当前位置: 首页 > 行业资讯 > 网络安全日报 2024年05月07日

网络安全日报 2024年05月07日

发表于:2024-05-07 08:17 作者: 蚁景网安实验室 阅读数(3537人)

1、APT28组织利用Outlook漏洞攻击捷克和德国实体

https://mzv.gov.cz/jnp/en/issues_and_press/press_releases/statement_of_the_mfa_on_the_cyberattacks.html

捷克和德国周五透露,它们是与俄罗斯有联系的民族国家组织APT28进行的长期网络间谍活动的目标。捷克共和国外交部 (MFA) 在一份声明中表示,该国一些未透露姓名的实体因去年初曝光的 Microsoft Outlook 安全漏洞而遭到攻击。外交部表示:“针对政治实体、国家机构和关键基础设施的网络攻击不仅对国家安全构成威胁,而且破坏了我们自由社会所依赖的民主进程。 ”所涉及的安全漏洞是CVE-2023-23397,这是 Outlook 中现已修补的一个关键权限升级漏洞,可能允许攻击者访问 Net-NTLMv2 哈希值,然后使用它们通过中继攻击来验证自己的身份。

2、攻击者滥用微软 Graph API进行隐秘恶意软件通信活动递增

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/graph-api-threats

攻击者越来越多地将Microsoft Graph API武器化以用于恶意目的,以逃避检测。自 2022 年 1 月以来,已观察到多个国家联盟的黑客组织使用 Microsoft Graph API 进行 C&C。其中包括被追踪为APT28、REF2924、Red Stinger、Flea、APT29和OilRig的威胁行为者。第一个已知的 Microsoft Graph API 滥用实例可以追溯到 2021 年 6 月,涉及一个名为Harvester的活动集群,该集群被发现使用名为 Graphon 的自定义植入程序,该植入程序利用该 API 与 Microsoft 基础设施进行通信。最近检测到乌克兰的一个未透露姓名的组织使用了相同的技术,该组织涉及部署一种名为 BirdyClient(又名 OneDriveBirdyClient)的先前未记录的恶意软件。

3、HPE Aruba设备存在四个严重漏洞面临远程代码执行攻击

https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-004.txt

HPE Aruba Networking(以前称为 Aruba Networks)已发布安全更新,以解决影响 ArubaOS 的严重缺陷,这些缺陷可能导致受影响系统上的远程代码执行 (RCE)。在这10 个安全缺陷中,有 4 个缺陷的严重程度被评为严重:CVE-2024-26304、CVE-2024-26305、CVE-2024-33511、CVE-2024-33512。

4、安卓漏洞可能会在启用VPN终止开关的情况下泄漏DNS流量

https://mullvad.net/en/blog/dns-traffic-can-leak-outside-the-vpn-tunnel-on-android

Mulvad VPN 用户发现,即使通过“阻止没有 VPN 的连接”选项启用了“始终在线 VPN”功能,Android 设备在切换 VPN 服务器时也会泄漏 DNS 查询。“始终在线 VPN”旨在在设备启动时启动 VPN 服务,并在设备或配置文件打开时保持其运行。启用“阻止没有 VPN 的连接”选项(也称为终止开关)可确保所有网络流量和连接都通过始终连接的 VPN 隧道,从而阻止窥探者监视用户的 Web 活动。即使在最新操作系统版本 (Android 14) 上启用了这些功能,Android 错误也会泄漏一些 DNS 信息。

5、西门子软件中的反序列化漏洞可导致远程代码执行

https://claroty.com/team82/research/exploiting-a-classic-deserialization-vulnerability-in-siemens-simatic-energy-manager

研究人员详细介绍了用于监控工业环境中能源消耗的西门子软件中的反序列化漏洞,并将该缺陷归因于这家德国企业集团决定使用已知安全风险的编程方法。西门子在两年前修补了该漏洞(编号为CVE-2022-23450),对于西门子客户来说,时间足够长,可以在对他们发现的缺陷进行详细解释之前应用补丁。西门子 Simatic Energy Manager 中没有采取对策,该软件使用专有消息协议将工厂能源使用数据从 Web 服务器传输到用户应用程序。研究人员对消息传递协议进行了逆向工程,发现了包含短语 的消息类型 BinaryFormatter。

6、研究人员发现遭遇入侵的路由器可以被多个黑客组织同时使用

https://www.trendmicro.com/en_hk/research/24/e/router-roulette.html

当攻击者识别出不安全的路由器时,他们会通过安装恶意软件来渗透它,从而为他们提供持久性、发起分布式拒绝服务 (DDoS) 攻击、隐藏恶意数据等的能力。然而当攻击者发现路由器已被敌对团伙渗透时,研究人员发现有以下两件事之一:一方允许另一方使用受损的基础设施进行收费,或者双方都找到了一种单独的技术来侵入设备并同时使用它。研究人员使用 Ubiquity 的 EdgeRouters 作为互联网路由器的示例,这些路由器同时被多个黑客组织利用,其中一些是国家资助的,另一些则是出于经济动机。研究人员表示:“网络犯罪分子和高级持续威胁 (APT) 参与者对代理匿名层和虚拟专用网络 (VPN) 节点有着共同的兴趣,以隐藏他们的存在痕迹,并使恶意活动的检测变得更加困难。” “这种共同利益导致恶意互联网流量混合了金融和间谍动机。”

7、研究人员披露针对macOS系统的新信息窃取程序Cuckoo

https://www.sentinelone.com/blog/macos-adload-prolific-adware-pivots-just-days-after-apples-xprotect-clampdown/

研究人员发现了一种针对 Apple macOS 系统的新信息窃取程序,旨在在受感染的主机上建立持久性并充当间谍软件。该恶意软件被称为Cuckoo,是一种通用的 Mach-O 二进制文件,能够在基于 Intel 和 Arm 的 Mac 上运行。目前尚不清楚确切的分发向量,尽管有迹象表明该二进制文件托管在 dumpmedia[.]com、tunesolo[.]com、fonedog[.]com、tunesfun[.]com 和unefab[.]com 等网站上声称提供免费和付费版本的应用程序,专门用于从流媒体服务中提取音乐并将其转换为 MP3 格式。从网站下载的磁盘映像文件负责生成 bash shell 来收集主机信息,并确保受感染的计算机不位于亚美尼亚、白俄罗斯、哈萨克斯坦、俄罗斯、乌克兰。仅当区域设置检查成功时才会执行恶意二进制文件。

8、微软披露安卓应用严重漏洞,多个受App安装量超40亿

https://www.freebuf.com/news/400004.html

近日,研究人员披露了一个名为“Dirty Stream”的严重安全漏洞,该漏洞可能影响几款下载总量数十亿的 Android 应用程序。

9、英国成为首个禁止物联网设备默认使用弱密码的国家

https://therecord.media/united-kingdom-bans-defalt-passwords-iot-devices

PSTI 明确禁止使用 "admin "或 "12345 "等弱密码或容易被猜到的默认密码,还要求制造商公布联系方式,以便用户报告漏洞。不符合规定的产品可能会被召回,负有责任的公司可能面临最高 1000 万英镑(1253 万美元)的罚款或其全球收入的 4%,以较高者为准。

10、波兰总检察长称前政府使用间谍软件 Pegasus 监视了数百人

https://www.solidot.org/story?sid=78045

总检察长表示间谍软件生成了被监视者“私人和职业生活”的大量信息。他强调波兰政府无法完全控制所收集的数据,因为该系统运行是基于是以色列公司授予的许可证。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。