当前位置: 首页 > 行业资讯 > 网络安全日报 2023年10月23日

网络安全日报 2023年10月23日

发表于:2023-10-23 08:18 作者: 蚁景网安实验室 阅读数(2281人)

1、Complaint Stealer针对加密货币钱包和酒店业

https://cofense.com/blog/new-complaint-stealer-malware-escalates/

近日,一系列传播新型恶意软件“Complaint Stealer”的网络钓鱼活动开始升级。这种恶意软件是一种信息窃取器,可以盗取用户的加密货币钱包和程序,以及浏览器中存储的凭据。Complaint Stealer还对显卡和其他与加密货币挖矿相关的信息表现出异常的兴趣,因此加密货币挖矿可能是其后续功能。Complaint Stealer还经常利用一些合法的软件,如AutoIT或PKWARE。目前发现的所有样本都使用相同的C2位置。这次活动使用了社会工程学技巧,类似于最近发生在MGM、凯撒等豪华酒店度假村的数据泄露事件。这些网络钓鱼活动都针对酒店客户,以住宿、员工行为等方面的投诉为主题。这些活动绕过了多个安全电子邮件网关(SEG),包括思科Ironport和微软ATP。传播Complaint Stealer的网络钓鱼活动都使用从嵌入式mega [.]nz URL下载的密码保护的压缩文件来传递恶意软件。

2、警方查封Ragnar Locker勒索软件的暗网勒索站点

https://www.bleepingcomputer.com/news/security/ragnar-locker-ransomwares-dark-web-extortion-sites-seized-by-police/

Ragnar Locker是一种针对Windows和Linux的勒索软件,它可以从受感染的机器中窃取信息,使用Salsa20加密算法加密文件,并要求受害者支付赎金以恢复数据。Ragnar Locker团伙以使用双重勒索的策略而闻名,即如果受害者拒绝支付赎金,他们的数据就会被公开到暗网上。据报道,一组国际执法机构已经查封了Ragnar Locker团伙使用的暗网门户网站。Ragnar Locker网站上现在显示一条消息,称“这个服务已经被一部分针对Ragnar Locker团伙的国际协调执法行动查封”。据查封通知显示,该行动涉及来自美国、欧盟和日本的执法机构。目前尚不清楚该行动的规模,也不清楚该团伙的基础设施是否也被查封,是否有任何人被逮捕,或者是否有任何被盗资金被追回。

3、Crambus针对中东政府发起新一轮攻击

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/crambus-middle-east-government

Crambus是一个伊朗的间谍组织,长期针对多个国家的目标进行情报收集和监视活动。最近,该组织在2023年2月至9月期间,对中东某国政府进行了为期八个月的入侵。在入侵过程中,攻击者窃取了文件和密码,并在一台计算机上安装了一个PowerShell后门(被称为PowerExchange),用于监视Exchange服务器上的收件箱,执行攻击者通过邮件发送的命令,并将结果偷偷转发给攻击者。研究人员在至少12台计算机上发现了恶意活动,还有证据表明攻击者在数十台计算机上部署了后门和键盘记录器。除了部署恶意软件,攻击者还经常使用公开的网络管理工具Plink来配置被感染机器上的端口转发规则,从而实现远程桌面协议(RDP)的远程访问。还有证据表明攻击者修改了Windows防火墙规则,以便实现远程访问。在这次攻击中,Crambus使用了三个之前未被发现的恶意软件,以及一个已知的后门PowerExchange,但之前尚未被归因于Crambus。

4、恶意广告商使用Google广告来定位搜索流行软件的用户

https://www.malwarebytes.com/blog/threat-intelligence/2023/10/the-forgotten-malvertising-campaign

恶意广告活动是指利用合法的广告平台或网络来传播恶意软件或勒索软件的一种网络攻击方式。近几周,安全研究人员发现,通过谷歌搜索引擎的恶意广告活动有所增加,一些威胁行为者改进了他们的技术,以逃避整个交付链中的检测。研究人员介绍了一个似乎完全被忽视的恶意广告活动,它在用户指纹识别和分发时间敏感的有效载荷方面具有独特性。该活动针对Notepad++等流行的Windows文本编辑器或类似的软件程序,如PDF转换器。当用户点击这些恶意广告时,会发生第一级别的过滤,可能是一个IP检查,排除VPN和其他非真实IP地址,并显示一个诱饵网站。然而,目标用户会看到一个托管在notepadxtreme[.]com的真实Notepad++网站的副本。当用户点击下载链接时,会发生第二级别的过滤,其中JavaScript代码执行系统指纹识别。作者之前观察到一些恶意广告活动检查模拟器或虚拟机的存在,这里也是如此,尽管使用的代码不同且更复杂。如果任何检查不匹配,用户将被重定向到合法的Notepad++网站。

5、思科IOS XE软件中的零日漏洞被利用,植入恶意Lua后门

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

思科在周五发布了一份更新的通告,警告其IOS XE软件中存在一个新的零日漏洞,该漏洞已被一个未知的威胁行为者利用,向易受攻击的设备植入了一个恶意的Lua后门。该漏洞被追踪为CVE-2023-20273(CVSS评分:7.2),与Web UI功能中的一个提权漏洞有关,据说已与CVE-2023-20198一起作为一个利用链被使用。思科表示,攻击者首先利用CVE-2023-20198获得初始访问,并发出一个特权15命令,创建一个本地用户和密码组合。这允许用户以普通用户访问权限登录。然后,攻击者利用Web UI功能的另一个组件,利用新创建的本地用户提升到root权限,并将后门写入文件系统,这个缺陷被分配了标识符CVE-2023-20273。

6、Okta支持系统被盗用凭证入侵,部分客户数据泄露

https://sec.okta.com/harfiles

Okta是一家提供身份服务的公司,拥有超过1.7万个客户和5亿个用户。在周五,Okta披露了一起新的安全事件,称一个未知的威胁行为者利用了一个被盗的凭证,访问了其支持案例管理系统。该系统用于处理客户的技术问题和请求。Okta的首席安全官David Bradbury表示,“威胁行为者能够查看某些Okta客户作为最近支持案例的一部分上传的文件”。他还强调,Okta支持案例管理系统与Okta生产服务是分开的,后者没有受到影响。但是,他也警告说,客户支持系统有时会用于上传HTTP归档(HAR)文件,以复制用户或管理员的错误,以便进行故障排除。它进一步表示,它与受影响的客户合作,确保嵌入的会话令牌被撤销,以防止滥用。Okta没有透露攻击的规模、发生时间和发现时间。目前已知受到攻击的客户包括BeyondTrust和Cloudflare。

7、BlackCat勒索软件使用新策略进行隐蔽攻击

https://unit42.paloaltonetworks.com/blackcat-ransomware-releases-new-utility-munchkin/

BlackCat(也称ALPHV)勒索软件团伙最近使用了一种新的名为“Munchkin”的Linux虚拟机,来加强其攻击的隐蔽性和持久性。Munchkin是一个定制的Alpine OS Linux发行版,以ISO文件的形式提供。在入侵设备后,威胁行为者安装VirtualBox,并使用Munchkin ISO文件创建一个新的虚拟机。然后,在虚拟机中执行恶意代码,对受害者的系统进行加密和破坏。BlackCat勒索软件最初于2021年11月被发现,是一种基于RansomEXX的变种。它主要针对政府、教育、医疗、能源和制造等行业的组织。它使用了多种技术来避免被检测和分析,如删除阴影卷、禁用恢复模式、清除事件日志、杀死安全进程等。

8、SolarWinds ARM产品存在三个严重远程代码执行漏洞

https://documentation.solarwinds.com/en/success_center/arm/content/release_notes/arm_2023-2-1_release_notes.htm

SolarWinds是一家提供网络管理和监控软件的公司,其访问权限管理器(ARM)是一款用于审计和控制网络资源访问权限的解决方案。近日,该产品被发现存在三个严重的远程代码执行(RCE)漏洞,分别是CVE-2023-35182、CVE-2023-35185和CVE-2023-35187。这些漏洞都是由于产品在处理不可信数据时存在反序列化漏洞而导致的,攻击者可以利用这些漏洞在SolarWinds ARM服务器上执行任意代码,无需身份验证。SolarWinds已经发布了安全更新,修复了这些漏洞,并建议用户尽快升级到最新版本。这不是SolarWinds第一次遭遇安全问题,去年该公司就曾经发生过一起严重的供应链攻击事件,影响了数千家客户。

9、卡西欧披露数据泄露影响了149个国家的客户

https://world.casio.com/information/1018-incident/

卡西欧是一家日本电子产品制造商,其ClassPad是一款面向教育领域的平台,提供数学、科学和编程等功能。近日,该公司透露,其ClassPad的服务器遭到黑客入侵,导致来自149个国家/地区的客户的数据被泄露。卡西欧于10月11日检测到该事件,原因是开发环境中的ClassPad数据库发生故障。有证据表明,黑客在10月12日访问了客户信息,包括姓名、电子邮件地址、密码、电话号码、学校名称等。截至10月18日,黑客获得了日本客户的91921条记录,以及其它148个国家/地区客户的35049条记录。尽管被入侵的数据库目前无法访问,但ClassPad.net应用仍在运行。卡西欧已经通知了受影响的客户,并建议他们更改密码和其他敏感信息。该公司还表示正在与相关部门合作,调查事件的原因和影响,并采取措施防止类似事件再次发生。

10、最新报告:71%的AI检测器无法检测出ChatGPT撰写的钓鱼邮件

https://www.freebuf.com/articles/paper/380801.html

近日,邮件安全公司Egress发布的《2023年网络钓鱼威胁趋势报告》对迄今为止的流行网络钓鱼趋势进行了分析。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。