https://www.truesec.com/hub/blog/darkgate-loader-delivered-via-teams
一个新的网络钓鱼活动正在滥用 Microsoft Teams 消息来发送安装 DarkGate Loader 恶意软件的恶意附件。该活动于 2023 年 8 月下旬开始,当时发现两个受感染的外部 Office 365 帐户向其他组织发送了 Microsoft Teams 网络钓鱼消息。这些帐户被用来诱骗其他 Microsoft Teams 用户下载并打开名为“Changes to the vacation schedule.”的 ZIP 文件。单击附件会触发从 SharePoint URL 下载 ZIP,其中包含伪装成 PDF 文档的 LNK 文件。研究人员分析了 Microsoft Teams 网络钓鱼活动,发现其中包含恶意 VBScript,该脚本会触发感染链,从而导致识别为 DarkGate Loader 的有效负载。为了尝试逃避检测,下载过程利用 Windows cURL 来获取恶意软件的可执行文件和脚本文件。该脚本经过预编译,将其恶意代码隐藏在文件中间,以与 AutoIT 脚本相关的可区分的字节开头。
思科警告称,其思科自适应安全设备 (ASA) 和思科 Firepower 威胁防御 (FTD) 中存在 CVE-2023-20269 零日漏洞,勒索软件操作会积极利用该漏洞来获取对企业网络的初始访问权限。中等严重性的零日漏洞影响 Cisco ASA 和 Cisco FTD 的 VPN 功能,允许未经授权的远程攻击者对现有帐户进行暴力攻击。通过访问这些帐户,攻击者可以在受攻击组织的网络中建立无客户端 SSL VPN 会话,这可能会产生不同的影响,具体取决于受害者的网络配置。本周,思科确认了这些勒索软件团伙利用的零日漏洞的存在,并在临时安全公告中提供了解决方法。但是,受影响产品的安全更新尚不可用。CVE-2023-20269 缺陷位于 Cisco ASA 和 Cisco FTD 设备的 Web 服务接口内,特别是处理身份验证、授权和计费 (AAA) 功能的功能。该漏洞是由于 AAA 功能和其他软件功能不正确分离造成的。这会导致攻击者可以向 Web 服务接口发送身份验证请求以影响或破坏授权组件。由于这些请求没有限制,攻击者可以使用无数的用户名和密码组合来暴力破解凭据,而不会受到速率限制或滥用阻止。
https://thehackernews.com/2023/09/new-hijackloader-modular-malware-loader.html
一种名为 HijackLoader 的新型恶意软件加载程序正在网络犯罪社区中获得关注,它可以提供各种有效负载,例如DanaBot、SystemBC和RedLine Stealer。尽管 HijackLoader 不包含高级功能,但它能够使用各种模块进行代码注入和执行,因为它使用模块化架构,这是大多数加载器不具备的功能。研究人员于 2023 年 7 月首次发现该恶意软件,它采用了多种技术来隐藏在雷达之下。这涉及使用系统调用来逃避安全解决方案的监控、基于嵌入式阻止列表监控与安全软件相关的进程,以及在不同阶段推迟代码执行多达 40 秒。目前尚不清楚用于渗透目标的确切初始访问向量。尽管存在反分析方面的问题,加载程序还是打包在一个主检测模块中,该模块有助于使用嵌入式模块进行灵活的代码注入和执行。通过在 Windows 启动文件夹中创建快捷方式文件 (LNK) 并将其指向后台智能传输服务 ( BITS ) 作业,可以实现在受感染主机上的持久性。HijackLoader 是一种具有规避技术的模块化加载程序,它为恶意负载提供了多种加载选项,而且,它没有任何高级功能,代码质量很差。
https://securityaffairs.com/150657/hacking/google-fixed-the-fourth-chrome-zero-day-of-2023.html
Google 推出了紧急安全更新,以解决在野外被积极利用的新 Chrome 零日漏洞 (CVE-2023-4863)。
https://securityaffairs.com/150632/cyber-crime/uk-us-sanctioned-11-trickbot-gang-members.html
英国和美国政府又制裁了 11 名被指控为俄罗斯 TrickBot 网络犯罪团伙成员的个人。
https://thehackernews.com/2023/09/vietnamese-hackers-deploy-python-based.html
一种新的网络钓鱼攻击利用 Facebook Messenger 传播来自“大量虚假和被劫持的个人帐户”的带有恶意附件的消息,最终目标是接管目标帐户。
https://www.freebuf.com/news/377615.html
近日,谷歌应用商店中出现了伪装成Telegram修订版的间谍软件,该软件可入侵安卓设备并获取敏感信息。卡巴斯基安全研究员Igor Golovin表示,这种恶意软件不仅可以窃取用户的姓名、ID、联系人、电话号码和聊天信息,还能将这些信息传输至恶意行为者的服务器上。卡巴斯基将这种活动命名为 Evil Telegram。
https://arstechnica.com/?p=1966378
隐私沙盒(Privacy Sandbox)将取代第三方 Cookie,它通过用户的浏览历史跟踪用户的兴趣,允许广告商根据兴趣展示广告,而用户可以管理兴趣并对其归类分组。
网络犯罪分子正在滥用 Google Looker Studio 创建假冒加密货币网络钓鱼网站,对数字资产持有者进行网络钓鱼,从而导致帐户被接管和财产损失。
https://www.freebuf.com/news/377626.html
Cyber News的一项调查研究显示,全球多所顶尖高校的网站未能及时更新安全补丁,存在敏感信息泄露,甚至被攻击者全面接管的风险。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。