当前位置: 首页 > 行业资讯 > 网络安全日报 2024年06月17日

网络安全日报 2024年06月17日

发表于:2024-06-17 08:38 作者: 蚁景网安实验室 阅读数(1785人)

1、研究人员发现针对错误配置Kubernetes集群的挖矿活动

https://www.wiz.io/blog/dero-cryptojacking-campaign-adapts-to-evade-detection

研究人员警告称,一场正在进行的加密劫持活动正针对配置错误的Kubernetes集群来挖掘Dero加密货币。在这次事件中,威胁行为者利用对互联网开放的集群的匿名访问来启动恶意容器镜像,这些镜像托管在Docker Hub上,有些已超过10000次下载。这些Docker镜像包含一个UPX包装的DERO挖矿程序,名为‘pause’。

2、Black Basta勒索软件疑似利用微软Windows零日漏洞

https://symantec-enterprise-blogs.security.com/threat-intelligence/black-basta-ransomware-zero-day

据研究人员的新发现,与Black Basta勒索软件有关的威胁行为者可能利用了最近披露的微软Windows错误报告服务中的权限提升漏洞作为零日漏洞。该安全漏洞是CVE-2024-26169(CVSS评分:7.8),是Windows错误报告服务中的一个权限提升漏洞,可能被利用以获得SYSTEM权限。微软于2024年3月修补了该漏洞。研究人员团队表示:“对最近攻击中部署的漏洞利用工具的分析显示,其编译时间可能早于补丁发布,这意味着至少有一个组织可能将此漏洞作为零日漏洞进行利用。”该财务动机威胁集群被公司追踪为Cardinal,并被网络安全社区监控为Storm-1811和UNC4393。该组织通过部署Black Basta勒索软件来货币化访问,通常利用其他攻击者获得的初始访问权——最初是QakBot,然后是DarkGate——来攻击目标环境。近几个月来,威胁行为者已被观察到使用合法的微软产品如Quick Assist和Microsoft Teams作为攻击媒介感染用户。

3、Arid Viper组织利用AridSpy木马发起移动端间谍活动

https://www.welivesecurity.com/en/eset-research/arid-viper-poisons-android-apps-with-aridspy/

据研究人员发布的一份报告称,名为Arid Viper的威胁行为者被认为与利用被植入木马的Android应用程序分发间谍软件AridSpy的移动间谍活动有关。研究人员说:“恶意软件通过冒充各种消息应用程序、工作机会应用程序和巴勒斯坦民事登记应用程序的专用网站传播。这些通常是通过添加AridSpy恶意代码而被植入木马的现有应用程序。”据称,自2022年以来,这一活动已涉及多达五个行动,研究人员记录了AridSpy的早期变种。五个行动中的三个仍在进行中。Arid Viper是一个被怀疑与哈马斯有关的行为者,也被称为APT-C-23、Desert Falcon、Grey Karkadann、Mantis和Two-tailed Scorpion,自2017年出现以来,长期使用移动恶意软件。

4、Veeam恢复编排器严重认证绕过漏洞利用代码被公开

https://summoning.team/blog/veeam-recovery-orchestrator-auth-bypass-cve-2024-29855/

一个关键的Veeam恢复编排器(VRO)认证绕过漏洞(编号CVE-2024-29855)的概念验证(PoC)利用已发布,增加了被攻击利用的风险。该漏洞利用由安全研究员Sina Kheirkha开发,他还在自己的网站上发布了详细的文章。文章展示了该漏洞实际上比供应商公告所暗示的更容易被利用。CVE-2024-29855在CVSS v3.1中被评为9.0(“关键”),是影响Veeam恢复编排器版本7.0.0.337和7.1.0.205及更早版本的认证绕过漏洞。该漏洞允许未经认证的攻击者以管理员权限登录到Veeam恢复编排器Web UI。问题出在使用了硬编码的JSON Web Token(JWT)秘密,这使得攻击者能够为任何用户(包括管理员)生成有效的JWT令牌。具体而言,JWT秘密在创建和验证令牌时没有任何随机性或唯一性,每次安装都是可预测且静态的,从而使其易于被利用。

5、Life360平台客户数据泄露后遭遇攻击者勒索

http://www.tile.com/en-us/blog/unauthorized-access-incident-2024

安全和位置服务公司Life360表示,在威胁行为者入侵并窃取Tile客户支持平台的敏感信息后,他们成为勒索企图的目标。Life360为全球超过6600万会员提供实时位置跟踪、碰撞检测和紧急道路援助服务。2021年12月,Life360以2.05亿美元收购了蓝牙追踪服务提供商Tile。周三,Life360透露,一名攻击者入侵了Tile客户支持平台,获取了姓名、地址、电子邮件地址、电话号码和设备识别号码等信息。Life360 CEO Chris Hulls表示:“与许多其他公司类似,Life360最近成为犯罪勒索企图的受害者。我们收到了一名未知行为者的电子邮件,声称拥有Tile客户信息。”暴露的数据“不包括更敏感的信息,如信用卡号码、密码或登录凭证、位置信息或政府颁发的身份证号码,因为Tile客户支持平台不包含这些类型的信息。”Hulls补充说,“我们相信此事件仅限于上述特定的Tile客户支持数据,并没有更广泛的影响。”Life360没有透露攻击者如何入侵其平台,但公司表示已采取措施保护其系统免受进一步攻击,并将勒索企图报告给执法部门。

6、AWS增加支持Passkey的多因素认证方案需用户启用MFA

http://aws.amazon.com/blogs/security/passkeys-enhance-security-and-usability-as-aws-expands-mfa-requirements/

Amazon Web Services(AWS)引入了FIDO2 Passkey作为一种新的多因素认证(MFA)方法,以增强账户安全性和可用性。此外,正如去年10月宣布的那样,该互联网公司提醒我们,“root” AWS账户必须在2024年7月底之前启用MFA。FIDO2 Passkey是物理(硬件密钥)或基于软件的认证解决方案,利用公钥加密(公钥+私钥对)来签署服务器发送的用于验证认证尝试的挑战。与一次性密码不同,Passkey对网络钓鱼和中间人攻击具有抵抗力,可以同步,支持多设备和操作系统架构,并由于其(通常)不可破解的加密提供强大的认证。亚马逊表示,其实现允许创建可同步的软件Passkey,以作为AWS账户的MFA方法,并通过iPhone上的Apple Touch ID、笔记本电脑上的Windows Hello等解锁。

7、美国Truist银行泄露数据被公开在黑客论坛出售

https://www.bleepingcomputer.com/news/security/truist-bank-confirms-data-breach-after-stolen-data-shows-up-on-hacking-forum/

领先的美国商业银行Truist确认其系统在2023年10月的一次网络攻击中被入侵,此前一名威胁行为者在黑客论坛上出售该公司的部分数据。总部位于北卡罗来纳州夏洛特市的Truist银行是在2019年12月SunTrust银行和BB&T(分行银行和信托公司)合并后成立的。现在,Truist已成为总资产达5350亿美元的前十大商业银行,提供广泛的服务,包括消费者和小企业银行业务、商业银行业务、企业和投资银行业务、保险、财富管理和支付。威胁行为者(名为Sp1d3r)声称正在出售据称包含65000名员工信息的被盗数据,售价为100万美元。虽然现在无法独立验证这些声明,但这些数据还据称包含银行交易的姓名、账户号码、余额和IVR资金转移源代码。

8、美国医疗系统巨头Ascension遭遇勒索软件攻击

https://about.ascension.org/en/cybersecurity-event

美国最大的医疗系统之一Ascension透露,2024年5月的勒索软件攻击是由一名员工下载恶意文件到公司设备引起的。Ascension表示,这可能是一次“无心之失”,因为该员工以为他们下载的是一个合法文件。该攻击影响了MyChart电子健康记录系统、电话和用于订购测试、手术和药物的系统,促使这家医疗巨头在5月8日将一些设备下线,以遏制当时被描述为“网络安全事件”。这迫使员工以纸质记录程序和药物,因为他们无法再电子访问病人记录。Ascension还暂停了一些非紧急选择性手术、测试和预约,并将急救服务转移到其他医疗单位以避免分诊延误。周三,Ascension表示其一些服务仍然受到影响,医疗系统仍在努力使一些电子健康记录系统、病人门户、电话系统以及测试、手术和药物订购系统重新上线。它还补充说,正在进行的调查发现威胁行为者仅访问并窃取了其网络上数千台服务器中的七台服务器上的文件。“到目前为止,我们现在有证据表明攻击者能够从我们主要用于日常和例行任务的少数文件服务器上获取文件。这些服务器代表我们网络中大约25000台服务器中的七台,”

9、华硕修复了多款路由器中严重的身份验证绕过漏洞

https://securityaffairs.com/164549/security/asus-router-models-critical-rce.html

华硕解决了一个严重的远程身份验证绕过漏洞,该漏洞编号为 CVE-2024-3080 (CVSS v3.1 分数:9.8),影响七种路由器型号。该漏洞是一个身份验证绕过问题,远程攻击者可以利用该漏洞无需身份验证即可登录设备。

10、网络犯罪分子使用PhantomLoader分发SSLoad恶意软件

https://intezer.com/blog/research/ssload-technical-malware-analysis/

根据网络安全公司的发现,新出现的SSLoad恶意软件通过一种以前未记录的加载程序PhantomLoader进行分发。安全研究员在本周发布的一份报告中表示:“加载程序通过二进制修补文件并使用自修改技术来规避检测,添加到合法的DLL(通常是EDR或AV产品)中。”SSLoad可能通过恶意软件即服务(MaaS)模式提供给其他威胁行为者,由于其不同的分发方法,通过网络钓鱼邮件渗透系统,进行侦察,并向受害者推送其他类型的恶意软件。研究人员此前的报告揭示了使用SSLoad部署Cobalt Strike(一种常用于后期利用的合法对手模拟软件)的情况。自2024年4月以来,该恶意软件已被检测到。攻击链通常涉及使用MSI安装程序,启动后启动感染序列。具体来说,它会导致执行PhantomLoader,这是一个32位DLL,用C/C++编写,伪装成360 Total Security的DLL模块(“MenuEx.dll”)。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。