当前位置: 首页 > 行业资讯 > 网络安全日报 2024年04月22日

网络安全日报 2024年04月22日

发表于:2024-04-22 08:33 作者: 蚁景网安实验室 阅读数(3516人)

1、攻击者通过虚假的游戏作弊器传播Redline窃密木马

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/redline-stealer-a-novel-approach/

研究人员称,新的Redline窃密木马利用Lua字节码来规避检测,将恶意软件注入合法进程,并利用即时(JIT)编译。攻击者通过虚假的“Cheat Lab”和“Cheater Pro”的游戏作弊工具传播Reline窃密木马。该恶意软件以ZIP文件的形式进行传播,其中包含一个MSI安装程序,该安装程序在启动时解压缩两个文件(compiler.exe和lua51.dll),并释放一个包含恶意Lua字节码的“readme.txt”文件。此外,该恶意程序还会弹出弹窗以诱导用户将恶意安装程序分享给好友。安装后,compiler.exe程序编译存储在readme.txt 文件中的Lua字节码并执行,然后通过创建计划任务来设置持久性。

2、研究人员披露一种名为“MadMxShell”的后门

https://www.zscaler.com/blogs/security-research/malvertising-campaign-targeting-it-teams-madmxshell

从2024年3月开始,研究人员发现攻击者利用一组伪装成合法IP扫描软件的网站,传播一种未曾发现的后门。攻击者使用拼写错误的手段注册了多个相似的域名,并利用Google广告将这些恶意域名推送到针对特定搜索关键字的搜索引擎结果顶部,从而引诱受害者访问这些网站。此次新发现的后门使用了多种技术,例如DLL侧加载、滥用DNS协议与命令和控制(C2)服务器通信、以及规避内存取证。研究人员将此后门命名为“MadMxShell”,因为它使用DNS MX查询进行C2通信,并且C2请求之间的间隔非常短。

3、R00TK1T组织声称窃取了雀巢公司的机密数据

https://cybersecuritynews.com/r00tk1t-claims/

名为R00TK1T的黑客组织称,他们成功进入雀巢公司的系统,并获得了机密数据,但该组织尚未公布有关该事件的更多细节。雀巢公司尚未就该事件发表正式声明。然而,公司内部消息人士表示,内部调查正在进行中。

4、美国医疗保健供应商Cherry Health遭受勒索软件攻击

https://cybernews.com/news/cherry-health-ransomware-attack/

在2024年4月16日的数据泄露通知信中,Cherry Health表示,他们经历了一起涉及患者个人数据的数据泄露事件。Cherry Health遭受了勒索软件攻击,勒索组织渗透受害者的网络、窃取和加密数据,然后要求支付赎金以换取失窃数据。涉及的数据包括名字和姓氏以及以下一个或多个数据元素的组合:名字、地址、电话号码、出生日期、健康保险信息、健康保险身份证号码、患者 ID 号、提供程序名称、服务日期、诊断/治疗信息、处方信息、财务账户信息、社会安全号码。

5、Junos OS中存在多个安全漏洞

https://cybersecuritynews.com/juniper-networks-flaws/

Junos OS中存在多个与拒绝服务(DoS)、路径遍历和跨站点脚本(XSS) 相关的安全漏洞。这些漏洞分别是CVE-2024-30409、CVE-2020-1606 和 CVE-2020-1607。这些漏洞的严重性介于5.3(中)到 7.5(高)之间。瞻博网络已经对这些漏洞进行了修复,并发布了相关的安全更新来解决这些问题。建议使用Junos OS和Junos OS演进产品的用户升级到最新版本,以防止攻击者利用这些漏洞。

6、网络钓鱼即服务平台LabHost被执法部门关闭,37人被捕

https://cybernews.com/news/labhost-seized-by-law-enforcement/

网络钓鱼即服务平台LabHost已被执法部门关闭,并有37名嫌疑人被逮捕。根据欧洲刑警组织的说法,LabHost曾经是全球网络犯罪分子的重要工具,因为网络犯罪即服务已成为犯罪世界中发展最快的商业模式之一。通过按月订阅,LabHost提供了网络钓鱼工具包、用于托管页面的基础设施、用于与受害者互动的交互式功能以及活动概述服务。在2024年4月14日至17日期间,37名嫌疑人被确认并被逮捕。

7、HelloKitty勒索组织更名为HelloGookie

https://www.bleepingcomputer.com/news/security/hellokitty-ransomware-rebrands-releases-cd-projekt-and-cisco-data

HelloKitty勒索组织声称他们将名称更改为“HelloGookie”,并公开了以前窃取的CD Projekt源代码、思科网络信息和一些解密密钥。发布该公告的攻击者名为“Gookee/kapuchin0”,声称是现已解散的HelloKitty勒索组织的原创始人。攻击者同时发布了4个可用于解密旧攻击活动中加密文件的解密密钥、2022年从思科窃取的内部信息,以及2021年从游戏公司CD Projekt窃取的Gwent、Witcher 3和Red Engine的源代码。

8、联合国开发计划署遭受网络攻击

https://www.bleepingcomputer.com/news/security/united-nations-agency-investigates-ransomware-attack-claimed-by-8Base-gang/

联合国开发计划署(UNDP)正在调查一起网络攻击事件。该组织透露,攻击者于3月下旬入侵了哥本哈根的IT基础设施。3月27日,联合国开发计划署收到威胁情报,称有攻击者窃取了数据,其中包括某些人力资源和采购信息。虽然UNDP尚未将这次攻击事件与特定的攻击组织联系起来,但8Base勒索组织于3月27日在其暗网数据泄露网站上将UNDP列为受害者。UNDP目前正在调查事件的性质和范围,并评估该事件造成的影响。

9、CrushFTP更新修复了一个被利用的零日漏洞

https://www.bleepingcomputer.com/news/security/crushftp-warns-users-to-patch-exploited-zero-day-immediately/

CrushFTP在发布的新版本中修复了一个被积极利用的零日漏洞,并敦促使用该产品的用户立即更新。该零日漏洞能使未经身份验证的攻击者逃脱用户的虚拟文件系统(VFS)并下载系统文件。该公司警告服务器仍在运行CrushFTP v9的客户立即升级到v11或通过仪表板进行更新。安全研究团队已经看到CrushFTP零日漏洞被用于有针对性的攻击。攻击者的目标是多个美国组织的CrushFTP服务器,有证据表明这是一场情报收集活动,可能出于政治动机。

10、MITRE表示攻击者通过Ivanti零日漏洞入侵其网络

https://medium.com/mitre-engenuity/advanced-cyber-threats-impact-even-the-most-prepared-56444e980dc8

MITRE Corporation表示,一个攻击组织于2024年1月通过两个Ivanti VPN零日漏洞入侵了其系统。该事件是在MITRE的网络实验、研究和虚拟化环境(NERVE)上检测到可疑活动后发现的。攻击者还通过使用会话劫持来绕过多因素身份验证(MFA)防御,这允许他们使用被劫持的管理员帐户横向移动被破坏网络的VMware基础架构。在整个事件中,攻击者结合使用了复杂的Web Shell和后门来维持持久化访问并收集凭据。到目前为止,在调查期间收集的证据表明,此次事件并未影响该组织的核心企业网络或其合作伙伴的系统。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。