当前位置: 首页 > 行业资讯 > 网络安全日报 2023年10月20日

网络安全日报 2023年10月20日

发表于:2023-10-20 08:40 作者: 蚁景网安实验室 阅读数(2116人)

1、朝鲜黑客利用TeamCity漏洞发动攻击

https://www.microsoft.com/en-us/security/blog/2023/10/18/multiple-north-korean-threat-actors-exploiting-the-teamcity-cve-2023-42793-vulnerability/

据研究人员透露,被称为Diamond Sleet和Onyx Sleet的朝鲜国家级威胁行为者正在利用影响JetBrains TeamCity服务器多个版本的远程代码执行漏洞。TeamCity是一款用于构建管理和持续集成的DevOps工具,拥有超过3万名全球用户,包括耐克、法拉利、花旗银行和育碧等知名企业。该漏洞被标记为CVE-2023-42793,于9月21日由JetBrains发布了一个紧急安全更新来修复。研究人员表示该漏洞允许未经身份验证的攻击者在TeamCity本地服务器上执行任意代码,从而窃取源代码、服务密钥和私钥。朝鲜黑客利用该漏洞进行间谍活动、数据窃取、金钱获取和网络破坏。他们以媒体、IT服务和国防相关实体为主要目标,覆盖全球范围。

2、Qubitstrike利用Jupyter Notebook挖矿和窃取云数据

https://www.cadosecurity.com/qubitstrike-an-emerging-malware-campaign-targeting-jupyter-notebooks/

Qubitstrike是一种新发现的恶意软件,它针对暴露在互联网上的Jupyter Notebook进行攻击,旨在非法挖掘加密货币和窃取云服务提供商的凭证。Jupyter Notebook是一种开源的交互式计算环境,用于数据分析、机器学习和科学研究。Qubitstrike的攻击者利用Shodan等服务搜索易受攻击的Jupyter Notebook,并通过Jupyter的终端功能执行命令,从Codeberg.org下载一个名为mi.sh的shell脚本。Codeberg.org是一个类似于GitHub的代码托管平台,这是首次被发现用于分发恶意软件。mi.sh脚本是Qubitstrike的主要载荷,它负责执行加密货币挖矿程序,通过cron作业建立持久性,向.ssh/authorized_keys文件中插入攻击者控制的密钥以实现远程访问,并通过SSH将恶意软件传播到其他主机。该恶意软件还能够检索和安装Diamorphine rootkit来隐藏恶意进程,并通过Telegram bot API将捕获的Amazon Web Services (AWS)和Google Cloud凭证发送回攻击者。Qubitstrike的攻击者还使用Discord作为命令和控制(C2)机制,通过Discord的bot功能向受感染的主机发送命令,并监控攻击活动的进展。

3、MATA恶意软件框架利用EDR攻击国防企业

https://securelist.com/updated-mata-attacks-industrial-companies-in-eastern-europe/110829/

据报道,一种更新版本的MATA恶意软件框架在2022年8月至2023年5月期间发动了一系列攻击,针对东欧的石油和天然气企业以及国防行业。这些攻击利用鱼叉式钓鱼邮件诱使目标下载恶意可执行文件,利用Internet Explorer中的CVE-2021-26411漏洞启动感染链。更新的MATA框架结合了一个加载器、一个主木马和一个信息窃取器,以在目标网络中植入后门并获得持久性。这个MATA版本与之前与朝鲜黑客组织Lazarus有关的版本类似,但具有更新的功能。在攻击中滥用EDR,网络安全公司在2022年9月发现了这一活动,当时它检查了两个与被入侵组织网络内的命令和控制服务器(C2)通信的MATA样本。进一步的分析显示,被入侵的系统是连接到目标组织多个子公司的财务软件服务器。调查显示,黑客已经将他们的立足点从生产厂的单个域控制器扩展到整个企业网络。攻击继续进行,黑客访问了两个安全解决方案管理面板,一个用于端点保护,一个用于合规性检查。黑客滥用对安全软件管理面板的访问,对组织的基础设施进行监视,并向其子公司传播恶意软件。更新的MATA恶意软件,在适用的情况下,当目标是Linux服务器时,攻击者使用了MATA的Linux变体,以ELF文件的形式,它似乎与Windows植入物的第三代功能类似。

4、恶意广告利用Punycode冒充KeePass网站传播恶意软件

https://www.malwarebytes.com/blog/threat-intelligence/2023/10/clever-malvertising-attack-uses-punycode-to-look-like-legitimate-website

研究人员发布了一篇博客文章,揭露了一种新的恶意广告攻击,该攻击针对KeePass,这是一款开源的密码管理器。该攻击使用了一个特殊的字符编码Punycode,来注册一个与KeePass官方网站非常相似的国际化域名。这种域名在视觉上几乎无法区分,因此很容易欺骗用户。当用户在Google搜索KeePass时,会看到一个带有官方图标和URL的恶意广告,点击后会经过一个跳转服务,最终到达一个假冒的KeePass网站。该网站提供了一个恶意的MSIX安装程序,该安装程序包含了一个属于FakeBat恶意软件家族的恶意PowerShell代码。该代码会与恶意软件的控制服务器通信,并下载一个有效载荷。该攻击活动背后的威胁行为者或组织尚不清楚,但据说它针对了Mac用户,并试图传播Atomic Stealer恶意软件。Atomic Stealer是一种窃取器,可以从浏览器、电子邮件客户端、FTP客户端等应用程序中窃取敏感信息。

5、攻击者称手握300万条D-Link数据,D-Link称只有700条

https://www.freebuf.com/news/381158.html

位于中国台湾地区的全球网络设备和技术公司 D-Link 近期遭到一起数据泄露事件,一名攻击者在 BreachForums 平台上出售来自该公司的被盗数据。攻击者声称窃取了 300 万条个人信息以及 D-Link 的 D-View 网络管理软件的源代码,并提供了 1.2 GB 的存档。被盗数据包括许多台湾政府官员以及该公司首席执行官和员工的信息。D-link称攻击者仅窃取了大约 700 条至少已超过7年的老旧记录。且大部分由低敏感度和半公开信息组成,与其宣称的拥有300万条信息不符。

6、包含名流世家!数百万份 23andMe 基因数据资料被盗

https://www.freebuf.com/news/381144.html

一名网络攻击者在 BreachForums 黑客论坛上泄露了 410 万份被盗的 23andMe 基因数据资料,这些数据主要来自英国和德国。网络攻击者声称被盗数据包括皇室、罗斯柴尔德家族和洛克菲勒家族的基因信息。

7、国家支持的 APT 正在利用 WinRAR 漏洞(CVE-2023-38831)

https://www.freebuf.com/news/381150.html

一些由政府支持的 APT 正在利用 CVE-2023-38831漏洞,这是 WinRAR 中的一个文件扩展名欺骗漏洞。自 2023 年 4 月以来,该漏洞一直被网络犯罪分子作为零日漏洞加以利用,现在也被国家支持的黑客组织所利用。谷歌 TAG 分析师指出:对 WinRAR 漏洞的广泛利用也表明,尽管已经有了补丁,但对已知漏洞的利用依旧活跃且有效。

8、亚马逊添加密钥支持作为新的无密码登录选项

https://www.bleepingcomputer.com/news/security/amazon-adds-passkey-support-as-new-passwordless-login-option/

亚马逊悄悄地为客户添加了密钥支持,作为新的无密码登录选项,提供更好的保护,防止信息窃取恶意软件和网络钓鱼攻击。

9、因未修补的IOS XE漏洞遭攻击的思科设备数量已达到约 40,000 台

https://www.securityweek.com/number-of-cisco-devices-hacked-via-unpatched-vulnerability-increases-to-40000/

据多家网络安全公司称,利用未修补的 IOS XE 漏洞遭到黑客攻击的思科设备数量已达到约 40,000 台。 所利用的漏洞是 CVE-2023-20198,这是一个影响 IOS XE Web 界面的严重缺陷,未经身份验证的远程攻击者可以利用该漏洞进行权限升级。 思科尚未发布补丁,该公司警告称,该漏洞至少从 9 月中旬起就已被作为零日漏洞利用。

10、lackCat Group 采用新策略规避安全检测

https://cyware.com/news/blackcat-group-adopts-a-new-tactic-to-circumvent-security-solutions-8257dfd9

BlackCat 组织再次在其武器库中添加了一个新工具,以逃避不同供应商提供的安全解决方案的检测。攻击者创建了一个名为 Munchkin 的新实用程序,允许他们在远程计算机上运行勒索软件负载,或加密远程服务器消息块 (SMB)/通用 Internet 文件共享 (CIFS)。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。