当前位置: 首页 > 行业资讯 > 网络安全日报 2024年08月01日

网络安全日报 2024年08月01日

发表于:2024-08-01 08:31 作者: 合天网安实验室 阅读数(2579人)

1、ModiLoader钓鱼攻击针对波兰等国中小企业

https://www.welivesecurity.com/en/eset-research/phishing-targeting-polish-smbs-continues-modiloader/

研究人员监测到一起针对波兰、罗马尼亚和意大利中小企业的网络钓鱼活动。此次攻击通过ModiLoader下载器传播了包括Rescoms、Agent Tesla和Formbook在内的多个恶意软件家族。研究人员在5月份特别关注了9起显著的ModiLoader钓鱼活动,这些活动通过传播多种恶意软件家族,对这些企业的网络安全构成了严重威胁。攻击者采用了先进的技术手段,通过之前被入侵的账户和服务器来散布恶意软件,同时收集被盗信息。

2、大规模跨国Android短信OTP窃取活动影响超过113个国家

https://www.zimperium.com/blog/unmasking-the-sms-stealer-targeting-several-countries-with-deceptive-apps/

团队对一场波及全球的Android短信窃取活动进行了深入研究和跟踪。这场活动通过超过107000个恶意软件样本,利用欺骗性广告和Telegram机器人等手段,针对了多个国家的大量用户。这些恶意软件样本伪装成合法应用程序,请求用户授权短信读取权限,然后与C&C服务器建立联系,收集敏感短信数据,包括用于账户验证的一次性密码(OTP)。攻击者展示了高度的适应性和技术能力,不断更新其策略和工具,以规避安全检测。受影响的国家超过113个,俄罗斯和印度成为主要目标。

3、研究人员发现与Zloader相关新PowerShell后门

https://www.infosecurity-magazine.com/news/walmart-powershell-backdoor-zloader/

研究人员近期揭露了一个与Zloader恶意软件相关的新型PowerShell后门。该后门旨在通过侦察活动为攻击者提供进一步访问权限,并部署包括Zloader在内的其他恶意软件样本。该后门采用了高级混淆技术,可能与新变种的Zloader一起使用,Zloader最初是一种银行木马,但近年来已发展出新功能,并与多个俄罗斯勒索软件组织有关联。

4、研究人员利用OPSEC漏洞渗透了Medusa云存储数据

https://darkatlas.io/blog/medusa-ransomware-group-opsec-failure

研究人员对Medusa勒索软件集团的调查中,发现了该组织的一个OPSEC(操作安全)漏洞。这一失误使得研究人员能够渗透Medusa的云账户,访问并分析其窃取的数据。通过这次访问,研究人员不仅能够查看和下载Medusa从受害者那里窃取的所有数据,还开始删除敏感文件,并联系受害者协助他们恢复数据。为了帮助检测此类事件,研究人员还制定了sigma规则,并通过邮件联系了尽可能多的受害者,提供恢复帮助。

5、Dark Angels勒索软件团伙获7500万美元巨额赎金

https://www.bleepingcomputer.com/news/security/dark-angels-ransomware-receives-record-breaking-75-million-ransom/

研究报告中披露,一家位列财富50强的公司在2024年年初向Dark Angels勒索软件团伙支付了7500万美元的巨额赎金,该金额刷新了勒索软件赎金的历史记录。此前,最大的一笔已知赎金是CNA保险公司支付的4000万美元。Dark Angels勒索软件行动自2022年5月发起,专注于全球范围内的企业网络,采用“大猎物狩猎”策略,通过入侵企业网络并加密设备,以此作为索要高额赎金的手段。该团伙还运营名为“Dunghill Leaks”的数据泄露网站,以此威胁受害者支付赎金。Dark Angels策略与大多数勒索软件组织不同,后者通常不加区分地攻击大量目标,而Dark Angels则一次只针对一家大公司,这已成为近年来勒索软件团伙的主导趋势。

6、勒索软件攻击 OneBlood 血库,扰乱医疗运营

https://www.securityweek.com/ransomware-attack-hits-oneblood-blood-bank-disrupts-medical-operations/

OneBlood 是一家为美国 300 多家医院提供服务的非营利性血库,目前遭受了破坏性勒索软件攻击。

7、新漏洞使攻击者能够伪造来自2000多万个域名的电子邮件

https://www.securityweek.com/vulnerabilities-enable-attackers-to-spoof-emails-from-20-million-domains/

两个新发现的漏洞可能允许威胁行为者滥用托管电子邮件服务来欺骗发件人的身份并绕过现有的保护措施,发现这些漏洞的研究人员表示,数百万个域名受到影响。卡内基梅隆大学计算机应急响应小组 (CERT) 协调中心 (CERT/CC)在一份咨询报告中指出,这两个漏洞的编号为CVE -2024-7208和CVE-2024-7209,允许经过身份验证的攻击者伪造共享托管域的身份,并使用网络授权伪造电子邮件发件人。这些缺陷可能让攻击者能够伪造来自 2000 多万个域名(包括知名品牌)的电子邮件,就像SMTP 走私事件或最近详述的滥用Proofpoint 电子邮件保护服务的活动一样。

8、微软称最新的Azure中断是由对DDoS攻击防御引起的

https://www.securityweek.com/microsoft-says-azure-outage-caused-by-ddos-attack-response/

微软对 Azure 遭受的 DDoS 攻击的响应不但没有减轻攻击的影响,反而扩大了攻击的影响,从而导致了中断。调查显示,针对其系统发起的 DDoS 攻击触发了保护机制,但这些防御机制中的实施错误导致攻击的影响被放大而不是减轻。

9、DigiCert因域名验证疏忽撤销了83,000 多个 SSL 证书

https://thehackernews.com/2024/07/digicert-to-revoke-83000-ssl.html

证书颁发机构 (CA) DigiCert 发出警告称,由于在验证数字证书是否颁发给域名合法所有者的方式上存在疏忽,它将在 24 小时内撤销部分 SSL/TLS 证书。该公司表示,将采取措施撤销没有适当域控制验证(DCV)的证书。

10、黑客窃取并公开了CrowdStrike的10万行IoC数据

https://hackread.com/hacker-scrapes-publishes-crowdstrike-ioc-list/

CrowdStrike对黑客USDoD的声明持审慎态度,并没有直接否定。公司确认了USDoD关于泄露威胁行为者和IoC列表的说法,并分析了黑客提供的样本数据。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。