于汽车信息娱乐系统中集成的 WiFi 子系统的 WL18xx MCP 驱动程序中,该漏洞允许 WiFi 范围内的攻击者使用特制的帧触发缓冲区溢出。
https://thehackernews.com/2023/08/multiple-flaws-in-cyberpower-and.html
影响 CyberPower 的 PowerPanel 企业数据中心基础设施管理 (DCIM) 平台和 Dataprobe 的 iBoot 配电单元 (PDU) 的多个安全漏洞可能会被利用来获得对这些系统的未经身份验证的访问,并在目标环境中造成灾难性损坏。这九个漏洞(从 CVE-2023-3259 到 CVE-2023-3267)的严重程度评分从 6.7 到 9.8 不等,使威胁行为者能够关闭整个数据中心并破坏数据中心部署,以窃取数据或大规模发动大规模攻击。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。