当前位置: 首页 > 行业资讯 > 网络安全日报 2023年10月17日

网络安全日报 2023年10月17日

发表于:2023-10-17 08:10 作者: 蚁景网安实验室 阅读数(2031人)

1、恶意NuGet包冒充加密货币项目感染开发者

https://blog.phylum.io/phylum-discovers-seroxen-rat-in-typosquatted-nuget-package/

近日,安全研究人员发现了一些恶意的NuGet包,它们冒充了一些流行的加密货币项目和平台,例如Solana、Kucoin和Discord,目的是感染开发者的电脑,安装SeroXen远程控制木马。这些恶意包由一个名为“Disti”的用户上传,共有12个,下载量超过200万次。这些包含有一个混淆的批处理文件,当开发者使用NuGet包管理器安装这些包时,就会执行该文件,从远程服务器下载并运行SeroXen木马。SeroXen木马可以窃取受害者的敏感信息,如浏览器历史、密码、文件、剪贴板内容等,并允许攻击者远程控制受害者的电脑。安全研究人员建议开发者检查自己是否使用了这些恶意包,并及时删除它们,并且提醒开发者在使用NuGet包时要谨慎,尽量使用可信的来源。

2、俄罗斯黑客利用WinRAR漏洞攻击乌克兰冲突区

https://blog.cluster25.duskrise.com/2023/10/12/cve-2023-38831-russian-attack

研究人员发现,与俄罗斯有关联的国家级威胁行为者发起了一系列基于网络钓鱼的攻击,目标是乌克兰冲突区域的机构和个人。这些攻击利用了最近发现的影响WinRAR压缩软件6.23之前版本的漏洞,编号为CVE-2023-38831。攻击者通过发送一个恶意的压缩文件来诱骗受害者打开,该压缩文件包含一个伪装成分享指标(IoCs)的PDF文件,以及一个与PDF文件同名(包括末尾空格)的目录,该目录中有一个BAT脚本。由于漏洞的存在,当受害者尝试打开PDF文件时,BAT脚本会被执行,从而启动PowerShell命令,打开一个反向shell,让攻击者能够访问目标机器,并执行一个PowerShell脚本,从Google Chrome和Microsoft Edge浏览器中窃取数据,包括登录凭证。攻击者使用合法的web服务webhook [.]site来传输数据。

3、AgentTesla通过CHM和PDF文件在最近的攻击中传播

https://cyble.com/blog/agenttesla-spreads-through-chm-and-pdf-files-in-recent-attacks/

AgentTesla是一个基于.NET框架的信息窃取器,旨在渗透计算机并秘密地从受害者的机器中提取敏感信息。近日,研究人员在VirusTotal(VT)中发现了一个恶意的Gzip压缩文件。这个Gzip文件包含了一个CHM文件,它触发了AgentTesla感染的开始。在最近的活动中,研究人员发现了一个被Gzip压缩并很可能通过恶意垃圾邮件发送的CHM文件。这个精心制作的CHM文件充当了一个诱饵。根据CHM文件中可用的内容,它似乎是针对涉及网络工程、电信或信息技术的个人或实体的。当用户打开这个CHM文件时,它悄悄地从远程服务器下载一个PowerShell脚本并执行它。为了避免被检测,PowerShell脚本是Base64编码和Deflated。这个deflated Base64编码字符串又包含了另一层Base64编码,其中包含了一个基于.NET框架构建的加载器DLL文件。

4、威胁行为者利用币安智能链合约传播恶意代码

https://labs.guard.io/etherhiding-hiding-web2-malicious-code-in-web3-smart-contracts-65ea78efad16

近日,研究人员发现一些恶意行为者利用币安智能链(BSC)合约来托管和传播恶意代码。研究人员将其活动代号为EtherHiding,它利用被感染的WordPress网站来诱骗访问者更新他们的浏览器,然后下载信息窃取型恶意软件,如Amadey、Lumma或RedLine。攻击者在被感染的网站上注入了一个混淆的Javascript,用来通过创建一个智能合约来查询BNB智能链,合约中包含了攻击者控制的区块链地址。这样做的目的是从区块链上获取一个第二阶段的脚本,该脚本会从一个命令和控制(C2)服务器上获取一个第三阶段的有效载荷,用来显示虚假的浏览器更新通知。如果受害者点击了更新按钮,他们就会被重定向到从Dropbox或其他合法的文件托管服务下载一个恶意可执行文件。

5、AI算法用于检测和防御针对无人军用机器人的中间人攻击

https://www.unisa.edu.au/media-centre/Releases/2023/new-cyber-algorithm-shuts-down-malicious-robotic-attack/

研究人员开发了一种使用机器学习技术的算法,可以检测和拦截对无人军用机器人的中间人(MitM)攻击。MitM攻击是一种网络攻击,其中攻击者截取了机器人和其合法控制器之间的数据流,以窃听或在流中注入虚假数据。这种攻击可能会干扰无人驾驶车辆的运行,修改传输的指令,甚至夺取控制权,指示机器人采取危险行动。该算法在美国陆军使用的GVR-BOT复制品中进行了测试,记录了99%的攻击预防成功率,只有不到2%的测试案例出现误报。该算法利用了机器人传感器数据的时序特征,以及机器人运动状态和环境信息,来识别出异常情况,并在几秒钟内将其关闭。该算法的优化版本可以应用于类似但更具挑战性的机器人应用,如无人飞机。

6、ALPHV勒索软件攻击美国莫里森社区医院窃取了5TB数据

https://securityaffairs.com/152486/cyber-crime/alphv-ransomware-morrison-community-hospital.html

美国伊利诺伊州的莫里森社区医院(MCH)遭到了ALPHV/BlackCat勒索软件团伙的攻击,导致其部分系统被加密,并且有大量的敏感数据被窃取。该团伙在其暗网网站上公布了部分数据的截图,包括患者的姓名、出生日期、社会保险号、诊断信息、医疗保险信息等。该团伙还声称他们已经从医院的服务器上下载了超过5TB的数据,并威胁如果不支付赎金,就会公开更多的数据。ALPHV/BlackCat勒索软件是一种新兴的网络犯罪活动,自2023年7月份开始活跃,主要针对美国、欧洲和亚洲的组织。该团伙使用双重勒索策略,即在加密受害者的系统之前,先窃取其数据,并要求支付赎金以换取解密密钥和删除数据的证明。莫里森社区医院已经启动了应急计划,并正在与执法部门和网络安全专家合作,恢复其受影响的系统和服务。目前尚不清楚医院是否已经与攻击者联系,或者是否打算支付赎金。

7、Storm-0324 与勒索团伙 Sangria Tempest 勾结

https://www.freebuf.com/articles/network/379912.html

2023 年 7 月上旬,微软称之为 Storm-0324 的攻击组织通过 Microsoft Teams 发送钓鱼邮件进行攻击。Storm-0324 是一个以经济获利为动机的攻击组织,以通过钓鱼邮件执行远程代码获取失陷主机访问权限而闻名。获取立足点后 Storm-0324 通常会将访问权限转卖给其他犯罪团伙,如勒索软件组织 Sangria Tempest(又叫 FIN7、Carbon Spider)与 TA543 等。攻击组织 Sangria Tempest 与 Storm-0324 此前曾被发现与 Gozi InfoStealer、Nymaim 和 locker 等恶意软件分发有关。目前,Storm-0324 正在分发 JSSLoader 然后转交给其他勒索软件组织。

8、 阿里云、华为、金山办公等发起,人工智能安全治理专业委员会成立

https://www.ithome.com/0/724/987.htm

“中国网络空间安全协会”官方公众号10月14日下午宣布,10 月 12 日上午,中国网络空间安全协会人工智能安全治理专业委员会正式成立。

9、密码泄露及时通知,谷歌为自家搜索 App 添加一系列隐私功能

https://www.ithome.com/0/724/835.htm

谷歌目前表示,任何拥有谷歌账号的用户,近日都可以在“谷歌手机软件”中启用“暗网报告”功能,谷歌在今年 5 月公布这项功能,可在用户密码泄露时告知用户。

10、思科再次承认使用了硬编码密码

https://www.schneier.com/blog/archives/2023/10/cisco-cant-stop-using-hard-coded-passwords.html

思科最近披露了 Cisco Emergency Responder 的一个漏洞 CVE-2023-20101,它包含了一个 root 账号的静态用户凭证,原本是为开发保留的,但不小心留在了最终用户产品中。攻击者可以使用该账号登陆受影响系统,以 root 用户权限执行任意命令。这远非第一次思科在其产品中使用了硬编码密码。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。