当前位置: 首页 > 行业资讯 > 网络安全日报 2024年03月07日

网络安全日报 2024年03月07日

发表于:2024-03-07 08:37 作者: 蚁景网安实验室 阅读数(2243人)

1、乌克兰情报部门宣称成功入侵俄罗斯国防部

https://gur.gov.ua/content/soft-shyfry-sekretni-dokumenty-kiberfakhivtsi-hur-zlamaly-minoborony-rosii.html

乌克兰国防部主要情报总局(GUR)宣布,其网络专家成功侵入俄罗斯国防部的服务器,并获得了大量机密文件。这些文件披露了俄罗斯国防部的领导层,包括俄罗斯国防部各部门的其他高级官员。这包括代表、助理和专家,以及使用被称为“官僚”的电子文件管理系统的个人。据悉,这些文件包括俄国防部副部长Timur Vadimovich Ivanov的官方文件。GUR表示,这次网络攻击的成功,使得乌克兰情报部门能够详细地描绘出俄军的指挥结构和指挥通道。这次事件是乌克兰和俄罗斯之间网络战争的最新进展,也显示出乌克兰在网络空间的活跃和能力。

2、新的CHAVECLOAK银行木马通过恶意PDF针对巴西用户

https://www.fortinet.com/blog/threat-research/banking-trojan-chavecloak-targets-brazil

研究人员近日发现,一种名为“CHAVECLOAK”的新型银行木马正在通过恶意PDF文件针对巴西用户。这种攻击涉及下载ZIP文件,并使用DLL侧加载技术执行最终的恶意软件。CHAVECLOAK专门设计用来窃取与金融活动相关的敏感信息。攻击流程如下:受害者被诱导点击PDF中的按钮以查看和签署附件文档,但实际上PDF中嵌入了恶意下载链接。这个链接通过“Goo.su”这样的免费链接缩短服务进行处理,最终重定向到一个ZIP文件的下载链接。解压后,ZIP文件释放出一个MSI文件。MSI安装程序解压后包含多个与不同语言设置相关的TXT文件,一个合法的执行文件,以及一个名为“Lightshot.dll”的恶意DLL。这个DLL文件的修改日期比安装程序中所有其他文件都要新,这进一步强调了它的异常性质。通过DLL侧加载技术,合法的执行文件“Lightshot.exe”将加载并运行恶意代码,从而悄无声息地进行数据窃取等未授权活动。CHAVECLOAK的命令和控制(C2)服务器遥测数据显示了这种恶意软件的活动。

3、TA577组织转向盗取NTLM认证信息

https://www.proofpoint.com/uk/blog/threat-insight/ta577s-unusual-attack-chain-leads-ntlm-data-theft

研究人员发现,TA577这一威胁行为体现出不寻常的攻击链路,其目标是盗取NT LAN Manager(NTLM)认证信息。TA577通过电子邮件中的压缩HTML附件,对全球数百个组织发起了数万条信息攻击。这些附件一旦被打开,就会触发系统尝试连接到外部的Server Message Block(SMB)服务器。TA577的目的是从SMB服务器获取NTLMv2挑战/响应对,以窃取NTLM哈希值。这些哈希值可能被用于密码破解或在特定组织内部进行“传递哈希”攻击。研究人员还注意到,越来越多的威胁行为者滥用文件URI方案,并引导收件人连接到外部文件共享以传递恶意软件。TA577最近转向使用Pikabot作为其初始载荷,这一前所未有的转变表明,该威胁行为者具有快速迭代和测试新传递方法的时间、资源和经验。这种适应性使TA577能够保持在检测机制之前,并提高其有效载荷传递的效果。

4、研究人员发现一种自传播的零点击Gen AI蠕虫

https://sites.google.com/view/compromptmized

研究人员发现了一种名为“Morris II”的新型Gen AI蠕虫,它能够通过智能提示工程和注入技术欺骗生成式AI应用程序,从而传播恶意软件。这种蠕虫利用对抗性自复制提示,导致生成式AI系统在响应时复制输入作为输出,进而将恶意软件传播给其他AI代理。研究人员强调,设计生成式AI生态系统时,应考虑到由底层Gen AI层引起的威胁。这种蠕虫的自我复制能力使其能够在网络中自主传播,无需攻击者进一步操作。研究人员展示了“Morris II”如何渗透并利用生成式AI驱动的电子邮件系统,展示了其在没有直接人类监督的情况下执行广泛网络攻击的潜力。

5、黑客滥用QEMU隧道隐藏网络流量

https://securelist.com/network-tunneling-with-qemu/111803/

研究人员发现,黑客在针对一家大型公司的网络攻击中滥用开源虚拟化平台QEMU作为隧道工具。这种攻击涉及使用“Angry IP Scanner”进行网络扫描、“mimikatz”进行凭证盗窃,并利用QEMU创建复杂的网络隧道设置,以建立隐蔽的通信渠道。这种隧道通常加密流量,以逃避防火墙和入侵检测系统的监控。研究人员指出,攻击者利用QEMU的能力来模拟操作系统和硬件平台,将其操纵为创新的隧道机制。这一发现突显了网络安全领域中的新挑战,以及保护组织免受此类隐蔽攻击的重要性。

6、苹果修复iPhone遭攻击的两个零日漏洞

https://support.apple.com/en-us/HT214081

苹果公司近日发布了紧急安全更新,修复了两个在攻击中被利用的iOS零日漏洞。这两个漏洞被发现存在于WebKit浏览器引擎和操作系统的核心——内核中。第一个零日漏洞(追踪编号CVE-2024-23225)允许拥有内核读写权限的攻击者绕过内核内存保护。同样,第二个零日漏洞(追踪编号CVE-2024-23296)存在于运行在所有苹果芯片或嵌入式设备上的RTKitOS中。如果被具有内核读写权限的攻击者利用,这个漏洞也能被用来绕过内核内存保护。尽管苹果公司目前对这些漏洞的具体细节保持谨慎,以便用户有时间更新他们的设备,但强烈建议所有用户下载并安装这些紧急安全更新,以避免潜在的网络攻击。

7、韩国情报机关称两家芯片公司数据被朝鲜黑客窃取

https://www.nis.go.kr:4016/CM/1_4/view.do?seq=286

据韩国国家情报院(NIS)透露,朝鲜黑客侵入了韩国的两家芯片设备制造商的服务器,窃取了产品设计图和设施照片。这次网络攻击发生在去年12月和今年2月,被认为是朝鲜为了规避国际制裁并自行生产用于武器计划的半导体芯片所采取的行动。NIS表示,朝鲜可能正面临由于制裁而难以获取半导体的困境,因此试图自产芯片,尤其是用于其卫星和导弹等武器计划的芯片。此外,NIS还警告其他芯片制造业公司提防可能的网络攻击。朝鲜一直否认参与网络犯罪,但韩国多次指责其黑客通过网络攻击窃取大量资金,通常是加密货币,以资助其政权和核武器计划。自2016年以来,朝鲜估计已通过网络攻击盗取了约30亿美元。

8、JetBrains TeamCity关键漏洞在近日被修复

https://www.rapid7.com/blog/post/2024/03/04/etr-cve-2024-27198-and-cve-2024-27199-jetbrains-teamcity-multiple-authentication-bypass-vulnerabilities-fixed/

近日,研究人员发现JetBrains TeamCity CI/CD服务器存在两个严重的身份验证绕过漏洞,分别为CVE-2024-27198和CVE-2024-27199。CVE-2024-27198是由于替代路径问题导致的身份验证绕过漏洞,其CVSS基础评分为9.8(严重)。CVE-2024-27199则是由于路径遍历问题导致的身份验证绕过漏洞,CVSS基础评分为7.3(高)。这些漏洞允许未经授权的远程攻击者完全控制受影响的TeamCity服务器,包括执行未经认证的远程代码执行(RCE),从而成为供应链攻击的潜在途径。JetBrains于2024年3月3日发布了TeamCity 2023.11.4版本,修复了这两个漏洞。所有TeamCity版本在2023.11.4之前都受到这些漏洞的影响。研究人员建议TeamCity用户立即更新服务器,不要等待常规的补丁周期。此外,研究人员还提供了一些可能的入侵迹象(IOCs)以及漏洞详情,以帮助用户识别和防范潜在的安全威胁。

9、针对亚太地区!iOS 木马开始窃取面部识别数据

https://www.freebuf.com/articles/network/392979.html

2023 年 10 月,针对越南五十余家金融机构进行攻击的安卓银行木马 GoldDigger 浮出水面。通过对其持续跟踪分析,研究人员发现一整套针对亚太地区的银行木马。其中,研究人员发现了一个专门针对 iOS 用户的新型木马,被命名为 GoldPickaxe.iOS。GoldPickaxe 不仅有安卓版本,也覆盖了 iOS 平台。GoldPickaxe.iOS 木马的典型特征就是能够收集面部识别数据、身份的证件并拦截短信,尽管安卓平台的木马早就有这些功能。

10、全国首部公共安全摄像头管理地方性法规施行

https://www.thepaper.cn/newsDetail_forward_26542371

《株洲市公共安全视频图像信息系统管理条例》3月1日起在湖南省株洲市施行,这被称作是全国第一部管理公共安全摄像头的地方性法规。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。