当前位置: 首页 > 行业资讯 > 网络安全日报 2023年06月05日

网络安全日报 2023年06月05日

发表于:2023-06-05 07:51 作者: 合天网安实验室 阅读数(2060人)

1、Kimsuky组织模仿关键人物进行针对性网络攻击

https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3413621/us-rok-agencies-alert-dprk-cyber-actors-impersonating-targets-to-collect-intell/

美国和韩国的网络安全和情报机构联合发布了一份关于朝鲜网络攻击者的警告,指出他们模仿关键人物进行针对性网络攻击。这些攻击者属于朝鲜的APT组织Kimsuky(又称APT43),他们利用钓鱼邮件和伪造的网站来诱使目标输入自己的凭证,然后利用这些凭证来访问目标的网络和数据。这些目标包括政府、军事、外交、媒体、人权、研究等领域的机构和个人。美韩机构提供了一些攻击者使用的域名、IP地址、电子邮件地址等,以帮助受影响的组织检测和防御这些攻击。美韩机构还提供了一些最佳实践,以提高网络安全水平,包括使用多因素认证、更新系统和软件、备份数据、监测网络流量等。

2、MOVEit Transfer遭遇零日漏洞攻击

https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023

Progress Software公司的MOVEit Transfer管理文件传输应用存在一个严重的漏洞,该漏洞已经被黑客广泛利用来控制脆弱的系统。该漏洞尚未被分配一个CVE编号,涉及一个SQL注入漏洞,允许未经授权的访问和提升权限。该漏洞影响了MOVEit Transfer 2021.1.0.0版本及以下版本,该应用被广泛用于在组织内部和外部安全地传输敏感数据。Progress Software公司已经发布了一个补丁来修复该漏洞,并建议用户尽快更新他们的应用。成功利用该漏洞的攻击者可以在“wwwroot”目录中创建一个名为“human2.aspx”的web shell文件,通过脚本执行任意命令。截至2023年5月31日,大约有2500个MOVEit Transfer实例暴露在公共互联网上,其中大多数位于美国。

3、恶意PyPI包混合源代码和编译代码来躲避安全检测

https://www.reversinglabs.com/blog/when-python-bytecode-bites-back-who-checks-the-contents-of-compiled-python-files

研究人员在Python Package Index(PyPI)中发现了一种新颖的攻击,利用编译后的Python代码来逃避检测。这可能是第一种利用Python字节码(PYC)文件可以直接执行的事实来发动供应链攻击的例子,并且是在PyPI中恶意提交激增的背景下发生的。如果是这样,它将带来另一种供应链风险,因为这种攻击很可能会被大多数只扫描Python源代码(PY)文件的安全工具所忽略。研究人员在2023年4月17日向PyPI安全团队报告了发现的名为fshec2的包,并且它在当天就被从PyPI仓库中删除了。PyPI安全团队也认为这种攻击很有趣,并承认之前没有见过。研究人员详细的介绍了他是如何识别fshec2作为一个可疑包,以及攻击者试图避免检测时使用的新颖方法。他还介绍了对恶意软件使用的命令和控制(C2)基础设施进行调查时发现的情况,并提供了成功攻击的证据。

4、Qakbot恶意软件利用住宅IP进行动态攻击

https://blog.lumen.com/qakbot-retool-reinfect-recycle/

Qakbot是一种银行木马,也被称为Pinkslipbot或Qbot,最早出现于2007年,主要通过电子邮件劫持和社会工程学来传播,并感染Windows主机。这个僵尸网络采用了一些技术来隐藏其基础设施,例如使用住宅IP地址和感染的Web服务器,而不是使用托管的虚拟专用服务器(VPS)网络。Qakbot根据安全策略的收紧和防御的演变,不断改变其初始入侵的方式。研究人员跟踪了Qakbot最近的活动,观察了其网络结构,并获得了一些关于支持Qakbot作为一种逃避式和顽固威胁的方法的关键见解。研究人员从Qakbot在2022年12月底开始的垃圾邮件活动中成功入侵的情况开始进行分析,并指出威胁行为者在2022年初就应对微软宣布将默认阻止Office用户使用XL4和VBA宏的反应,从基于宏的Microsoft Office文档中转移出来。今年,该僵尸网络通过快速改变在社会工程学电子邮件劫持活动中传送的文件类型来获得初始访问权限。它通过利用各种恶意OneNote文件、Web逃避标记和HTML走私技术来保持攻击者的优势。

5、研究人员披露Tron零日漏洞发现和验证细节

https://0d.dwalletlabs.com/game-of-tron-critical-0-day-in-tron-multi-signature-wallets-2c3e90668dc0

研究人员发现了一个影响Tron多重签名账户的严重零日漏洞,该漏洞可能导致超过5亿美元的数字资产面临风险。该漏洞涉及一个SQL注入漏洞,允许攻击者在没有任何验证的情况下访问和修改多重签名账户的数据,包括增加或删除签名者、更改阈值、转移资金等。该漏洞影响了Tron 4.1.2版本及以下版本,该版本于2021年9月发布。研究人员在2021年2月通过一个漏洞赏金计划向Tron报告了该漏洞,并在几天内得到了修复。研究人员介绍了他们是如何发现和验证该漏洞的,并提供了一些技术细节和代码片段。还介绍了该漏洞可能带来的影响和风险,并给出了一些防御建议。

6、MOVEit Transfer中的零日漏洞被用于数据窃取

https://www.mandiant.com/resources/blog/zero-day-moveit-data-theft

研究人员披露了Progress Software的托管文件传输产品MOVEit Transfer中存在一个零日漏洞,该漏洞已被分配CVE-2023-34362,并被广泛利用来部署网络后门和窃取数据。研究人员表示,这个漏洞最早在5月27日被利用,导致网络后门的部署和数据的窃取。

7、DogeRAT 恶意软件针对银行和娱乐行业

https://cyware.com/news/dogerat-malware-eyes-banking-and-entertainment-sectors-a720b704

发现了一种新的Android恶意软件威胁,主要针对印度的用户。该恶意软件名为DogeRAT,通过伪装成Opera Mini,OpenAI ChatGPT以及Netflix和YouTube高级版本的社交媒体和消息传递平台进行分发。

8、威胁行为者可以从Google云端硬盘中窃取数据而不会留下痕迹

https://www.helpnetsecurity.com/2023/06/01/data-exfiltration-google-drive/

Mitiga研究人员说,Google Workspace(以前称为G Suite)有一个弱点,可以防止恶意的外部人员或内部人员从Google云端硬盘发现数据泄露。

9、Splunk Enterprise修补了一个高严重性漏洞

https://www.securityweek.com/high-severity-vulnerabilities-patched-in-splunk-enterprise

其中最严重的是 CVE-2023-32707,这是一个权限提升问题,允许具有“edit_user”功能的低特权用户通过特制的 Web 请求将权限提升给管理员。

10、6月1日起,谷歌对Chrome的沙盒逃逸漏洞的奖金增加三倍

https://www.freebuf.com/news/368272.html

谷歌6月1日宣布,对其Chrome网络浏览器的沙盒逃逸链漏洞的奖励增加三倍,直至2023年12月1日。该公司的这一举措旨在鼓励安全研究人员识别和报告可能破坏Chrome浏览器安全机制的漏洞,最终帮助该软件增强抵御攻击的整体弹性。Chrome浏览器漏洞奖励计划的奖金从6月1日开始生效,只适用于首个功能性全链漏洞。通过提交一个全链漏洞,参与者可以获得高达18万美元的奖励,同时也有可能再获得其他奖金,而在六个月的窗口期提交的其他漏洞,最高可获得12万美元的奖励。

免责声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表合天网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和合天网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与合天网安实验室一律不予承担。