当前位置: 首页 > 行业资讯 > 网络安全日报 2023年12月18日

网络安全日报 2023年12月18日

发表于:2023-12-18 08:30 作者: 蚁景网安实验室 阅读数(2486人)

1、伊朗OilRig组织部署3个新的恶意软件下载程序

https://www.welivesecurity.com/en/eset-research/oilrig-persistent-attacks-cloud-service-powered-downloaders/

伊朗国家资助的威胁组织OilRig在 2022 年部署了三种不同的下载器恶意软件,以维持对位于以色列的受害者组织的持续访问。斯洛伐克网络安全公司 ESET 将这三个新下载程序命名为 ODAgent、OilCheck 和 OilBooster。这些攻击还涉及使用名为 SampleCheck5000(或 SC5k)的已知 OilRig 下载程序的更新版本。通过使用知名云服务提供商进行命令和控制通信,目标是与真实的网络流量混合并掩盖该组织的攻击基础设施。

2、谷歌使用Clang Sanitizers保护安卓用户免受蜂窝基带漏洞的影响

https://security.googleblog.com/2023/12/hardening-cellular-basebands-in-android.html

谷歌强调Clang Sanitizers在强化移动基带安全性方面发挥的作用安卓操作系统,并防止特定类型的漏洞。这包括 Integer Overflow Sanitizer (IntSan) 和 BoundsSanitizer (BoundSan),两者都是 UndefinedBehaviorSanitizer (UBSan) 工具的一部分旨在捕获程序执行期间的各种未定义行为。它们与架构无关,适合裸机部署,并且应该在现有的 C/C++ 代码库中启用以减轻未知漏洞。

3、美国核研究实验室证实数据泄露影响超过四万条个人信息

https://apps.web.maine.gov/online/aeviewer/ME/40/ff925db5-9987-4a47-a5bc-a89c94f794f5.shtml

爱达荷国家实验室 (INL) 证实,攻击者上个月突破其基于云的 Oracle HCM HR 管理平台后,窃取了超过 45000 人的个人信息。INL 是美国能源部 (DOE) 17 个国家实验室之一,拥有 6,100 名研究人员和支持人员,从事国家安全和核研究。11 月 20 日,确认发生“网络安全数据泄露”事件。一天前,该事件影响了其异地 Oracle HCM 系统。作为正在进行的联合调查的一部分,CISA 和 FBI 正在调查其影响。研究实验室在本周向缅因州总检察长办公室提交的泄露通知信中表示,攻击者窃取了数据45,047 名现任和前任员工(包括博士后、研究生和实习生)及其家属和配偶。此次违规行为并不影响 2023 年 6 月 1 日之后雇用的员工。尽管 INL 并未将此次攻击归咎于特定组织,但 SiegedSec 黑客活动分子声称于 11 月 20 日发起了此次攻击,并在一个黑客论坛上泄露了被盗的人力资源数据。

4、新型NKAbuse恶意软件滥用NKN区块链进行隐秘通信

https://securelist.com/unveiling-nkabuse/111512/

一种新的基于 Go 的多平台恶意软件被识别为“NKAbuse”是第一个滥用 NKN(新型网络)技术进行数据交换的恶意软件,使其成为一种隐形威胁。NKN 是一种相对较新的去中心化点对点网络协议,利用区块链技术来管理资源并维护安全透明的网络运营模型。NKN 的目标之一是优化整个网络的数据传输速度和延迟,这可以通过计算有效的数据包传输路径来实现。个人可以通过运行节点来参与NKN网络,类似于Tor网络,目前大约有60710个节点。

5、研究人员披露针对985个银行应用的10个新型安卓银行木马

https://www.zimperium.com/resources/zimperiums-2023-mobile-banking-heists-report-finds-29-malware-families-targeted-1800-banking-apps-across-61-countries-in-the-last-year/

今年出现了 10 个新的 Android 银行恶意软件家族,这些恶意软件家族共同针对来自 61 个国家/地区的金融机构的 985 个银行和金融科技/交易应用程序。银行木马是一种恶意软件,通过窃取凭证和会话 cookie、绕过 2FA 保护、有时甚至自动执行交易来针对人们的在线银行帐户和资金。除了 2023 年推出的 10 个新木马之外,2022 年起的 19 个木马系列也进行了修改,以添加新功能并提高其操作复杂性。大多数受检查的木马的标准功能包括键盘记录、覆盖网络钓鱼页面和窃取短信。另一个令人担忧的发展是,银行木马不再仅仅窃取银行凭证和资金,现在还瞄准社交媒体、消息和个人数据。

6、Discord为所有用户添加了安全密钥支持以增强安全性

https://www.bleepingcomputer.com/news/security/discord-adds-security-key-support-for-all-users-to-enhance-security/

Discord 已为平台上的所有帐户提供安全密钥多重身份验证 (MFA),为其 5 亿多注册用户带来显着的安全和反网络钓鱼优势。这家热门社交平台于 2023 年 8 月首次强调了使用 WebAuthn 安全密钥的好处,当时它为其员工推出了额外的帐户保护。Discord 现已为所有 Discord 用户带来了 WebAuthn 功能,允许用户替换依赖基于时间的一次性密码、8 位一次性备份代码和携带 6 位验证码的 SMS 消息的旧版 MFA 系统。这项新功能增强了防止凭据被盗的保护,因为它需要物理设备(无论是计算机还是手机)才能登录您的 Discord 帐户。

7、研究人员披露QR网络钓鱼可导致Microsoft 365帐户被盗

https://www.secureworks.com/blog/qr-phishing-leads-to-microsoft-365-account-compromise

事件响应人员调查了源自包含 PDF 附件的网络钓鱼电子邮件的网络入侵。该 PDF 包含一个 QR 码,可将收件人引导至星际文件系统 (IPFS) 网关上托管的恶意内容。使用此网关可以让威胁行为者节省与托管自己的基础设施相关的成本和精力,并使执法部门难以取缔恶意内容。使用移动设备扫描二维码会将受害者引导至特定 URL,该 URL 会窃取会话令牌并重定向到 ipfs 。 io 网关托管恶意登录页面以获取 Microsoft 帐户凭据。

8、研究人员披露UNC2975恶意广告部署后门活动

https://www.mandiant.com/resources/blog/detecting-disrupting-malvertising-backdoors

研究人员发现了一场 UNC2975 恶意广告活动,该活动宣传以无人认领资金为主题的恶意网站。该活动至少可以追溯到 2023 年 6 月 19 日,滥用搜索引擎流量并利用恶意广告影响多个组织,导致 DANABOT 和 DARKGATE 后门的传播。在这次 UNC2975 活动中,恶意网站传播了 PAPERDROP 和 PAPERTEAR 下载器恶意软件,最终导致 DANABOT 和 DARKGATE 后门恶意软件。

9、攻击者利用公开的漏洞利用代码针对Apache Struts漏洞发起攻击

https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-critical-apache-struts-flaw-using-public-poc/

黑客正试图利用 Apache Struts 中最近修复的一个严重漏洞 (CVE-2023-50164),该漏洞会导致远程代码执行,从而进行依赖公开可用的概念验证漏洞利用代码的攻击。攻击者似乎才刚刚开始,该平台的研究人员观察到少数 IP 地址正在进行利用尝试。Apache Struts 是一个开源 Web 应用程序框架,旨在简化 Java EE Web 应用程序的开发,提供基于表单的界面和广泛的集成功能。RCE 漏洞影响 Struts 版本 2.0.0 至 2.3.37(生命周期结束)、Struts 2.5.0 至 2.5.32 以及 Struts 6.0.0 至 6.3.0。

10、卡夫亨氏回应黑客攻击事件称其系统正常运行

https://www.bleepingcomputer.com/news/security/kraft-heinz-investigates-hack-claims-says-systems-operating-normally/

卡夫亨氏已确认他们的系统运行正常,并且没有证据表明他们在勒索组织将其列在数据泄露网站上后遭到破坏。卡夫亨氏是全球最大的食品和饮料公司之一,在 40 个国家/地区拥有超过 37000 名员工。该公司拥有众多知名品牌,包括 Oscar Mayer、Kool-Aid、Philadelphia、Lunchables、Maxwell House 等。在 Snatch 勒索组织数据泄露网站上发布的日期为 8 月 16 日的帖子中,威胁行为者声称他们入侵了卡夫亨氏(Kraft Heinz)。当勒索组织在其数据泄露网站上列出一家公司时,这表明他们在网络攻击中窃取了数据,如果不支付赎金,这些数据很快就会泄露。然而,Snatch 尚未提供违规证据,文件部分没有被盗数据的屏幕截图。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。