CISA、FBI 和美国网络司令部周四发布的一份联合报告显示,国家支持的黑客组织利用针对 Zoho 和 Fortinet 关键漏洞的漏洞攻击了美国一家航空组织。此次违规事件背后的威胁组织尚未被命名,但虽然联合通报没有将攻击者与特定国家联系起来,但美国网络司令部的新闻稿将 攻击者与伊朗的利用活动联系起来。
朝鲜攻击者使用 X(以前称为 Twitter)等社交媒体网站与目标建立融洽的关系。在一个案例中,他们进行了长达数月的对话,试图与安全研究人员就共同感兴趣的话题进行合作。通过 X 进行初步联系后,他们转向使用 Signal、WhatsApp 或 Wire 等加密消息应用程序。一旦与目标研究人员建立了关系,威胁行为者就会发送一个恶意文件,其中包含流行软件包中的至少一个 0day。成功利用后,shellcode 会进行一系列反虚拟机检查,然后将收集到的信息以及屏幕截图发送回攻击者控制的命令和控制域。此漏洞利用中使用的 shellcode 的构造方式与之前朝鲜漏洞利用中观察到的 shellcode 类似。该漏洞已报告给受影响的供应商,并且正在修复中。修补后,研究人员将根据我们的披露政策发布更多技术细节和所涉及漏洞的分析。
研究人员表示,苹果今天在紧急安全更新中修复的两个零日漏洞被滥用,用作零点击漏洞利用链的一部分,将 NSO Group 的 Pegasus 商业间谍软件部署到打过补丁的 iPhone 上。这两个漏洞分别为 CVE-2023-41064 和 CVE-2023-41061,允许攻击者通过包含恶意图像的 PassKit 附件感染运行 iOS 16.6 且属于华盛顿特区民间社会组织的完整补丁 iPhone。研究人员将该漏洞利用链称为 BLASTPASS。该漏洞利用链能够危害运行最新版本 iOS (16.6) 的 iPhone,而无需受害者进行任何交互。该漏洞涉及 PassKit 附件,其中包含从攻击者 iMessage 帐户发送给受害者的恶意图像。研究人员在图像 I/O 和钱包框架中发现了两个零日漏洞。CVE-2023-41064 是处理恶意制作的图像时触发的缓冲区溢出,而 CVE-2023-41061 是可通过恶意附件利用的验证问题。两者都允许威胁行为者在未修补的 iPhone 和 iPad 设备上获得任意代码执行。
https://www.group-ib.com/media-center/press-releases/w3ll-phishing-report/
过去六年来,一个以前未记录的“网络钓鱼帝国”与旨在破坏 Microsoft 365 商业电子邮件帐户的网络攻击有关。攻击者创建了一个名为 W3LL Store 的隐藏地下市场,该市场为至少 500 名攻击者组成的封闭社区提供服务,这些攻击者可以购买名为 W3LL Panel 的自定义网络钓鱼工具包(旨在绕过 MFA),以及其他 16 个完全定制的工具商业电子邮件泄露(BEC)攻击,据估计,2022 年 10 月至 2022 年 10 月期间,网络钓鱼基础设施已针对超过 56000 个企业 Microsoft 365 帐户,并危害了其中至少 8000 个帐户,主要位于美国、英国、澳大利亚、德国、加拿大、法国、荷兰、瑞士和意大利。 2023 年 7 月,其运营商净获 50 万美元非法利润。使用网络钓鱼解决方案渗透的一些重要行业包括制造、IT、咨询、金融服务、医疗保健和法律服务。研究人员表示,它在同一时期发现了近 850 个由 W3LL 小组发起的独特网络钓鱼网站。W3LL 恶意软件库的核心组件是中间对手 (AiTM) 网络钓鱼工具包,它可以绕过多重身份验证 (MFA) 保护。三个月订阅费为 500 美元,随后的月费为 150 美元。除了收集凭据之外,该面板还包含反机器人功能,以逃避自动网页内容扫描程序并延长网络钓鱼和恶意软件活动的生命周期。
https://www.cisa.gov/news-events/alerts/2023/09/06/cisa-adds-one-known-vulnerability-catalog
美国网络安全和基础设施安全局 (CISA) 已在其已知被利用漏洞 (KEV) 目录中添加了一个严重程度为 CVE-2023-33246 的问题,该问题影响 Apache 的 RocketMQ 分布式消息传递和流媒体平台。目前,多个威胁参与者可能正在利用该漏洞在受影响的系统(RocketMQ 版本 5.1.0 及更低版本)上安装各种有效负载。无需身份验证即可利用该漏洞,并且 至少从 6 月份起, DreamBus 僵尸网络的运营商就已在野外利用该漏洞来部署门罗币加密货币挖矿程序。CISA 警告联邦机构 ,应在 9 月 27 日之前修补其系统上安装的 Apache RocketMQ 的 CVE-2023-33246 漏洞。如果无法将应用程序更新到安全版本或通过其他方式降低风险,CISA 建议停止使用该产品。
https://blog.google/products/chrome/Google-chrome-new-features-redesign-2023/
谷歌今天宣布,它将弃用标准的 Google Chrome 安全浏览功能,并在未来几周内让所有人使用增强型安全浏览功能,为所有用户在浏览网页时提供实时网络钓鱼防护。自 2007 年以来,Google Chrome 就利用了安全浏览安全功能,保护用户免受推送恶意软件或显示网络钓鱼页面的恶意网站的侵害。浏览网页时,Chrome 会检查您正在访问的域是否在本地恶意 URL 列表中,如果是,则会阻止该网站并显示警告。但是,由于不良 URL 列表是在本地托管的,因此它无法保护您免受自上次更新列表以来检测到的新站点的影响。为了提供更好的安全性,Google 在 2020 年推出了增强型安全浏览功能 ,可以实时保护您免受正在访问的恶意网站的侵害。它通过实时检查谷歌的云数据库来查看某个网站是否是恶意的并应该被阻止来做到这一点。不过,此功能会牺牲隐私,因为 Google Chrome 现在会将您打开的 URL(包括下载)发送回 Google 服务器以检查它们是否是恶意的。该功能还将向谷歌发送一小部分页面样本以发现新的威胁。最后,传输的数据还会临时链接到您的 Google 帐户,以检测是否有针对您的浏览器或帐户的攻击。
研究人员最近捕获了一场同时传播 Windows 和 Mac 恶意软件的活动,后者是适用于 Mac 的新型但流行的 Atomic Stealer (AMOS) 的更新版本。AMOS 于 2023 年 4 月首次被宣传为 Mac OS 的窃取者,重点关注加密资产,能够从浏览器和苹果钥匙串中获取密码,并具有文件抓取器。开发人员一直在积极致力于该项目,并于六月底发布了新版本。购买该工具包的犯罪分子主要通过破解软件下载来分发该工具包,但也冒充合法网站并在 Google 等搜索引擎上使用广告来引诱受害者。研究人员提供了针对 TradingView 的一项活动的详细信息,TradingView 是跟踪金融市场的流行平台和应用程序。恶意广告仍然是通过滥用新受害者对搜索引擎的信任来瞄准新受害者的有效媒介。恶意广告与看起来专业的网络钓鱼页面相结合,构成了一个强大的组合,可以欺骗几乎任何人。虽然 Mac 恶意软件确实存在,但它往往比 Windows 恶意软件更难被检测到。AMOS 的开发商或销售商实际上以他们的工具包能够逃避检测为卖点。
影响思科 BroadWorks 应用交付平台和思科 BroadWorks Xtended 服务平台的严重漏洞可能允许远程攻击者伪造凭证并绕过身份验证。思科 BroadWorks 是面向企业和消费者的云通信服务平台,而上述两个组件用于应用程序管理和集成。该漏洞由思科安全工程师内部发现,编号为 CVE-2023-20238,CVSS 最高评分为 10.0(严重)。通过利用该漏洞,攻击者可以自由执行命令、访问机密数据、更改用户设置以及进行电话欺诈。此漏洞是由于用于验证 SSO(单点登录)令牌的方法造成的 。攻击者可以通过使用伪造的凭据对应用程序进行身份验证来利用此漏洞。攻击者利用后所获得的能力取决于伪造帐户的权限级别,“管理员”帐户是最糟糕的情况。然而,利用该漏洞的先决条件之一是拥有与目标 Cisco BroadWorks 系统关联的有效用户 ID。这种情况可能会减少可利用 CVE-2023-20238 的潜在攻击者的数量,但这并不能缓解问题,因此风险仍然很严重。
强生医疗保健系统公司(Janssen)已通知其 CarePath 客户,他们的敏感信息在涉及 IBM 的第三方数据泄露事件中遭到泄露。IBM 是强生的技术服务提供商。具体来说,它管理支持其功能的 CarePath 应用程序和数据库。CarePath 是一款应用程序,旨在帮助患者获得杨森药物、针对符合条件的处方提供折扣和节省成本的建议、提供保险范围指导以及提供药物补充和管理警报服务。根据 Janssen 网站上的通知,该制药公司发现了一种以前未记录的方法,可以让未经授权的用户访问 CarePath 数据库。该公司向 IBM 报告了这一情况,IBM 立即修复了安全漏洞并启动了内部调查,以评估是否有人利用了该漏洞。不幸的是,2023 年 8 月 2 日结束的调查显示,未经授权的用户访问了以下 CarePath 用户详细信息:全名、联系信息、出生日期、健康保险信息、用药信息、医疗状况信息。
https://techcrunch.com/2023/09/06/ransomware-gang-claims-credit-for-sabre-data-breach/
旅行预订巨头 Sabre 表示,在勒索集团的泄密网站上出现了一批据称从该公司窃取的文件后,该公司正在调查有关网络攻击的指控。Sabre 是一家旅行预订系统,也是航空旅客和预订数据的主要提供商,其软件和数据用于为航空公司和酒店预订、办理登机手续和应用程序提供支持。许多美国航空公司和连锁酒店都依赖该公司的技术。Sabre 称了解到威胁组织提出的数据泄露指控,我们目前正在调查以确定其真实性。Dunghill Leak 组织在其暗网泄露网站上的一份列表中声称对其明显的网络攻击负责,声称该攻击窃取了约 1.3 TB 的数据,包括门票销售和乘客流动率的数据库、员工的个人数据和公司财务信息。该组织发布了他们据称窃取的部分文件,并声称完整的缓存将很快可用。研究人员观察到的屏幕截图显示了与预订详细信息和账单相关的多个数据库名称,其中包含数千万条记录,但尚不清楚黑客本身是否有权访问这些数据库。看到的一些屏幕截图包含与员工有关的记录,包括电子邮件地址和工作地点。一张屏幕截图包含员工姓名、国籍、护照号码和签证号码。其他几张屏幕截图显示了获得授权在美国工作的雇员的几张美国 I-9 表格。根据 LinkedIn 个人资料,在缓存中发现的几本护照与 Sabre 员工相对应,其中包括一名 Sabre 副总裁。目前尚不清楚所谓的违规行为发生的时间,但勒索组织发布的屏幕截图显示的数据似乎是 2022 年 7 月的最新数据。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。