https://blog.talosintelligence.com/attributing-yorotrooper/
YoroTrooper是一个自2022年6月起就活跃的网络间谍组织,主要针对独联体国家和土耳其等欧亚地区的政府机构。研究人员高度确定该组织的成员来自哈萨克斯坦,依据是他们使用哈萨克斯坦货币和精通哈萨克语和俄语。该组织试图掩盖他们的攻击来源,采用各种手段让他们的恶意活动看起来是来自阿塞拜疆,例如使用当地的VPN出口节点。YoroTrooper的攻击目标主要集中在独联体国家,该组织在2023年5月至8月期间入侵了多个国有网站和这些国家政府官员的账户。研究人员的发现还表明,除了常见的和定制的恶意软件外,YoroTrooper还继续大量依赖于发送钓鱼邮件,引导受害者到收集凭证的网站,这与研究人员最近的报告一致。YoroTrooper最近的重新配置工作表明,他们有意识地远离常见的恶意软件,越来越多地依赖于不同平台(如Python、PowerShell、GoLang和Rust)上的新定制恶意软件。
https://securelist.com/crimeware-report-gopix-lumar-rhysida/110871/
近日,一场恶意广告攻击利用搜索引擎上的广告链接,诱导用户下载并安装GoPIX恶意软件,从而窃取巴西的PIX即时支付系统中的资金。据研究人员称,这场攻击自2022年12月以来一直在活跃,目标是那些在搜索引擎上搜索“WhatsApp web”的用户。如果用户点击了这些广告链接,他们就会被重定向到一个假冒的WhatsApp下载页面,然后下载一个包含恶意代码的安装程序。GoPIX恶意软件的主要功能是劫持PIX支付请求,并将其替换为攻击者控制的PIX字符串,这些字符串是从一个命令和控制服务器上获取的。研究人员表示,“该恶意软件还支持替换比特币和以太坊钱包地址,但这些地址是硬编码在恶意软件中的,而不是从服务器上获取的。”此外,该恶意软件还可以接收服务器的命令,但这些命令只与从机器上删除恶意软件有关。
https://salt.security/blog/oh-auth-abusing-oauth-to-take-over-millions-of-accounts
OAuth是一种常用的跨应用访问机制,允许网站或应用访问其他网站上的用户信息,例如Facebook,但不需要提供密码。然而,近日,研究人员发现了多个在线服务的OAuth存在严重的安全漏洞,这些漏洞可能被恶意攻击者利用,获取访问令牌并劫持用户账户。这些受影响的在线服务包括Grammarly, Vidio, 和 Bukalapak等。这些漏洞已经在研究人员在2023年2月至4月期间进行负责任披露后被各自公司修复。其中,Vidio和Bukalapak的问题在于缺乏令牌验证,意味着攻击者可以使用为另一个App ID生成的访问令牌,这个App ID是Facebook为每个在其开发者门户注册的应用或网站创建的一个随机标识符。在一个可能的攻击场景中,攻击者可以创建一个流氓网站,提供通过Facebook登录的选项,收集访问令牌,并随后将它们用于Vidio.com(其App ID为92356)或Bukalapak.com(其App ID为12345),从而实现完全账户接管。而Grammarly的问题在于当用户尝试使用“通过Facebook登录”选项登录他们的账户时,会向auth.grammarly[.]com发送一个HTTP POST请求,使用一个秘密代码来进行身份验证。
https://www.vmware.com/security/advisories/VMSA-2023-0023.html
VMWare发布了一项更新,修复了其服务器管理软件vCenter Server中的一个越界写入和一个信息泄露漏洞。由于没有产品内部的解决方案,客户被建议尽快应用更新。受影响的产品是VMWare vCenter Server 7.0和8.0版本,以及VMWare Cloud Foundation 5.x和4.x版本。这两个漏洞在公共漏洞和暴露(CVE)数据库中被分别记录为CVE-2023-34048和CVE-2023-340561。CVE-2023-34048是一个越界写入漏洞,存在于vCenter Server对DCERPC协议的实现中。一个具有网络访问权限的恶意攻击者可以触发一个越界写入,可能导致远程代码执行(RCE)。该漏洞的CVSS评分为9.8(满分10分)。DCERPC是分布式计算环境/远程过程调用的缩写,是一种远程过程调用系统,允许程序员编写分布式软件,就像它们都在同一台计算机上运行一样,而不必担心底层的网络代码。一个越界写入或读取缺陷使得可能操纵分配给更关键功能的内存部分。这可能允许攻击者将代码写入到内存的一个部分,其中它将以程序和用户不应该拥有的权限执行。VMWare目前没有发现“野外”的利用情况,但敦促客户将其视为紧急更新,并尽快采取行动。
https://www.websiteplanet.com/news/redcliffe-breach-report/
Redcliffe Labs是印度最大的诊断中心之一,提供多种医疗检测服务,包括血液检测、基因检测、癌症检测等。该公司还提供移动应用程序,方便用户在线预约和查看检测结果。近日,网络安全研究员发现了一个没有密码保护的数据库,其中包含了超过1200万条医疗检测记录,涉及患者姓名、医生姓名、检测结果、诊断报告等敏感信息。这些记录总共占用了7TB的空间。研究人员立即向Redcliffe Labs发送了负责任的披露通知,并得到了该公司的回复和感谢。该公司在当天就限制了公共访问权限,但不清楚数据库暴露了多久,以及是否有未经授权的人员访问了这些健康记录。Redcliffe Labs目前尚未对此事发表正式声明,也没有透露受影响的患者数量和范围。
https://www.news.cn/politics/2023-10/25/c_1129936737.htm
10月25日上午,国家数据局挂牌。根据《党和国家机构改革方案》,国家数据局负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等。
https://www.ithome.com/0/727/542.htm
日前有黑客展示了一款名为 Nightshade 的工具,该工具可在不破坏观感的情况下轻微修改图片,若有 AI 模型在训练时使用了这些被“下毒”的图片,模型生图结果便会被毁坏。
NCC Group 数据显示,9 月份勒索软件组织发起了 514 次攻击。这超过了 2023 年 3 月的活动。
网络安全公司 Horizon3.ai 警告称,开源数据集成平台 Mirth Connect 受到远程代码执行漏洞的影响,无需身份验证即可利用该漏洞。
一组学术研究人员披露了一种新的 Spectre 式侧信道攻击的细节,该攻击利用 Safari 窃取 Mac、iPhone 和 iPad 上的敏感信息。这种新方法被描述为无计时器推测执行攻击并命名为iLeakage,可用于诱导 Safari 呈现任意网页并从该页面获取信息。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。