当前位置: 首页 > 行业资讯 > 网络安全日报 2023年10月30日

网络安全日报 2023年10月30日

发表于:2023-10-30 08:20 作者: 蚁景网安实验室 阅读数(2203人)

1、研究人员揭露类似美国国安局代码的StripedFly恶意软件

https://securelist.com/stripedfly-perennially-flying-under-the-radar/110903/

研究人员在周四发布的报告中,揭露了一种高度复杂的、持续多年的间谍框架,它与美国国家安全局(NSA)相关的恶意软件有相似之处。报告描述了一个名为StripedFly的框架,它能够截屏、获取系统版本信息、窃取网站登录用户名、密码和其他自动填充数据、访问Wi-Fi网络信息(包括密码)、录制麦克风音频,并识别和窃取敏感文件。StripedFly依赖于一个定制的EternalBlue漏洞利用程序——一种2016年泄露到网上的NSA恶意软件——来感染受害者。EternalBlue的使用——它过去也被其他非美国黑客组织滥用过——引发了关于恶意软件是否真的源自美国黑客行动的疑问。但是研究人员发现的恶意软件的其他组件的复杂性则指向了一个精明的行动者。该框架还包括了一个功能性的门罗币加密货币挖矿模块,一个定制的勒索软件变体ThunderCrypt,以及一个定制的Tor客户端,该框架使用它与一个隐藏的命令和控制服务器安全地通信。与该框架相关联的更新机制数据表明,该框架已经感染了超过100万个目标。表面上看,这种恶意软件可能被轻视为一个普通的加密货币挖矿程序。但是加上间谍和安全通信能力,“似乎违背了常规”。虽然不清楚谁是幕后主使者,但“很难接受这样一种复杂而专业设计的恶意软件只为了一个微不足道的目的,鉴于所有相反的证据”。

2、新型攻击利用苹果芯片漏洞窃取Safari浏览器敏感信息

https://ileakage.com/files/ileakage.pdf

研究人员发现了一种名为iLeakage的新型侧信道攻击,该攻击利用了运行在苹果iOS,iPadOS和macOS设备上的A系列和M系列ARM处理器的一个弱点,从而能够从Safari浏览器中提取敏感信息。研究人员称,“攻击者可以让Safari渲染任意网页,然后使用推测执行来恢复其中存在的敏感信息”。在一个实际的攻击场景中,这个弱点可以被一个恶意网页利用,来恢复Gmail收件箱内容,甚至恢复由凭证管理器自动填充的密码。iLeakage不仅是针对苹果硅芯片的第一例Spectre风格的推测执行攻击,而且由于苹果的App Store政策要求浏览器厂商使用Safari的WebKit引擎,因此它也适用于iOS和iPadOS上所有的第三方浏览器。苹果已于2022年9月12日收到了研究人员的报告。这个问题影响了所有自2020年以来发布的使用苹果A系列和M系列ARM处理器的苹果设备。问题的核心是在于,一个网页中嵌入的恶意JavaScript和WebAssembly可以在受害者访问攻击者控制的网页时,偷偷地读取目标网站的内容。这是通过一种微架构侧信道实现的,这种侧信道可以被恶意行为者利用,通过其他变量(如时间、功耗或电磁泄漏)来推断敏感信息。这种侧信道是现代CPU中一种性能优化机制的副产品,该机制称为推测执行,自2018年Spectre曝光以来,它已经成为了多种类似方法的目标。推测执行是一种通过使用空闲的处理周期来以乱序方式执行程序指令的方法,当遇到一个条件分支指令,其方向取决于尚未完成执行的前置指令时。这种技术的基石是做出一个预测,即程序将沿着哪条路径进行,并沿着该路径推测性地执行指令。当预测正确时,任务比正常情况下要快地完成。但当出现错误预测时,推测执行的结果被丢弃,处理器沿着正确路径恢复执行。

3、F5警告BIG-IP存在严重远程代码执行漏洞

https://my.f5.com/manage/s/article/K000137353

F5公司发布了一份安全公告,警告客户其BIG-IP产品存在一个严重的安全漏洞,可能导致未经身份验证的远程代码执行。该漏洞源于配置实用程序组件,已被分配CVE标识符CVE-2023-46747,其CVSS评分为10分中的9.8分。F5公司表示:“该漏洞可能允许未经身份验证的攻击者通过管理端口和/或自身IP地址访问BIG-IP系统,从而执行任意系统命令。这不会影响数据平面;这只是一个控制平面问题。”F5公司还提供了一些缓解措施,包括使用一个shell脚本和阻止配置实用程序通过自身IP地址或管理接口的访问。该漏洞是由Praetorian公司的Michael Weber和Thomas Hendrickson于2023年10月4日发现并报告的。Praetorian公司在其技术报告中将CVE-2023-46747描述为一个身份验证绕过问题,可以导致完全控制F5系统,以root用户身份在目标系统上执行任意命令,并指出它与CVE-2022-26377有密切关系。

4、Lazarus利用合法软件发起新一轮攻击

https://securelist.com/unveiling-lazarus-new-campaign/110888/

Lazarus是一个臭名昭著的网络攻击组织,其下属的一个分支Andariel近期发起了一系列新的攻击活动。这些攻击利用了另一个知名软件的漏洞,通过合法的安全软件传播恶意代码。这些漏洞并不是新发现的,但是由于软件开发商没有及时修复,或者用户没有及时更新,导致了Lazarus可以持续利用这些漏洞进行攻击。该软件开发商也曾多次成为Lazarus的攻击目标,可能是为了窃取其源代码或者破坏其软件供应链。在这些攻击中,Lazarus使用了一个名为SIGNBT的恶意软件,该软件具有复杂的感染链和高级的逃避技术。此外,在受感染系统的内存中还发现了Lazarus常用的LPEClient工具,该工具用于对受害者进行分析和载荷传输,之前曾在针对国防承包商和加密货币行业的攻击中出现过。Lazarus展示了高度的专业性和持久性,其攻击目标涉及多个国家和行业,包括美国、日本、印度、越南和俄罗斯等国家的高端组织。

5、俄罗斯黑客组织APT28破坏法国关键网络

https://www.cert.ssi.gouv.fr/uploads/CERTFR-2023-CTI-009.pdf

据法国国家信息系统安全局ANSSI(国家信息系统安全局)最新发布的一份报告显示,俄罗斯的APT28黑客组织(又名“Strontium”或“Fancy Bear”)自2021年下半年以来,对法国的政府、企业、学校、研究机构和智库进行了大规模的网络攻击。该黑客组织被认为是俄罗斯军事情报服务GRU的一部分,曾经参与过对美国、德国、乌克兰等国家的网络间谍和破坏活动。报告称,APT28利用了多种技术、策略和程序(TTP),包括暴力破解、钓鱼邮件、利用已知和零日漏洞等,来获取法国组织关键网络上的外围设备和账户的访问权限。然后,他们在目标网络上植入恶意软件,收集敏感信息,并尝试向内部网络扩展。ANSSI警告说,APT28的攻击行为具有高度的隐蔽性和持久性,很难被传统的安全措施发现和阻止。

6、Mirth Connect存在严重漏洞,危及医疗数据

https://www.horizon3.ai/nextgen-mirth-connect-remote-code-execution-vulnerability-cve-2023-43208/

Mirth Connect是NextGen HealthCare开发的一款开源数据集成平台,广泛应用于医疗行业。该平台在4.4.1版本之前存在一个未经身份验证的远程代码执行漏洞,编号为CVE-2023-43208。该漏洞是对之前报告的CVE-2023-37679漏洞的绕过。攻击者可以利用该漏洞在目标系统上执行任意命令,从而获取初始访问权限或窃取敏感的医疗数据。该漏洞影响了2015/2016年以来的所有Mirth Connect版本,并且在Windows系统上更容易被利用,因为Mirth Connect通常以SYSTEM用户身份运行。该漏洞的利用方法(涉及Java XStream)已经被公开和记录,但目前尚未有公开的利用代码。Mirth Connect的用户应尽快升级到最新的补丁版本4.4.11,以防止受到攻击。

7、Citrix Bleed漏洞可导致NetScaler账户被劫持

https://www.bleepingcomputer.com/news/security/citrix-bleed-exploit-lets-hackers-hijack-netscaler-accounts/

Citrix Bleed漏洞,编号为CVE-2023-4966,是一种未经认证的缓冲区相关漏洞,存在于Citrix设备中,可以被利用来获得对设备的无限制访问,并可能劫持用户账户。该漏洞影响了Citrix NetScaler ADC和NetScaler Gateway,这些设备提供了负载均衡、防火墙和VPN服务。该漏洞的利用方法是通过访问/oauth/idp/.well-known/openid-configuration或/oauth/rp/.well-known/openid-configuration端点,发送一个特制的请求,就可以触发缓冲区溢出,并泄露内存中的敏感信息。这些信息可能包括认证会话cookie,如果被黑客截获,就可以绕过多因素认证(MFA)和劫持已认证的会话。这样,黑客就可以进行进一步的攻击和窃取敏感数据。该漏洞已经有公开的证明概念(PoC)利用代码,并且有证据表明该漏洞自8月底以来就已经被野外利用。Citrix已经发布了安全公告,并建议受影响的用户尽快升级到最新版本。

8、智利电信巨头GTD遭Rorschach勒索软件攻击

https://www.bleepingcomputer.com/news/security/chilean-telecom-giant-gtd-hit-by-the-rorschach-ransomware-gang/

智利电信公司GTD遭受了一场网络攻击,导致其多项服务受到影响,包括数据中心、互联网接入和网络电话。GTD在一份安全事件通知中表示,他们正在经历一场影响部分服务的网络安全事件。当天,智利内政部和公共安全部的计算机安全事件响应小组确认,GTD遭受了勒索软件攻击。该小组在其网站上发表了一份声明,称GTD向他们报告了一种影响其IaaS平台部分的勒索软件。虽然该小组没有透露攻击GTD的勒索软件行动的名称,但研究人员了解到,这涉及到之前在对美国公司的攻击中看到的Rorschach勒索软件变种。研究人员看到的一份关于GTD攻击的报告中,威胁行为者利用合法的趋势科技、BitDefender和Cortex XDR可执行文件中的DLL侧载漏洞来加载一个恶意DLL。这个DLL是Rorschach注入器,它会将一个名为“Config [.]ini”的勒索软件有效负载注入到记事本进程中。

9、CCleaner用户数据遭MOVEit大规模黑客攻击

https://techcrunch.com/2023/10/27/ccleaner-says-hackers-stole-users-personal-data-during-moveit-mass-hack/

CCleaner是一款广受欢迎的优化软件,但其开发商Gen Digital近日向用户确认,该软件在5月份发生的MOVEit大规模黑客攻击中,泄露了大量付费用户的个人信息。据悉,黑客利用了MOVEit文件传输工具的一个漏洞,该工具被CCleaner和数千个组织用于在互联网上传输大量敏感数据。黑客窃取了用户的姓名、联系方式和购买的产品信息。Gen Digital的发言人Jess Monney证实,受影响的信息包括用户的电话号码、电子邮件地址和账单地址。Monney表示,受影响的用户不到2%,但拒绝提供具体的数字。CCleaner有数百万用户。目前尚不清楚为什么CCleaner花了几个月才向受影响的用户披露这一事件。MOVEit大规模黑客攻击始于5月份,迅速成为今年(到目前为止)受害者最多的黑客事件。这个前所未有的漏洞使得臭名昭著的Clop勒索软件能够从数千个存储数据在这些互联网连接系统上的组织中窃取敏感数据。

10、LockBit勒索软件团伙声称入侵了波音公司

https://securityaffairs.com/153149/cyber-crime/lockbit-ransomware-gang-boeing.html

Lockbit勒索软件组织今天将波音公司添加到其Tor泄露网站的受害者名单中。该团伙声称从该公司窃取了大量敏感数据,并威胁如果波音不在截止日期(2023年11月2日13:25:39UTC)内联系他们,他们将公布这些数据。截至至10月29日时,该组织尚未发布任何样本。“波音公司是一家市值600亿美元的公司,与其子公司一起在全球范围内设计、开发、制造、销售、服务和支持商用喷气式客机、军用飞机、卫星、导弹防御、载人航天以及发射系统和服务。”该组织声称,“如果波音公司不在最后期限内联系,大量敏感数据将被泄露并准备公布!目前我们不会发送清单或样品来保护公司,但在截止日期之前我们不会这样保留。”

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。