当前位置: 首页 > 行业资讯 > 网络安全日报 2024年03月05日

网络安全日报 2024年03月05日

发表于:2024-03-05 08:44 作者: 蚁景网安实验室 阅读数(1533人)

1、Lazarus组织利用Windows零日漏洞获取内核权限

https://decoded.avast.io/janvojtesek/lazarus-and-the-fudmodule-rootkit-beyond-byovd-with-an-admin-to-kernel-zero-day/

据研究人员披露,Lazarus组织利用了Windows AppLocker驱动程序(appid.sys)的一个未知的零日漏洞,获取了目标系统的内核级别的权限,并关闭了可能检测到他们的安全工具。该漏洞被微软标记为CVE-2024-21338,并在2月份的补丁更新中修复。该漏洞存在于Windows AppLocker驱动程序的IOCTL分发器中,可以让攻击者在内核中执行任意回调函数,从而控制重要的功能。Lazarus组织利用该漏洞,增强了他们自己的FudModule rootkit程序,该程序是一个完全在用户空间执行的数据型rootkit程序,可以直接操作内核对象,破坏各种内核安全机制。与之前使用较为显眼的BYOVD(自带易受攻击的驱动程序)技术不同,Lazarus组织利用该零日漏洞进行了更为隐蔽的攻击。

2、Predator间谍软件在曝光后仍在活跃

https://go.recordedfuture.com/hubfs/reports/cta-2024-0301.pdf

Predator间谍软件是一种针对高价值目标的手机监控工具。Predator间谍软件可以利用零日漏洞攻击Android和iOS设备,获取设备上的所有数据和权限。2021年8月至10月,研究人员发现了三起利用Predator间谍软件的网络攻击活动,目标包括欧盟议会主席、台湾总统、美国国会议员和德国驻美国大使等。这些攻击都是通过发送伪装成URL缩短服务的一次性链接来实施的,一旦用户点击链接,就会被重定向到攻击者控制的域名,从而触发零日漏洞并下载Predator间谍软件。Predator间谍软件在曝光后仍在活跃,对手机用户的隐私和安全构成严重威胁。

3、Savvy Seahorse利用DNS骗局诱导投资者进入假冒平台

https://insights.infoblox.com/resources-whitepaper/infoblox-report-blog-beware-the-shallow-waters-savvy-seahorse-lures-victims-to-fake-investment-platforms-through-facebook-ads

Savvy Seahorse是一个网络威胁行为者,专门针对投资平台进行DNS骗局,诱导用户进入伪造的网站,然后窃取他们的资金和个人信息。Savvy Seahorse使用Facebook广告,假冒知名公司如Tesla和Facebook/Meta,吸引用户点击恶意链接。根据报道,Savvy Seahorse的特点是使用了一些先进的技术,包括使用假的ChatGPT和WhatsApp机器人,自动回复用户的问题,诱使他们透露个人信息,以换取承诺的高回报投资。Savvy Seahorse还使用了一种隐蔽的技术,利用DNS规范名称(CNAME)记录,建立一个流量分发系统(TDS),用于控制其骗局活动的访问和更新。这种技术使得Savvy Seahorse能够逃避安全行业的检测。Savvy Seahorse自2021年8月以来一直在活动,其参与的域名有时会被安全工具标记,但其背后的基础设施和行为者却没有被安全行业发现。Savvy Seahorse还使用了通配符DNS条目,快速创建独立的活动,使得被动DNS分析变得困难。

4、数据库暴露导致世界科技巨头的2FA代码泄露

https://techcrunch.com/2024/02/29/leaky-database-two-factor-codes/

根据报道,一家在全球范围内提供短信转发服务的亚洲科技和互联网公司YX International,因为未对其内部数据库进行密码保护,导致其数据库被公开暴露在互联网上,任何人都可以通过浏览器访问其中的敏感数据。这些数据包括了为用户发送的一次性验证码和密码重置链接,这些验证码和链接可能被用于访问用户的Facebook、Google、TikTok等账户。YX International是一家生产移动网络设备和提供短信转发服务的公司。短信转发服务可以帮助将及时的短信信息发送到不同地区和运营商的目的地,例如Facebook和WhatsApp。YX International声称每天可以发送500万条SMS短信。但是,该公司却没有对其数据库进行安全防护,使得其数据库中的内容可以被任意访问。研究人员发现了这个数据库,并将其报告给了TechCrunch,以帮助确定其所有者并通知其安全漏洞。这个数据库中包含了用户收到的短信内容,包括一次性验证码和密码重置链接,这些验证码和链接来自于一些全球最大的科技和在线公司,例如Facebook和WhatsApp、Google、TikTok等。这些验证码和链接通常在几分钟内或者使用一次后就会失效,但是它们仍然存在于数据库中,有可能被恶意利用。

5、欧洲零售巨头Pepco遭遇钓鱼攻击损失1550万欧元

https://www.pepcogroup.eu/media-news/pepco-group-n-v-notice-regarding-hungarian-business/

Pepco集团(Pepco或Group)是一家在欧洲16个国家经营超过3000家折扣店的零售公司。该公司近日公布,其在匈牙利的业务遭到了一场复杂的钓鱼攻击,导致约1550万欧元的现金损失。据报道,攻击者冒充Pepco的高管,通过电子邮件诱骗员工转账给一个虚假的账户。Pepco表示,这起事件已经报告给了相关的执法机构,并正在与保险公司合作,以尽可能地挽回损失。Pepco还表示,这起攻击并未影响其业务运营,也没有泄露任何客户或员工的个人数据。钓鱼攻击是一种常见的网络犯罪手段,旨在利用受害者的信任或好奇心,诱使他们点击恶意链接或附件,或者泄露敏感信息。

6、GitHub遭大规模攻击,超过 10 万个存储库被感染

https://www.freebuf.com/news/393211.html

网络安全公司 Apiiro 报告称,GitHub 遭受了大规模攻击,可能影响成千上万的人。这种攻击涉及克隆安全且干净的存储库,添加恶意的、模糊的代码后重新上传。

7、美国法院命令NSO集团将其间谍软件代码交给WhatsApp

https://www.freebuf.com/news/393207.html

近日,美国法院下令要求以色列间谍软件开发商NSO集团将其Pegasus间谍软件的代码交给WhatsApp。2019年,NSO集团利用WhatsApp的安全漏洞对1400名用户进行了为期两周的监视。同年,WhatsApp向该公司提起了法律诉讼。自那时起,诉讼一直在进行。

8、史上首次:美国禁止向中国跨境传输数据

https://www.secrss.com/articles/64022

美国方面依据《国际紧急经济权力法》发布了一项保护美国人个人敏感数据免遭“受关注国家”利用的行政命令,尽管详细信息还没有披露出,但从已有信息已经可以判断,美国政府决意切断某些敏感数据向中国和其他几个同样被美国视为“外国敌手”的国家的跨境传输。

9、海康威视修补安全管理系统中的高危漏洞

https://www.securityweek.com/hikvision-patches-high-severity-vulnerability-in-security-management-system/

视频监控设备制造商海康威视宣布修补其安全管理系统 HikCentral Professional 中的两个漏洞。这些缺陷中最重要的是 CVE-2024-25063,这是一个高严重性缺陷,可能导致对某些 URL 进行未经授权的访问。该错误影响 HikCentral Professional 版本 2.5.1 及更低版本。

10、美国指控伊朗黑客,悬赏1000万美元抓获

https://thehackernews.com/2024/03/us-charges-iranian-hacker-offers-10.html

美国司法部 (DoJ) 周五公布了对一名伊朗国民的起诉书,该名伊朗国民涉嫌参与旨在损害美国政府和私人实体的多年网络活动。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。