当前位置: 首页 > 行业资讯 > 网络安全日报 2023年09月06日

网络安全日报 2023年09月06日

发表于:2023-09-06 08:24 作者: 蚁景网安实验室 阅读数(8303人)

1、研究人员披露Gamaredon组织乌克兰反攻期间的活动

https://www.rnbo.gov.ua/files/2023_YEAR/CYBERCENTER/%D0%90%D0%BA%D1%82%D0%B8%D0%B2%D0%BD%D1%96%D1%81%D1%82%D1%8C%20%D1%83%D0%B3%D1%80%D1%83%D0%BF%D0%BE%D0%B2%D0%B0%D0%BD%D0%BD%D1%8F.pdf

研究人员发布了威胁趋势的新报告,分析了 Gamaredon 组织在乌克兰反攻前夕的活动增长情况。在军事行动新阶段的背景下,俄罗斯集团的活动日益增多。特别是试图窃取秘密军事信息的活动。在乌克兰反攻之前,Gamaredon 组织准备了基础设施 - 我们看到网络攻击数量显着增加。Gamaredon 组织使用从受损组织窃取的合法文档来感染受害者。这些文件通常伪装成报告或官方通讯,增加了成功攻击的可能性。Gamaredon 组织使用 Telegram 和 Telegraph 等合法服务进行秘密网络通信。该组织的恶意软件库包括 GammaDrop、GammaLoad、GammaSteel、LakeFlash 和 Pterodo。

2、研究人员披露RemcosRat恶意软件

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/peeling-back-the-layers-of-remcosrat-malware

研究人员观察到 Remcos RAT 活动,其中恶意 VBS 文件通过网络钓鱼电子邮件传递。网络钓鱼电子邮件包含 ZIP/RAR 附件。在这个 ZIP 中,有一个严重混淆的 VBS 文件。 Remcos 是一种复杂的 RAT,它为攻击者提供对受感染系统的后门访问并收集各种敏感信息。Remcos 结合了不同的混淆和反调试技术来逃避检测。RemcosRat是一种复杂的多阶段威胁。研究人员解开了该恶意软件如何下载和执行 VBS 和 PowerShell 脚本;威胁如何解开不同层并下载最终的 Remcos 远程访问负载。

3、LogicMonitor客户因使用默认密码而遭到黑客攻击

https://techcrunch.com/2023/08/31/logicmonitor-customers-hit-by-hackers-because-of-default-passwords/

网络安全公司 LogicMonitor 的一些客户因使用默认密码而遭到黑客攻击。LogicMonitor 发言人在一份声明中表示,目前正在解决影响少数客户的安全事件。我们正在与这些客户直接沟通并密切合作,采取适当措施减轻影响。该事件的起因是,直到本周,LogicMonitor 还在为客户分配默认的弱密码,例如“Welcome@”加上一个短号码。当你使用 [LogicMonitor] 设置帐户时,他们会定义一个默认密码,并且你的组织或帐户的所有用户帐户都使用该密码创建。现在该公司设置密码的有效期为 30 天,首次登录时必须更改。

4、攻击者针对MS SQL服务器部署FreeWorld勒索软件

https://www.securonix.com/blog/securonix-threat-labs-security-advisory-threat-actors-target-mssql-servers-in-dbjammer-to-deliver-freeworld-ransomware/

攻击者正在利用安全性较差的 Microsoft SQL (MS SQL) 服务器来传播 Cobalt Strike 和名为 FreeWorld 的勒索软件病毒。研究人员将该活动称为“DB#JAMMER”,表示该活动因其工具集和基础设施的使用方式而脱颖而出。其中一些工具包括枚举软件、RAT 有效负载、漏洞利用和凭证窃取软件,最后是勒索软件有效负载。选择的勒索软件有效负载似乎是 Mimic 勒索软件的新变种,称为 FreeWorld。对受害主机的初始访问是通过暴力破解 MS SQL 服务器来实现的,使用它来枚举数据库并利用 xp_cmdshell配置选项来运行 shell 命令并进行侦察。下一阶段需要采取措施削弱系统防火墙并通过连接到远程 SMB 共享来与受害者系统传输文件以及安装 Cobalt Strike 等恶意工具来建立持久性。据称,未知攻击者还尝试通过 Ngrok 建立 RDP 持久性,但未成功。

5、VMware Aria SSH身份验证绕过漏洞的POC发布

https://kb.vmware.com/s/article/94152

针对最近披露并修补的影响 VMware Aria Operations for Networks(以前称为 vRealize Network Insight)的关键缺陷,已提供概念验证 (PoC) 漏洞利用代码。该缺陷的编号为CVE-2023-34039,严重程度为 9.8 分(满分 10 分),并被描述为由于缺乏唯一加密密钥生成而导致身份验证绕过的情况。具有 Aria Operations for Networks 网络访问权限的恶意行为者可以绕过 SSH 身份验证来访问 Aria Operations for Networks CLI。研究人员在分析了 VMware 发布的补丁后发布了 PoC,他表示根本原因可以追溯到包含名为 refresh_ssh_keys() 的方法的 bash 脚本,该方法负责覆盖当前的 SSH 密钥支持和ubuntu用户在authorized_keys文件中。

6、黑客从加密货币博彩平台 STAKE 窃取了价值 4100 万美元的资产

https://securityaffairs.com/150401/hacking/crypto-gambling-firm-stake-hacked.html

研究人员报告称,从加密货币赌博网站 Stake 提取的资金异常大量到一个之前没有任何活动的账户,这种情况表明威胁行为者已经侵入了该平台并窃取了包括 Tether 和 Ether 在内的加密资产。

7、FREECYCLE 数据泄露影响了 700 万用户

https://securityaffairs.com/150392/security/the-freecycle-network-data-breach.html

非营利组织 Freecycle Network (Freecycle.org) 确认其遭受了数据泄露,影响了超过 700 万用户。

8、德国联邦金融监管局 (BaFin) 的网站DDoS攻击而瘫痪数日

https://securityaffairs.com/150359/hacking/ddos-attack-on-bafin.html

德国联邦金融监管局 (BaFin) 的网站因分布式拒绝服务 (DDoS) 攻击而瘫痪。

9、MITRE 和 CISA 发布用于模拟OT 攻击的开源工具

https://www.securityweek.com/mitre-and-cisa-release-open-source-tool-for-ot-attack-emulation/

MITRE 公司和美国网络安全和基础设施安全局 (CISA) 今天宣布了开源 Caldera 平台的新扩展,该平台可模拟针对运营技术 (OT) 的对抗性攻击。Caldera for OT扩展是国土安全系统工程与开发研究所 (HSSEDI) 与 CISA 合作的成果,旨在帮助提高关键基础设施的弹性。Caldera 网络安全平台提供自动对手模拟、安全评估以及红、蓝、紫组队,并使用 MITRE ATT&CK 框架。

10、大量黑客针对 Okta 超管权限发起社工攻击

https://thehackernews.com/2023/09/okta-warns-of-social-engineering.html

身份服务提供商 Okta 警告称,有威胁攻击者针对该公司进行了一次社会工程攻击并获得了管理员权限。

免责声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。