https://asec.ahnlab.com/ko/47622/
AhnLab安全应急响应中心(ASEC)分析小组在1月份确认,RedEyes攻击组织(也称为APT37、ScarCruft)正在通过Hangul Encapsulated PostScript(EPS)漏洞(CVE-2017-8291)传播恶意软件。此次RedEyes组织的攻击活动主要利用隐写技术传播恶意代码。黑客组织向目标发送了包含恶意附件的钓鱼电子邮件。打开附件会触发对韩国常用的韩文文字处理器中的旧EPS漏洞(CVE-2017-8291)的利用。该漏洞将导致shellcode在受害者的计算机上运行,下载并执行存储在JPEG图像中的恶意代码。此图像文件使用隐写术,将M2RAT恶意软件可执行文件偷偷引入系统并将其注入“explorer.exe”。M2RAT后门充当基本的远程访问木马,可执行键盘记录、数据窃取、命令执行以及从桌面截取屏幕截图。
https://therecord.media/tonga-is-the-latest-pacific-island-nation-hit-with-ransomware/
汤加国有电信公司向客户发出警告,称其受到了勒索软件的攻击。汤加通信公司(TCC)在Facebook上发布通知称,这次攻击可能会减慢行政运作。该公司表示“勒索软件攻击已被证实是为了加密和锁定对TCC部分系统的访问。这不会影响向客户提供语音和互联网服务,但可能会减缓连接新客户、交付账单和管理客户查询的过程。”网络安全专家Dominic Alvieri表示,Medusa勒索软件组织声称对周一的TCC攻击负责。
https://www.hackread.com/sas-airlines-hit-by-cyber-attack/
2月14日,SAS航空公司遭到网络攻击,迫使该公司的网站和应用程序离线,乘客无法访问。据路透社报道,该航空公司敦促客户不要使用其移动应用程序,因为他们可能会收到不正确的信息。据报道,包括挪威客户在内的一些用户登录了错误的账户,访问了其他客户的数据。SAS的新闻负责人Karin Nyman表示,该问题现已得到解决。该航空公司没有提供有关这次攻击事件的细节。
网络安全公司Emsisoft警告,一名黑客正在使用伪造的代码签名证书冒充Emsisoft公司来瞄准使用其安全产品的客户,希望以此绕过他们的防御。这些假证书的名称似乎与可信赖的实体相关联,但实际上并不是有效证书。Emsisoft表示,威胁行为者可能通过暴力破解RDP或使用属于目标组织员工的被盗凭证获得了对受感染设备的初始访问权。一旦攻击者获得了对端点的访问权限,他们就会安装一个名为MeshCentral的开源远程访问应用程序。这个MeshCentral可执行文件是用一个伪造的Emsisoft证书签名的,当安全产品扫描该文件时,由于签名无效将其标记为“未知”并隔离。如果员工因数字签名名称而将此警告视为误报,他们可能会允许应用程序运行,从而使攻击者能够获得对设备的完全访问权限。
https://portswigger.net/daily-swig/remote-code-execution-flaw-patched-in-apache-kafka
Apache解决了一个可能利用Kafka Connect发起远程代码执行(RCE)攻击的漏洞,漏洞被跟踪为CVE-2023-25194。该漏洞只有在访问Kafka Connect worker(一个逻辑工作单元组件)时才会触发,并且用户还必须能够使用任意Kafka客户端SASL JAAS配置和基于SASL的安全协议来创建或修改worker连接器。利用Kafka漏洞,经过身份验证的攻击者可以通过Aiven API或Kafka Connect REST API配置特定的连接器属性,从而迫使工作人员连接到攻击者控制的LDAP服务器。Apache Kafka版本2.3.0-3.3.2受到影响,该漏洞在3.4.0版本得到修复。
一种名为“ProxyShellMiner”的新型恶意软件利用Microsoft Exchange ProxyShell漏洞在整个Windows域中部署加密货币矿工。攻击者利用ProxyShell漏洞CVE-2021-34473和CVE-2021-34523来获得对组织网络的初始访问权。之后,将.NET恶意软件有效载荷放入域控制器的NETLOGON文件夹中,以确保网络上的所有设备都运行该恶意软件。然后恶意软件下载名为“DC_DLL”的文件并执行.NET反射以提取任务调度器、XML和XMRig密钥的参数。第二个下载程序通过创建一个被配置为在用户登录时运行的计划任务,在受感染的系统上建立持久性。攻击链的最后一步是创建一个防火墙规则来阻止所有传出流量,该规则适用于所有Windows防火墙配置文件。
https://securityaffairs.com/142373/breaking-news/german-airports-websites-failures.html
上周四,德国几个机场的网站无法访问,专家展开调查,推测可能是针对关键基础设施进行的大规模网络攻击。ADV机场协会的首席执行官证实,这些网站遭到了DDoS攻击。机场的其他系统没有受到影响。这起网络攻击事件发生的前一天,一次IT故障导致德国国家航空公司汉莎航空(Lufthansa)在法兰克福机场的数千名乘客取消和延误航班。机场管理人员证实,这些问题很可能是由恶意流量引起的。
https://portswigger.net/daily-swig/http-request-smuggling-bug-patched-in-haproxy
HAProxy是一款流行的开源负载均衡器和反向代理,它修补了一个漏洞,该漏洞使攻击者能够发起HTTP请求走私攻击。通过发送恶意制作的HTTP请求,攻击者可以绕过HAProxy的过滤器,并获得对后端服务器的未经授权访问。HAProxy维护者Willy Tarreau表示,自2019年6月发布的HAProxy 2.0版本以来,该漏洞就一直存在。Tarreau正在积极维护HAProxy的七个版本,并为所有这些版本发布了修复程序。
https://www.securityweek.com/newly-disclosed-vulnerability-exposes-eol-arris-routers-to-attacks/
Malwarebytes警告称,一个远程代码执行漏洞会影响多款Arris路由器,该漏洞被跟踪为CVE-2022-45701,是由于路由器固件没有正确中和请求中的特殊字符,这允许安全研究员可以执行shell脚本命令注入。受影响的型号已达到生命周期终止(EOL),不太可能收到补丁。该安全漏洞影响运行固件版本9.1.103的G2482A、TG2492和SBG10路由器,这些路由器在拉丁美洲和加勒比地区很常见。
https://securityaffairs.com/142405/data-breach/godaddy-discloses-data-breach-2.html
网络托管公司GoDaddy披露攻击者窃取了源代码并在其服务器上安装了恶意软件。威胁行为者已经破坏了其cPanel共享托管环境,该公司表示无法确定最初入侵的时间,但是它仍在调查漏洞以确定事件的根本原因。安装在该公司系统上的恶意软件会间歇性地将随机客户网站重定向到恶意网站。GoDaddy透露,多年来有证据表明,这些威胁行为者与全球其他网络托管服务提供商的攻击有关。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
