当前位置: 首页 > 行业资讯 > 网络安全日报 2024年03月21日

网络安全日报 2024年03月21日

发表于:2024-03-21 08:26 作者: 蚁景网安实验室 阅读数(3690人)

1、苏格兰健康局遭网络攻击面临数据泄露风险

https://www.nhsdg.co.uk/cyberattack/

2024年3月15日,服务于苏格兰西南部地区的NHS Dumfries and Galloway健康局宣布遭受了一次有针对性的持续网络攻击。尽管具体攻击方式未公开,健康局已警告表示有大量患者和员工数据可能已被泄露。目前,该健康局已经启动既定应对协议,正在与多个合作机构紧密合作,包括Police Scotland、国家网络安全中心(NCSC)和苏格兰政府,旨在控制攻击、调查数据泄露范围并减轻潜在损害。该网络攻击可能导致NHS Dumfries and Galloway的服务中断,潜在影响包括病患预约、在线服务的访问或内部行政职能。该健康局提示,尚未确定确切被访问的数据类型,但可能包括姓名、地址、病历记录和国民保险号等敏感信息。NHS Dumfries and Galloway呼吁员工和病患保持警惕,特别是对任何试图获得个人信息或财务详情的可疑电子邮件或电话。他们建议个人不要点击来自未知发件人的链接或打开附件,并立即报告任何可疑活动。

2、黑客利用假谷歌站点传播AZORult木马病毒

https://www.netskope.com/blog/from-delivery-to-execution-an-evasive-azorult-campaign-smuggled-through-google-sites

近期,研究人员发现了一种新的恶意软件活动,攻击者通过制作伪造的谷歌站点页面,并采用HTML走私技术,传播一种名为AZORult的商业恶意软件以窃取信息。研究人员发布的报告中指出,这种钓鱼活动尚未归咎于特定的威胁行为者或团伙,但已广泛展开,目的是收集敏感数据并在黑市论坛出售。AZORult是一种信息窃取软件,最初于2016年被检测到。它通常通过钓鱼和垃圾邮件活动、为盗版软件或媒体植入的特洛伊木马以及通过恶意广告传播。一旦安装,它就能够收集来自Web浏览器的凭据、cookie和历史记录、屏幕截图、匹配特定扩展名的文档(例如.TXT,.DOC,.XLS,.DOCX,.XLSX,.AXX,和.KDBX),以及来自137种加密货币钱包的数据。在最新的攻击活动中,攻击者创建了伪造的谷歌文档页面,并使用HTML走私技术传递恶意载荷。当受害者被诱导打开钓鱼邮件中的欺骗性页面时,浏览器就会解码脚本并在主机设备上提取有效载荷,有效绕过了常规安全控制。此次AZORult活动通过增加验证码障碍,不仅增加了合法性的外表,还充当了针对URL扫描器的额外保护层。

3、DEEP#GOSU新恶意软件攻击活动针对Windows系统

https://www.securonix.com/blog/securonix-threat-research-security-advisory-new-deepgosu-attack-campaign/

研究人员近日发现一场名为DEEP#GOSU的新型攻击活动,利用PowerShell和VBScript恶意软件攻击Windows系统,并窃取敏感信息。研究人员通过技术分析指出,该恶意软件运用高级技术,能够在Windows系统中悄无声息地执行操作,尤其在网络监控方面。DEEP#GOSU被认为与朝鲜支持的黑客组织Kimsuky相关。该恶意软件的功能包括记录键盘操作、监控剪贴板内容、执行动态有效载荷以及使用远程访问工具软件(RAT)、计划任务和自执行的PowerShell脚本等方式,保持对受感染系统的持久访问。值得注意的是,该攻击活动使用了像Dropbox或Google Docs这类合法服务作为命令与控制(C2)服务器,这使得犯罪分子的网络流量能够在正常流量中隐匿起来。初步感染通常来自一封含有ZIP归档的恶意电子邮件附件,装有假冒PDF文件的快捷方式(.LNK)。这些.LNK文件嵌入了PowerShell脚本,并使用了幌子PDF文档。PowerShell脚本还会连接到由攻击者控制的Dropbox基础设施,以取回并执行另一个PowerShell脚本。另一方面,第二阶段的PowerShell脚本会从Dropbox检索新文件,该文件是.NET组建的二进制形式文件,实则为一个名为TruRat的开源远端访问木马,具备记录键盘操作、管理文件和远程控制的功能。

4、Atlassian修复了Bamboo等产品中的严重漏洞

https://securityaffairs.com/160838/security/atlassian-fixed-critical-flaw-cve-2024-1597.html

Atlassian 修复了 Bamboo、Bitbucket、Confluence 和 Jira 产品中的数十个漏洞,其中包括一个可能非常危险的严重缺陷。

5、Chrome 123、Firefox 124发布,修复严重漏洞

https://www.securityweek.com/chrome-123-firefox-124-patch-serious-vulnerabilities/

谷歌和 Mozilla 周二宣布了网络浏览器安全更新,解决了数十个漏洞,其中包括一个严重漏洞和多个高严重漏洞。

6、Microsoft 宣布在 Windows 中弃用 1024 位 RSA 密钥

https://www.bleepingcomputer.com/news/microsoft/microsoft-announces-deprecation-of-1024-bit-rsa-keys-in-windows

Microsoft 宣布,Windows 传输层安全 (TLS) 中将很快弃用短于 2048 位的 RSA 密钥,以提供更高的安全性。1024 位 RSA 密钥的强度约为 80 位,而 2048 位密钥的强度约为 112 位,这使得后者的分解时间长了 40 亿倍。该领域的专家认为 2048 位密钥 至少在 2030 年之前都是安全的。

7、LockBit 试图通过新版本维持生存

https://www.trendmicro.com/en_us/research/24/b/lockbit-attempts-to-stay-afloat-with-a-new-version.html

最近,研究人员获得了一个样本,据信该样本代表了 LockBit 的新演变:与平台无关的恶意软件正在测试的开发版本,与以前的版本不同。

8、TeamCity漏洞导致勒索软件、恶意挖矿和 RAT 攻击激增

https://thehackernews.com/2024/03/teamcity-flaw-leads-to-surge-in.html

多个威胁行为者正在利用 JetBrains TeamCity 软件中最近披露的安全漏洞来部署勒索软件、加密货币挖矿程序、Cobalt Strike 信标以及基于 Golang 的名为 Spark RAT 的远程访问木马。

9、微软报告,英国87%的组织容易受到网络攻击

https://cybernews.com/security/uk-organizations-ai-attacks/

报告显示,39%的组织没有将网络威胁告知其领导层,没有业务连续性计划,没有专门的网络安全预算,且缺乏对技术升级的投资。

10、超过133K台 Fortinet 设备仍然易受CVE-2024-21762影响

https://www.theregister.com/2024/03/18/more_than_133000_fortinet_appliances

尽管补丁逐渐增加,但暴露在公共互联网上且易受 FortiOS 一个月前严重安全漏洞影响的 Fortinet 数量仍然非常高。根据安全非营利组织 Shadowserver 的最新数据,易受 CVE-2024-21762 影响的 Fortinet 设备数量超过 133,000 台,仅比十天前的 150,000 多台略有下降。暴露数量最多的是亚洲,有 54,310 台设备仍然容易受到严重 RCE 漏洞的影响。北美和欧洲分别以 34,945 和 28,058 占据第二和第三位,其余为南美洲、非洲和大洋洲

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。