当前位置: 首页 > 行业资讯 > 网络安全日报 2024年07月22日

网络安全日报 2024年07月22日

发表于:2024-07-22 08:13 作者: 合天网安实验室 阅读数(2964人)

1、CrowdStrike更新引发大规模Windows用户蓝屏死机

https://cybersecuritynews.com/crowdstrike-update-bsod-loop/

CrowdStrike Falcon Sensor的更新导致全球范围内的Windows用户遭遇了严重的蓝屏死机(BSOD)循环问题。该问题主要影响安装了CrowdStrike端点安全软件的Windows 10和11系统。用户遭遇了反复出现的BSOD,错误信息提示为“DRIVER_OVERRAN_STACK_BUFFER”,导致系统无法正常启动。CrowdStrike已经确认了这一问题,并表示其工程团队正在紧急处理中。目前,企业客户受影响尤为严重,部分组织报告称数千台设备受到影响,包括关键生产服务器和SQL节点。

2、TAG-100使用开源工具进行全球间谍活动

https://www.recordedfuture.com/research/tag-100-uses-open-source-tools-in-suspected-global-espionage-campaign

安全研究人员近期揭露了TAG-100组织通过使用开源工具进行的全球间谍活动。该组织不仅攻击了亚太地区的两个主要政府间机构,还影响了全球多个外交、贸易和私营部门实体。TAG-100利用Go后门Pantegana和SparkRAT等工具,针对包括CitrixNetScaler、F5BIG-IP在内的多种面向互联网的产品进行攻击。这一发现突显了使用开源工具进行网络间谍活动的增长趋势,以及对互联网设备安全的严重威胁。研究人员提出了一系列缓解措施,包括配置入侵检测系统、修补漏洞、实施网络分段和多因素认证等,以提高组织的网络安全防护能力。

3、黑客更新BeaverTail恶意软件攻击MacOS用户

https://thehackernews.com/2024/07/north-korean-hackers-update-beavertail.html

网络安全研究人员最近发现,与朝鲜有关的黑客组织更新了名为BeaverTail的恶意软件,目标是MacOS用户。这款恶意软件通过模仿合法视频通话服务MiroTalk的磁盘映像文件传播,窃取加密货币钱包、浏览器数据等敏感信息,并下载执行其他Python脚本。研究人员指出,朝鲜黑客利用社会工程学手段,通过假冒招聘会议等方式接触潜在受害者,进一步增强了攻击的隐蔽性和成功率。

4、RDGA通过注册数百万域名改变DNS威胁形势

https://blogs.infoblox.com/threat-intelligence/rdgas-the-next-chapter-in-domain-generation-algorithms/

最新的安全报告揭示了一种新兴技术——注册域名生成算法(RDGA),它允许威胁行为者通过注册数百万个新域名来秘密改变DNS威胁形势。RDGA与传统基于恶意软件的DGA不同,威胁行为体使用算法一次性注册多个域名,用于恶意软件、网络钓鱼、垃圾邮件等多种犯罪活动。报告还特别指出了与XLoader恶意软件有关的Revolver Rabbit RDGA威胁行为体,以及Hancitor恶意软件多年来如何使用RDGA生成其C2域名。

5、MirrorFace组织利用NOOPDOOR攻击日本机构

https://blogs.jpcert.or.jp/en/2024/07/mirrorface-attack-against-japanese-organisations.html

自2022年以来,安全研究人员监测到MirrorFace组织的网络攻击活动,主要针对媒体、政治组织、智库和大学,2023年起转向制造商和研究机构。NOOPDOOR恶意软件通过注入合法应用程序执行,具有多种执行流程和混淆技术。攻击者使用多种技术访问网络凭据,进行横向移动,并利用Windows命令进行侦察。此外,攻击者使用工具如GOST进行代理通信,采用多种防御规避技术以隐藏其活动。

6、印度WazirX交易所遭黑客攻击损失2.3亿美元

https://thehackernews.com/2024/07/wazirx-cryptocurrency-exchange-loses.html

印度加密货币交易所WazirX近日遭遇重大安全漏洞,导致价值2.3亿美元的加密货币资产被盗。攻击源于其多重签名钱包的签名信息被篡改,钱包控制权被转移给攻击者。安全研究人员指出,此次攻击具有朝鲜威胁行为者的特征,攻击者利用去中心化服务将资产兑换为以太币,目前,WazirX团队正在全力追回被盗资金。

7、SolarWinds ARM软件修复11个安全漏洞

https://www.solarwinds.com/trust-center/security-advisories

SolarWinds公司近日对其访问权限管理器(ARM)软件进行了紧急更新,修复了11个严重安全漏洞。这些漏洞的严重程度被评为“严重”和“高”,其中7个漏洞的CVSS评分高达9.6,其余4个评分为7.6。这些安全缺陷可能被攻击者利用来访问敏感信息或执行任意代码。SolarWinds ARM软件的目录遍历、信息泄露以及远程代码执行漏洞是此次更新的重点。

8、攻击者假冒CrowdStrike更新漏洞传播Remcos RAT

https://www.crowdstrike.com/blog/likely-ecrime-actor-capitalizing-on-falcon-sensor-issues/

网络攻击者针对CrowdStrike Falcon传感器更新问题进行的攻击活动。攻击者利用该问题,制作了一个名为crowdstrike-hotfix.zip的恶意ZIP文件,试图诱骗拉丁美洲的CrowdStrike客户下载执行,从而植入RemCos恶意软件。该攻击活动具有针对性,使用西班牙语文件名和说明,且在执行过程中通过DLL搜索顺序劫持的方式加载HijackLoader,进一步逃避检测。

9、HTTP新型漏洞影响数千个Google Cloud托管网站

https://www.bugcrowd.com/blog/unveiling-te-0-http-request-smuggling-discovering-a-critical-vulnerability-in-thousands-of-google-cloud-websites/

安全研究人员发现了一种新型的HTTP请求走私漏洞(TE.0),该漏洞影响数千个Google Cloud托管网站。该漏洞利用了GCP负载均衡器的缺陷,允许攻击者绕过身份验证并可能接管用户账户。研究人员通过漏洞赏金计划发现并报告了此问题,Google已确认并修复了该漏洞,向研究人员支付了8500美元的赏金。

10、Azure配置错误引发Microsoft 365服务中断

https://www.bleepingcomputer.com/news/microsoft/major-microsoft-365-outage-caused-by-azure-configuration-change/

近日,微软公司遭遇了一次严重的服务中断,影响了美国中部地区的Microsoft 365客户。此次中断由Azure配置更改引发,导致包括Microsoft Defender、Intune、Teams、PowerBI、OneDrive for Business、SharePoint Online等多个服务无法访问。微软迅速采取措施,将流量重新路由至替代系统以缓解影响。尽管大部分服务已恢复,但一些客户在访问Microsoft Teams和管理中心时仍面临问题。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。