当前位置: 首页 > 行业资讯 > 网络安全日报 2023年09月04日

网络安全日报 2023年09月04日

发表于:2023-09-04 08:04 作者: 合天网安实验室 阅读数(5477人)

1、Anonymous Sudan组织针对X(Twitter)应用程序进行网络攻击

https://www.bbc.com/news/technology-66668053

周二上午,Anonymous Sudan 的黑客组织攻击了 X(以前称为 Twitter),影响到了十多个国家,试图向埃隆·马斯克施压,迫使其在这些国家推出星链服务。X 宕机了两个多小时,数千用户受到影响。黑客在 Telegram 上发帖称:“让我们的信息传达给埃隆·马斯克:‘在苏丹开放星链’。” 研究人员在聊天应用程序 Telegram 上与该小组进行了数周的私人对话,并与黑客谈论了他们的方法和动机。

2、研究人员披露Spring-Kafka反序列化零日漏洞

https://www.contrastsecurity.com/security-influencers/contrast-assess-uncovers-spring-kafka-deserialization-zero-day

8 月初,安全厂商的用户报告了他们最初认为是误报的情况: Spring-Kafka中存在反序列化漏洞。 Spring 由 VMware 和 Pivotal Software 开发,是一个用于构建企业 Java 应用程序的开源框架,而 Spring for Apache Kafka (Spring-Kafka) 项目将 Spring 的核心概念应用于基于 Kafka 的消息传递解决方案的开发。客户之所以认为这是误报,是因为它是在Spring框架本身内发现的,而不是在客户自己的代码中,而且因为 Spring 似乎添加了反序列化保护。但事实证明,该漏洞并非误报。事实上,这是 Spring-Kafka 中的一个零日反序列化漏洞。 VMware 的安全团队确认了零日漏洞,并于 8 月 23 日推出了修复程序。已分配通用漏洞披露 (CVE) 编号 CVE-2023-34040。

3、开源工具SapphireStealer可用于窃取凭证和数据

https://blog.talosintelligence.com/sapphirestealer-goes-open-source/

SapphireStealer 是一种开源信息窃取程序,自 2022 年 12 月首次公开发布以来,在公共恶意软件存储库中出现的频率不断增加。SapphireStealer 等信息窃取恶意软件可用于获取敏感信息,包括公司凭证,这些信息通常会转售给其他攻击者,这些攻击者利用该访问权限进行其他攻击,包括与间谍活动或勒索软件相关的操作。SapphireStealer 似乎是作为多阶段感染过程的一部分进行攻击的,攻击者利用 FUD-Loader 等开源恶意软件下载器将 SapphireStealer 交付给潜在受害者。

4、研究人员披露Andariel组织攻击活动

https://asec.ahnlab.com/en/56405/

Andariel 威胁组织通常针对韩国企业和组织,隶属于 Lazarus 威胁组织或其子公司之一。自2008年以来,针对韩国目标的攻击已被确定。主要目标行业是国防、政治组织、造船、能源和通信等与国家安全相关的行业。韩国的其他各种公司和机构,包括大学、物流和信息通信技术公司也成为攻击目标。研究人员发现存在大量用 Go 语言开发的恶意软件样本。在使用 Innorix Agent 的攻击案例中,使用了用 Go 开发的 Reverse Shell。随后 Black RAT 被用于针对韩国公司的攻击。除了Go版本之外,DurianBeacon还有一个用Rust语言开发的版本。

5、LockBit勒索软件组织针对蒙特利尔电力委员会进行攻击

https://therecord.media/montreal-electricity-organization-lockbit-victim

周三,LockBit勒索软件组织声称对蒙特利尔电力服务委员会 (CSEM) 进行了攻击,该委员会是一个拥有 100 年历史的市政组织,负责管理蒙特利尔市的电力基础设施。该市政组织周二证实了这一事件,并在一份声明中写道,该市政组织于 8 月 3 日遭到勒索软件攻击,但拒绝支付赎金。它联系了魁北克省的国家当局和执法部门,同时尽一切努力恢复其系统。该公司表示,其 IT 基础设施已经重建。参与此案的犯罪组织今天公开了一些被盗数据。CSEM 谴责这种非法行为,同时指出,所披露的数据对于公众安全和 CSEM 开展的业务来说风险较低。

6、研究人员披露攻击者利用Adobe ColdFusion漏洞进行攻击活动

https://www.fortinet.com/blog/threat-research/multiple-threats-target-adobe-coldfusion-vulnerabilities

今年 7 月,Adobe 公司发布了一系列安全更新: APSB23-40 、 APSB23-41 和 APSB23-47 ,以回应其 ColdFusion 解决方案中针对预身份验证远程代码执行(RCE)漏洞的利用报告。研究人员对这些漏洞的深入分析,其中包括 Adobe ColdFusion 2021 内 WDDX 反序列化过程中的一个重大漏洞。然而,安全更新后,遥测数据继续检测到大量利用 Adobe ColdFusion 不可信数据反序列化漏洞的行为,这带来了任意代码执行的重大风险。这些攻击包括探测、建立反向 shell 以及部署恶意软件以进行后续操作。

7、WordPress迁移插件漏洞可能导致数据泄露

https://patchstack.com/articles/pre-auth-access-token-manipulation-in-all-in-one-wp-migration-extensions/

All-in-One WP Migration 是一款流行的 WordPress 网站数据迁移插件,拥有 500 万个活跃安装量,它受到未经身份验证的访问令牌操纵的影响,可能允许攻击者访问敏感的网站信息。All-in-One WP Migration 是一款用户友好的 WordPress 网站迁移工具,适合非技术和缺乏经验的用户,允许将数据库、媒体、插件和主题无缝导出到单个存档中,以便在新目的地上轻松恢复。研究人员称,该插件供应商 ServMask 提供的各种高级扩展都包含相同的易受攻击的代码片段,这些代码在 init 函数中缺乏权限和随机数验证。此代码存在于 Box 扩展、Google Drive 扩展、One Drive 扩展和 Dropbox 扩展中,这些扩展是为了促进使用上述第三方平台的数据迁移过程而创建的。该漏洞编号为 CVE-2023-40004,允许未经身份验证的用户访问和操纵受影响扩展程序上的令牌配置,从而可能允许攻击者将网站迁移数据转移到自己的第三方云服务帐户或恢复恶意备份。成功利用 CVE-2023-40004 的主要后果是数据泄露,其中可能包括用户详细信息、关键网站数据和专有信息。

8、研究人员开发Key Group勒索软件解密器以恢复数据

https://blog.eclecticiq.com/decrypting-key-group-ransomware-emerging-financially-motivated-cyber-crime-gang

Key Group 是一家讲俄语的威胁组织,于 2023 年初突然采取行动,攻击各种组织,从受感染的系统窃取数据,然后使用私人 Telegram 渠道协商赎金支付。俄罗斯威胁情报公司 BI.ZONE 此前曾报道称,Key Group 的勒索软件基于 Chaos 4.0 构建器,而研究人员则发现该组织在俄语暗网市场上销售窃取的数据和 SIM 卡,并共享人肉搜索数据和远程访问到网络摄像机。加密过程后,Key Group 会擦除受害系统中的原始文件,并将 .KEYGROUP777TG 文件扩展名应用于所有条目。攻击者使用 Windows 本地二进制文件(即所谓的LOLBins)来删除卷影副本,从而在不支付赎金的情况下阻止系统和数据恢复。此外,恶意软件还会更改受感染系统上运行的防病毒产品的主机地址,以阻止它们获取更新。研究人员利用 Key Group 勒索软件加密方案的弱点,开发了一种解密工具,可以让一些受害者免费恢复他们的文件。该解密器适用于 8 月初构建的恶意软件版本。攻击者声称他们的恶意软件使用军用级 AES 加密,但储物柜在所有加密过程中使用静态盐,使得该方案在一定程度上可预测,并且加密可以逆转。研究人员补充道:“密码是使用基于密码的密钥导出函数 2 (PBKDF2) 和固定盐从密钥导出的。”Key Group 勒索软件解密器是一个 Python 脚本。该脚本将在目标目录及其子目录中搜索扩展名为 .KEYGROUP777TG 的文件,并使用原始文件名(从 base64 字符串解码)解密并保存解锁的内容。

9、Classiscam诈骗即服务业务非法获利6450万美元

https://www.group-ib.com/blog/classiscam-2023/

自 2019 年推出以来,Classiscam 诈骗即服务计划已为犯罪分子获取了 6450 万美元的非法收入。Classiscam 活动最初始于分类网站,诈骗者在这些网站上放置虚假广告,并利用社会工程技术说服用户通过将钱转入银行卡来购买商品。从那时起,Classiscam 活动已变得高度自动化,并且可以在许多其他服务上运行,例如在线市场和拼车网站。大多数受害者来自欧洲(62.2%),其次是中东和非洲(18.2%)以及亚太地区(13%)。德国、波兰、西班牙、意大利和罗马尼亚在 Classiscam 聊天中登记的欺诈交易数量最多。Classiscam 于 2019 年首次被发现,是一个涵盖 Telegram 上 1366 个不同群组的操作的总称。这些活动首先针对俄罗斯,然后将触角扩展到全球,渗透到 79 个国家并冒充 251 个品牌。

10、Lazarus组织使用VMConnect恶意软件进行供应链攻击

https://www.reversinglabs.com/blog/vmconnect-supply-chain-campaign-continues

8 月初,研究人员发现了一个恶意供应链活动,将其称为“VMConnect”。该活动包括发布到 Python 包索引 (PyPI) 开源存储库的两打恶意 Python 包。这些软件包模仿了流行的开源Python工具,包括vConnector ,这是一个用于pyVmomi VMware vSphere绑定的包装模块;eth-tester,用于测试基于以太坊的应用程序的工具集合;和数据库,一种为一系列数据库提供异步支持的工具。 研究人员继续监控 PyPI,现在又发现了另外三个恶意 Python 包,它们被认为是 VMConnect 活动的延续:tablediter、request-plus和requestspro。

免责声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表合天网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和合天网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与合天网安实验室一律不予承担。