https://support.apple.com/en-us/HT213961
Apple 发布了紧急安全更新,以修补针对 iPhone 和 iPad 用户的攻击中利用的新的零日安全漏洞。该公司在周三发布的一份咨询报告中表示:“苹果公司了解到有报告称,iOS 16.6 之前的 iOS 版本可能已积极利用此问题。”零日漏洞 (CVE-2023-42824) 是由 XNU 内核中发现的一个漏洞引起的,该漏洞使本地攻击者能够在未修补的 iPhone 和 iPad 上升级权限。尽管苹果表示已通过改进检查解决了 iOS 17.0.3 和 iPadOS 17.0.3 中的安全问题,但尚未透露是谁发现并报告了该漏洞。苹果还解决了一个被追踪为CVE-2023-5217的零日漏洞,该漏洞是由开源 libvpx 视频编解码器库的 VP8 编码中的堆缓冲区溢出漏洞 引起的,该漏洞可能允许在成功利用后执行任意代码。
澳大利亚软件公司 Atlassian 发布了紧急安全更新,以修复其 Confluence 数据中心和服务器软件中已被利用的最高严重性零日漏洞。该公司表示:“Atlassian 已意识到少数客户报告的一个问题,外部攻击者可能利用可公开访问的 Confluence 数据中心和服务器实例中以前未知的漏洞来创建未经授权的 Confluence 管理员账户并访问 Confluence 实例。”这个严重的权限提升漏洞被追踪为 CVE-2023-22515,影响 Confluence Data Center 和 Server 8.0.0 及更高版本,并且被描述为可在不需要用户交互的低复杂性攻击中远程利用。
思科发布了安全更新来修复思科紧急响应程序 (CER) 漏洞,该漏洞允许攻击者使用硬编码凭据登录未修补的系统。CER 通过实现 IP 电话的准确位置跟踪来帮助组织有效应对紧急情况,从而将紧急呼叫路由到适当的公共安全应答点 (PSAP)。该安全漏洞编号为 CVE-2023-20101,允许未经身份验证的攻击者使用 root 账户访问目标设备,该账户具有无法修改或删除的默认静态凭据。思科 在今天发布的一份公告中解释说:“此漏洞是由于根账户存在静态用户凭据造成的,这些凭据通常保留在开发过程中使用。” 攻击者可以通过使用该账户登录受影响的系统来利用此漏洞。成功利用该漏洞可能允许攻击者登录受影响的系统并以根用户身份执行任意命令。
据观察,黑客试图通过容易受到 SQL 注入攻击的 Microsoft SQL Server 来破坏云环境。微软的安全研究人员报告称,这种横向移动技术之前曾在针对虚拟机和 Kubernetes 集群等其他服务的攻击中出现过。安全研究人员观察到的攻击始于利用目标环境中应用程序中的 SQL 注入漏洞,这使得威胁参与者能够访问 Azure 虚拟机上托管的 SQL Server 实例,并具有执行 SQL 命令和提取有价值数据的提升权限。这包括数据库、表名称、模式、数据库版本、网络配置和读/写/删除权限的数据。如果受感染的应用程序具有提升的权限,攻击者可能会激活“xp_cmdshell”命令以通过 SQL 运行操作系统 (OS) 命令,从而在主机中为它们提供 shell。
https://checkmarx.com/blog/the-evolutionary-tale-of-a-persistent-python-threat/
研究人员观察到,过去半年里,攻击者发起了一场复杂的恶意活动。该活动已在开源平台上植入了数百个信息窃取包,下载量约为 75000 次。自 4 月初以来,Checkmarx 供应链安全团队的分析师一直在监控该活动,他们发现了 272 个包含用于从目标系统窃取敏感数据的代码的软件包。自首次发现以来,这种攻击已经发生了显著的变化,软件包作者实施了越来越复杂的混淆层和检测规避技术。恶意软件可以截取屏幕截图并从受感染的系统中窃取单个文件,例如桌面、图片、文档、音乐、视频和下载目录。受害者的剪贴板也会不断受到监视,以查找加密货币地址,并且恶意软件会将它们与攻击者的地址进行交换,以将付款转移到他们控制下的钱包中。
https://blog.talosintelligence.com/qakbot-affiliated-actors-distribute-ransom/
Qakbot恶意软件背后的威胁行为者自2023年8月初以来一直在开展活动,通过网络钓鱼电子邮件分发Ransom Knight勒索软件和Remcos后门。研究人员将此新活动归因于Qakbot附属机构,因为此活动中使用的LNK文件中发现的元数据与之前Qakbot活动“AA”和“BB”中使用的机器的元数据相匹配。由于这项新行动自2023年8月初以来一直在持续,并且在被关闭后并未停止,因此研究人员认为FBI行动并未影响Qakbot的网络钓鱼电子邮件传送基础设施,而仅影响其命令和控制服务器。鉴于Qakbot活动仍然活跃,他们可能会选择重建Qakbot基础设施,以完全恢复其拆除前的活动。
https://www.theregister.com/2023/10/05/lorenz_ransomware_group_leaks_details/
Lorenz勒索软件团伙是一群自2021年2月起活跃的网络犯罪分子,他们采用双重勒索的手段,即在加密受害者的文件之前,先窃取数据,并威胁如果不支付赎金,就会在暗网上泄露数据。他们主要针对美国、中国和墨西哥的中小型企业,利用Mitel的VoIP漏洞(CVE-2022-29499)等关键漏洞进行攻击。然而,Lorenz团伙最近却陷入了自身数据泄露的尴尬境地。研究人员发现,Lorenz团伙的暗网博客泄露了后端代码,并将数据从网站上拉取下来,上传到了一个公开的GitHub仓库。这些数据包括了过去两年内通过其在线联系表单联系他们的每个人的姓名、电子邮件地址和主题。据该研究人员称,这次泄露是由于Lorenz团伙错误配置了他们的Apache2服务器,导致他们的登录表单泄露了后端PHP代码。在泄露的数据中,有一部分人被《The Register》联系到,并且都证实了他们曾在过去两年内联系过Lorenz团伙。这些数据涉及到2021年6月3日至2023年9月17日之间的联系记录,也就是该联系表单出现故障的日期。
https://www.nis.go.kr:4016/resources/synap/skin/doc.html?fn=NIS_FILE_1696403626891
韩国国家情报院观察到朝鲜黑客在八月和九月对韩国造船厂进行了“密集的黑客攻击”。该机构表示,它正在向造船商通报其系统和网络受到的威胁,并建议主要造船厂进行独立的安全审计,以堵塞数字基础设施中的安全漏洞。韩国国家情报局没有透露目标造船厂的名称,但表示,国家支持的黑客向目标造船厂的内部员工发送了网络钓鱼电子邮件,试图将恶意代码安装到他们的系统中。微软在9月的东亚威胁报告中表示,自2023年1月以来,朝鲜黑客组织还对巴西、捷克共和国、芬兰、意大利、挪威和波兰的国防公司进行了网络攻击,以提高该国的军事能力。
https://www.elliptic.co/blog/record-7-billion-in-crypto-laundered-through-cross-chain-services
据研究人员表示,从2022年7月到2023年7月,朝鲜的Lazarus组织通过跨链犯罪非法洗掉了约9亿美元的加密货币。跨链犯罪是指将加密资产从一个代币或区块链转换到另一个,通常是在很短的时间内,以试图掩盖其来源,这是一种对于加密货币盗窃者来说非常有利的洗钱方法,也是混合器(mixer)等传统手段的替代方案。Lazarus组织利用跨链桥的方式导致了通过这种服务发送的资金比例增加了111%。该黑客组织估计自2023年6月以来已经窃取了近2.4亿美元的加密货币,这些资金来自于对Atomic Wallet(1亿美元)、CoinsPaid(3730万美元)、Alphapo(6000万美元)、Stake.com(4100万美元)和CoinEx(3100万美元)等平台的一系列攻击。该威胁行为者还被发现使用Avalanche Bridge存入了超过9500个比特币,同时使用跨链解决方案来转移一些被掠夺的资产。
WinRAR是一款广泛使用的文件压缩和解压缩软件,支持多种压缩格式,如RAR、ZIP、CAB、ARJ、LZH、TAR、GZip、UUE、ISO、BZIP2、Z和7-Zip。最近,WinRAR修复了一个严重的远程代码执行漏洞(CVE-2023-40477),该漏洞可能允许远程攻击者通过让用户打开一个恶意的压缩文件来在目标系统上执行任意代码。然而,研究人员发现了一些利用该漏洞来传播恶意软件的活动,这些恶意软件包括Apanyan Stealer、Murk Stealer和AsyncRAT。这些恶意软件都是用于窃取用户的敏感信息和远程控制其设备的工具,如密码、浏览器历史记录、剪贴板内容、屏幕截图等。这些利用WinRAR漏洞的活动主要针对那些消费非法内容的用户,如色情视频或盗版软件。攻击者通过伪装成这些非法内容的压缩文件来诱骗用户下载和打开它们,从而导致恶意软件的安装和运行。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。