当前位置: 首页 > 行业资讯 > 网络安全日报 2024年02月26日

网络安全日报 2024年02月26日

发表于:2024-02-26 08:18 作者: 蚁景网安实验室 阅读数(1750人)

1、俄罗斯政府软件被植入后门并部署Konni RAT

https://medium.com/@DCSO_CyTec/to-russia-with-love-assessing-a-konni-backdoored-suspected-russian-consular-software-installer-ce618ea4b8f3

研究人员发现俄罗斯外交部领事司 (MID) 可能使用的工具安装程序已被植入后门,可传播名为Konni RAT(又名UpDog)的远程访问木马。研究人员将此次活动与源自朝鲜民主主义人民共和国 (DPRK) 的针对俄罗斯的关联行为者联系起来。Konni(又名 Opal Sleet、Osmium 或TA406)活动集群有针对俄罗斯实体部署 Konni RAT 的既定模式,至少自 2021 年 10 月以来,威胁行为者还与针对 MID 的攻击有关。本文将评估俄罗斯后门安装程序及其可能的影响,记录观察到的 KONNI 变体的功能,并将这一发现纳入历史上与朝鲜有关的间谍活动和针对俄罗斯实体的 KONNI 使用的大背景中。

2、Lucifer僵尸网络新变种针对Apache进行攻击

https://www.aquasec.com/blog/lucifer-ddos-botnet-malware-is-targeting-apache-big-data-stack/

威胁行为者正在针对运行 Apache Hadoop 和 Apache Druid 大数据技术以及新版本 Lucifer 僵尸网络的组织,Lucifer 僵尸网络是一种已知的恶意软件工具,结合了加密劫持和分布式拒绝服务 (DDoS) 功能。该活动采用了著名的 DDoS 僵尸网络的新变体,该变体专注于易受攻击的 Linux 系统,将其转变为门罗币加密挖矿机器人,称为 Lucifer 恶意软件,研究人员深入研究攻击者如何利用漏洞和错误配置来发起攻击活动,说明攻击活动的各个阶段,并强调在整个操作过程中观察到的差异。

3、LockBit勒索软件秘密构建下一代加密器

https://www.trendmicro.com/en_us/research/24/b/lockbit-attempts-to-stay-afloat-with-a-new-version.html

研究人员发现LockBit 勒索软件开发人员正在秘密构建新版本的文件加密恶意软件,称为 LockBit-NG-Dev,很可能成为 LockBit 4.0,虽然以前的 LockBit 恶意软件是用 C/C++ 构建的,但最新的示例是用 .NET 编写的正在进行的工作,似乎是使用 CoreRT 编译的,并使用 MPRESS 打包。该版本似乎处于最后的开发阶段,已经提供了大部分预期功能功能。研究人员发布了对该恶意软件的深入技术分析 ,揭示了 LockBit-NG-Dev 的完整配置参数。

4、Linux修复多个内核中的竞争条件漏洞

https://tuxcare.com/blog/multiple-race-condition-vulnerabilities-fixed-in-the-linux-kernel/

Linux中发现了多个漏洞,揭示了 KSMBD 实现中的竞争条件。该缺陷可能被远程攻击者利用导致拒绝服务或执行任意代码,从而对系统稳定性和安全性构成重大威胁。分配的 CVE 编号为CVE-2023-32250、CVE-2023-32252和CVE-2023-32257。竞争条件漏洞通常发生在并发或多线程程序中,其中多个进程或线程在没有适当同步的情况下访问共享资源。这可能会导致不可预测的结果,例如数据损坏、系统崩溃或未经授权的访问。

5、AT&T大规模中断影响美国移动用户

https://www.bleepingcomputer.com/news/mobile/massive-atandt-outage-impacts-us-mobile-subscribers/

近日,来自 Verizon、T-Mobile 和 AT&T 的数万名美国客户抱怨缺乏无线服务或服务中断。拨出和拨入的电话似乎都受到了影响,包括该国某些地区的 911 紧急服务电话。网络服务提供商指出,从 UTC 时间 08:48 开始,AT&T 记录了流量(移动 IPv6 和 IPv4)的重大数据丢失,影响了美国多个城市(例如达拉斯、芝加哥、洛杉矶)的 AT&T 用户。中断原因尚不清楚。媒体已联系移动运营商以了解有关中断的更多信息,但所有运营商均未做出回应。

6、研究人员分析Apple Shortcuts零点击快捷方式漏洞

https://www.bitdefender.com/blog/labs/details-on-apples-shortcuts-vulnerability-a-deep-dive-into-cve-2024-23204/

研究人员在 Apple Shortcuts 中发现了一个漏洞,潜在的攻击者可以通过该漏洞在不提示用户的情况下通过某些操作访问敏感数据。该漏洞的编号为CVE-2024-23204(CVSS 评分:7.5),分别影响运行 macOS Sonoma 14.3 之前版本的 Mac OS 和 iOS 设备以及运行 iOS 17.3 和 iPadOS 17.3 之前版本的 Mac OS 和 iOS 设备,该漏洞已被负责任地披露,现已修复。受影响的用户可以使用软件更新。此分析旨在为用户、开发人员和安全专业人员提供有关漏洞性质、潜在影响和建议的缓解措施的见解。

7、黑客利用Google Cloud Run传播多款银行木马

https://blog.talosintelligence.com/google-cloud-run-abuse/

Google Cloud Run是 Google 提供的一项服务,使客户能够构建和部署位于 Google Cloud 中的 Web 服务。研究人员发现自 2023 年 9 月以来,利用 Google Cloud Run 服务向潜在受害者感染银行木马的恶意电子邮件数量显着增加。最近观察到的一些最大数量的活动被用来向主要位于拉丁美洲国家的受害者传送Astaroth、Mekotio和Ousaban银行木马。目前的 Astaroth 变体针对 15 个拉丁美洲国家的 300 多家机构。此外,还观察到所有三个恶意软件系列都是在同一时间范围内从 Google Cloud 内的同一存储桶传送的,研究人员对整体攻击链进行分析。

8、研究人员发现针对石油和天然气行业新的恶意活动

https://cofense.com/blog/new-maas-infostealer-malware-campaign-targeting-oil-gas-sector/

研究人员正在跟踪一项高级活动,该活动已成功实现攻击石油和天然气行业的预期目标。该活动提供了一种不常见但先进的恶意软件即服务信息窃取程序,即Rhadamanthys Stealer。在执法部门取缔 LockBit 勒索软件组织(最活跃的勒索软件即服务 (RaaS) 之一)后的几天内,这种新的高级网络钓鱼活动采用了最近更新的恶意软件即服务 (MaaS)。该恶意软件家族最近在黑市上出现重大更新,这可能是在如此高级的活动中看到如此陌生的家族的原因。截至目前,存在大量网络钓鱼电子邮件,这些电子邮件采用多种已知的策略、技术和程序来帮助绕过安全电子邮件网关来传播恶意软件。

9、Akira勒索软件集团声称攻击Quik金融服务公司

https://thecyberexpress.com/quik-pawn-shop-cyberattack

Quik Pawn Shops 成立于 1978 年,该公司提供一系列金融服务,包括典当贷款、产权贷款、现金垫款、分期贷款和支票兑现,一直是许多需要快速金融解决方案的人值得信赖的资源。Akira 勒索软件组织声称对暗网上的 Quik Pawn Shop 网络攻击负责,Quik Pawn Shop 于 2024 年 2 月 22 日发生网络攻击,导致 Quik Pawn Shop 陷入数据泄露的后果之中。此次攻击背后的网络犯罪分子声称从 Quik Pawn Shop 的系统中获取了 140 GB 的文件,以及包含大量客户信息的数据库。这些数据包括数百万条记录,其中包含出生日期、地址、社会安全号码和金融交易历史等敏感详细信息。

10、微软发布用于识别AI风险的红队工具PyRIT

https://github.com/Azure/PyRIT

微软发布了一个名为PyRIT(Python 风险识别工具的缩写)的开放访问自动化框架,用于主动识别生成人工智能 (AI) 系统中的风险。PyRIT 可用于评估大语言模型 (LLM) 端点针对不同伤害类别的稳健性,例如捏造(例如幻觉)、滥用(例如偏见)和禁止内容(例如骚扰)。它还可用于识别从恶意软件生成到越狱的安全危害,以及身份盗窃等隐私危害。此外,该工具允许研究人员迭代和改进针对不同危害的缓解措施。例如,在 Microsoft,正在使用此工具来迭代产品的不同版本(及其元提示),以便更有效地防范提示注入攻击。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。