当前位置: 首页 > 行业资讯 > 网络安全日报 2024年03月08日

网络安全日报 2024年03月08日

发表于:2024-03-08 08:19 作者: 蚁景网安实验室 阅读数(2835人)

1、新型Linux恶意软件攻击Docker和其他关键应用程序

https://www.cadosecurity.com/spinning-yarn-a-new-linux-malware-campaign-targets-docker-apache-hadoop-redis-and-confluence/

近期,研究人员现了一种名为SpinningYarn的新型Linux恶意软件活动,其目标是运行ApacheHadoopYARN、Docker、Confluence和Redis面向Web服务的配置错误的服务器。SpinningYarn是一种恶意活动,利用了各行业企业使用的流行Linux软件的弱点。这些服务是组织IT基础设施中的重要组成部分。Docker对于开发、部署和管理容器化应用程序至关重要。ApacheHadoop允许分布式处理大型数据集。通过破坏这些应用程序,攻击者可以获得对系统的未经授权的访问、窃取敏感数据、破坏操作或部署勒索软件,从而对服务器和关键基础设施构成重大威胁。在SpinningYarn中,威胁行为者使用了几种独特的有效负载,包括四个Golang二进制文件,它们可以自动发现和感染主机并让它们利用代码。他们使用Confluence来利用常见的错误配置和漏洞,发起远程代码执行(RCE)攻击并感染新主机。

2、GhostSec与Stourmous联手发起勒索软件攻击

https://blog.talosintelligence.com/ghostsec-ghostlocker2-ransomware/

研究人员最新的报告指出,两个黑客团伙GhostSec和Stourmous正在联合进行一场勒索软件攻击。这场攻击利用了新的GhostLocker2.0勒索软件,该软件是GhostLocker勒索软件的Golang版本。这两个团伙启动了一个名为STMX_GhostLocker的勒索软件即服务(RaaS)运营,为其附属成员提供多种选项。这一发现表明,勒索软件攻击者正在不断创新其攻击手段,以适应不断变化的网络安全环境。GhostSec和Stourmous通过这种合作,能够扩大其攻击范围,并提高其攻击的成功率。GhostSec是现代五大家族组织的成员,该组织包括ThreatSec、Stormous、Blackforums和SiegedSec。该组织的活动包括拒绝服务(DoS)攻击、勒索软件攻击和黑客活动。“GhostLockerRaaS有一个C2面板,附属机构可以在其中概览他们的攻击和收益。当部署在受害者的机器上时,勒索软件二进制文件将注册到C2面板,附属机构可以跟踪受害者机器上的加密状态。

3、BlackCat勒索软件疑似复苏

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/resurgence-of-blackcat-ransomware/

2024年3月6日,研究人员发布了关于BlackCat勒索软件的复苏的报道。美国司法部在2023年12月19日对该组织进行了打击,但最近的观察显示,BlackCat组织在被打击后不久便卷土重来。他们在2月21日对ChangeHealthcare发起了重大攻击,ChangeHealthcare是Optum的一部分,隶属于UnitedHealthGroup。据报道,该组织声称从ChangeHealthcare窃取了6TB的数据。此次攻击导致支付索赔处理延迟,迫使客户自付服务费用,在某些情况下甚至无法兑现处方。BlackCat利用合法的远程访问工具和独特的令牌,执行了一种复杂的勒索软件变体。这种策略强调了保持警惕的重要性,以及组织需要不断发展其安全措施以有效对抗这些不断变化的威胁。他们通过TotalSoftwareDeployment和ScreenConnect等合法的远程会话管理软件,建立了初始的攻击阵地,使得攻击者能够在正常的管理活动中隐藏,大大增加了检测难度。BlackCat勒索软件的功能包括在禁用安全产品后,威胁行为者(TA)传输并执行了BlackCat勒索软件二进制文件update.exe。与典型的执行过程不同,这个二进制文件需要一个64字符的十六进制访问令牌才能执行;没有这个令牌,二进制文件将不会执行。

4、VMware发布Workstation、ESXi等关键安全补丁

https://www.vmware.com/security/advisories/VMSA-2024-0006.html

近日,VMware已发布补丁来解决影响ESXi、Workstation和Fusion的四个安全缺陷,其中包括两个可能导致代码执行的严重缺陷。这些漏洞被追踪为CVE-2024-22252和CVE-2024-22253,被描述为XHCIUSB控制器中的释放后使用错误。Workstation和Fusion的CVSS得分为9.3,ESXi系统的CVSS得分为8.4。研究人员表示,在虚拟机上拥有本地管理权限的恶意行为者可能会利用此问题在主机上运行虚拟机的VMX进程时执行代码。在ESXi上,漏洞利用包含在VMX沙箱内,而在Workstation和Fusion上,这可能会导致在安装Workstation或Fusion的计算机上执行代码。

5、思科修补 VPN 产品中的高严重性漏洞

https://www.securityweek.com/cisco-patches-high-severity-vulnerabilities-in-vpn-product/

思科周三发布了针对 Secure Client 中两个高严重性漏洞的补丁,Secure Client 是一款企业 VPN 应用程序,还包含安全和监控功能。

6、FBI发布互联网犯罪报告称2023 年网络犯罪损失达 125 亿美元

https://securityaffairs.com/160142/cyber-crime/2023-fbi-internet-crime-report.html

FBI 网络犯罪投诉中心 (IC3) 发布的《2023 年网络犯罪报告》显示,2023 年报告的网络犯罪损失达到 125 亿美元。与 2022 年相比,这一数字标志着报告的损失激增 22%。

7、Snak信息窃取恶意程序通过Facebook消息传播

https://securityaffairs.com/160131/malware/snake-info-stealer.html

Cybereason 研究人员警告称,威胁行为者正在利用 Facebook 消息传播 Snake 恶意软件,这是一种基于 Python 的信息窃取程序。

8、CISA 将 iOS内存破坏漏洞添加到其已知被利用的漏洞目录中

https://securityaffairs.com/160124/security/cisa-apple-ios-and-ipados-bugs-to-its-known-exploited-vulnerabilities-catalog.html

美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞 (KEV) 目录中添加了 以下漏洞 :CVE-2024-23225 和 CVE-2024-23296。

9、韩国警方开发 Deepfake 检测工具

https://www.infosecurity-magazine.com/news/south-korea-police-deepfake/

该工具将能够在大约 5 到 10 分钟内确定视频内容是否是使用 AI 技术人工生成的。警方表示,该软件有 80% 的概率检测视频是否真实。

10、台湾省中华电信发生数据泄露事件

http://www.anquan419.com/knews/24/6662.html

台湾省当地最大的电信服务提供商中华电信股份有限公司发生数据泄露事件,目前被黑客窃取的 1.7TB 数据已出现在暗网黑客论坛中。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。