近日,明朝萬達安元實驗室發(fā)布了2023年第四期《安全通告》。該份報告收錄了2023年4月最新的網(wǎng)絡(luò)安全前沿新聞和最新漏洞追蹤,其中重點內(nèi)容包括:
網(wǎng)絡(luò)安全前沿新聞
01
WordPress 漏洞遭利用:大量站點受到安全威脅
未知的黑客正在積極利用 WordPress 的 Elementor Pro 網(wǎng)站構(gòu)建器插件中的近期修復(fù)的安全漏洞。
該缺陷被描述為訪問控制中斷的情況,影響版本 3.11.6 及更早版本。插件維護者在 3 月 22 日發(fā)布的 3.11.7 版本中解決了這個問題。
02
竊取加密貨幣的惡意軟件以假冒 VPN 服務(wù)的用戶為目標
自 2022 年下半年以來,人們發(fā)現(xiàn)了一種名為 OpcJacker的新型信息竊取惡意軟件。作為惡意廣告活動的一部分。
Trend Micro研究人員 Jaromir Horejsi 和 Joseph C. Chen表示:“OpcJacker 的主要功能包括鍵盤記錄、屏幕截圖、從瀏覽器竊取敏感數(shù)據(jù)、加載其他模塊以及替換剪貼板中的加密貨幣地址以實現(xiàn)劫持目的。”
03
美國網(wǎng)絡(luò)安全局對皇家勒索軟件的威脅發(fā)出警告
美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 發(fā)布了一份關(guān)于Royal 勒索軟件的新公告,該勒索軟件于去年出現(xiàn)在網(wǎng)絡(luò)威脅領(lǐng)域。
CISA表示:“在獲得對受害者網(wǎng)絡(luò)的訪問權(quán)限后,黑客會禁用防病毒軟件并泄露大量數(shù)據(jù),然后最終部署勒索軟件并對系統(tǒng)進行加密。
04
Google TAG 警告與朝鮮有關(guān)的 ARCHIPELAGO 網(wǎng)絡(luò)攻擊
谷歌的威脅分析小組 (TAG) 正在 跟蹤 名為 ARCHIPELAGO 的 集群,據(jù)稱該集群是 Mandiant 跟蹤的名為 APT43 的另一個威脅組的子集。
ARCHIPELAGO 安裝的攻擊鏈涉及使用包含惡意鏈接的網(wǎng)絡(luò)釣魚電子郵件,當收件人單擊這些鏈接時,這些鏈接會重定向到旨在獲取憑據(jù)的虛假登錄頁面。
05
Typhon Reborn Stealer 惡意軟件利用先進的規(guī)避技術(shù)重新出現(xiàn)
被稱為 Typhon Reborn 的 信息竊取惡意軟件背后的黑客已經(jīng)通過更新版本 (V2) 重新出現(xiàn),該版本包含改進的功能以逃避檢測和抵抗分析。
思科 Talos 研究員 Edmund Brumaghin在周二的一份報告中說明。竊取者可以收集和泄露敏感信息,并使用 Telegram API 將竊取的數(shù)據(jù)發(fā)送給黑客。
06
Rorschach 勒索軟件出現(xiàn):專家警告高級規(guī)避策略
Check Point Research在一份新報告中分析稱:Rorschach 從其他勒索軟件中脫穎而出的原因在于其高度的定制化和技術(shù)上獨特的功能,這在勒索軟件中是前所未有的。并且就加密速度而言,Rorschach 是有史以來最快的勒索軟件之一。
入侵最重要的方面是使用一種稱為 DLL 側(cè)面加載的技術(shù)來加載勒索軟件有效負載,這種方法很少見在此類攻擊中。這一發(fā)展標志著出于經(jīng)濟動機的團體為回避檢測而采用的方法變得更加成熟。
07
微軟采取法律行動打擊網(wǎng)絡(luò)犯罪分子非法使用 Cobalt Strike 工具
微軟表示,它與 Fortra 和健康信息共享與分析中心 (Health-ISAC) 合作,解決網(wǎng)絡(luò)犯罪分子濫用 Cobalt Strike 分發(fā)惡意軟件(包括勒索軟件)的問題。
雖然由 Fortra(前身為 HelpSystems)開發(fā)和維護的 Cobalt Strike 是一種用于對手模擬的合法后開發(fā)工具,但多年來,該軟件的非法破解版本已被黑客武器化。
08
黑客用偽造的包淹沒 NPM 導(dǎo)致 DoS 攻擊
黑客用偽造的包淹沒了 Node.js 的 npm 開源包存儲庫,甚至短暫地導(dǎo)致了拒絕服務(wù) (DoS) 攻擊。
Checkmarx 的 Jossef Harush Kadouri在上周發(fā)布的一份報告中指出,黑客創(chuàng)建惡意網(wǎng)站并發(fā)布帶有這些惡意網(wǎng)站鏈接的空包,利用開源生態(tài)系統(tǒng)在搜索引擎上的良好聲譽。
09
臺灣 PC 公司 MSI 成為勒索軟件攻擊的受害者
臺灣 PC 公司 MSI(Micro-Star International 的簡稱)正式確認其系統(tǒng)遭到網(wǎng)絡(luò)攻擊。
該公司表示,在檢測到“網(wǎng)絡(luò)異常”后,它“迅速”啟動了事件響應(yīng)和恢復(fù)措施。它還表示已將此事提醒執(zhí)法機構(gòu)。
10
QuaDream 通過零點擊攻擊瞄準高風險 iPhone
黑客使用來自以色列監(jiān)控軟件供應(yīng)商 QuaDream 的黑客工具,將北美、中亞、東南亞、歐洲和中東的至少五名公民社會成員作為目標。
根據(jù) Citizen Lab 的一組研究人員的調(diào)查結(jié)果,2021 年的間諜軟件活動針對的是記者、政治反對派人士和一名非政府組織工作人員。受害者的姓名沒有透露。
11
黑客轉(zhuǎn)向暗網(wǎng)上的 Android 加載器來逃避 Google Play 安全
Dropper 應(yīng)用程序是黑客通過 Google Play 商店竊取惡意軟件的主要手段。此類應(yīng)用程序通常偽裝成看似無害的應(yīng)用程序,在清除審查過程時引入惡意更新,并且這些應(yīng)用程序已經(jīng)積累了龐大的用戶群。
這是通過使用一個加載程序來實現(xiàn)的,該加載程序負責將惡意軟件注入一個干凈的應(yīng)用程序,然后可以從應(yīng)用程序市場下載該應(yīng)用程序。 安裝被篡改應(yīng)用程序的用戶會被提示授予其侵入權(quán)限,以促進惡意活動。
12
FIN7 和 Ex-Conti 黑客團伙聯(lián)手發(fā)起 Domino 惡意軟件攻擊
由可能隸屬于 FIN7 網(wǎng)絡(luò)犯罪集團的黑客開發(fā)的一種新型惡意軟件已被現(xiàn)已解散的 Conti 勒索軟件團伙的成員使用,表明這兩個團隊之間存在合作。
這種名為Domino 的惡意軟件旨在促進對受感染系統(tǒng)的后續(xù)利用,包括提供一種鮮為人知的信息竊取程序,該程序自 2021 年 12 月以來一直在暗網(wǎng)上宣傳出售。
13
Vice Society 勒索軟件使用 PowerShell 工具進行數(shù)據(jù)泄露
據(jù)觀察,與 Vice Society 勒索軟件團伙相關(guān)的黑客使用基于 PowerShell 的定制工具在雷達下飛行并自動執(zhí)行從受感染網(wǎng)絡(luò)中泄露數(shù)據(jù)的過程。
Palo Alto Networks Unit 42 研究員 Ryan Chapman 表示黑客(TA) 使用內(nèi)置的數(shù)據(jù)滲漏方法 ,例如 [以二進制文件和腳本為生] 無需引入可能被安全軟件和/或基于人的安全檢測機制標記的外部工具”。
14
Goldoson Android 軟件感染超過1億次Google Play商店下載
在官方 Google Play 商店中檢測到一種名為Goldoson的新 Android 惡意軟件變種,涵蓋 60 多個合法應(yīng)用程序,總下載量超過 1 億次。
該流氓組件是相關(guān)應(yīng)用程序使用的第三方軟件庫的一部分,能夠收集有關(guān)已安裝應(yīng)用程序、Wi-Fi 和藍牙連接設(shè)備以及 GPS 位置的信息。
15
伊朗黑客使用 SimpleHelp 遠程支持軟件進行持久訪問
被稱為 MuddyWater 的伊朗黑客正在繼續(xù)其久經(jīng)考驗的傳統(tǒng),即依靠合法的遠程管理工具來征用目標系統(tǒng)。
MuddyWater 至少從 2017 年開始活躍,被評估為伊朗情報與安全部 (MOIS) 的下屬組織。一些主要目標包括土耳其、巴基斯坦、阿聯(lián)酋、伊拉克、以色列、沙特阿拉伯、約旦、美國、阿塞拜疆和阿富汗。
16
谷歌瀏覽器遭受第二次零日攻擊——緊急補丁更新發(fā)布
谷歌周二推出了緊急修復(fù)程序,以解決其 Chrome 網(wǎng)絡(luò)瀏覽器中另一個被積極利用的高嚴重性零日漏洞。
該缺陷被跟蹤為 CVE-2023-2136 ,被描述案例整數(shù)溢出中的 Skia 為開源 2D 圖形庫。 谷歌威脅分析小組 (TAG) 的 Clément Lecigne 于 2023 年 4 月 12 日發(fā)現(xiàn)并報告了該漏洞。
17
思科和 VMware 發(fā)布安全更新以修補其產(chǎn)品中的嚴重缺陷
思科和 VMware 已發(fā)布安全更新,以解決其產(chǎn)品中可能被惡意行為者利用在受影響系統(tǒng)上執(zhí)行任意代碼的嚴重安全漏洞。
最嚴重的漏洞是 Cisco Industrial Network Director 中的 命令注入漏洞(CVE-2023-20036,CVSS 評分:9.9),它存在于 Web UI 組件中,是由于上傳設(shè)備包時輸入驗證不當造成的。
18
兩大汽車制造商現(xiàn)代和豐田披露了重大數(shù)據(jù)泄露事件
現(xiàn)代汽車的意大利和法國車主以及預(yù)訂試駕的個人都受到了影響。泄露的數(shù)據(jù)包括客戶的個人信息,包括電子郵件、地址、電話號碼和車輛底盤號碼。
日本汽車制造商豐田證實,他們方面的違規(guī)行為暴露了大量敏感信息,包括軟件業(yè)務(wù) Mapbox 的 API 令牌以及數(shù)字營銷平臺 Salesforce Marketing Cloud 的憑證,這些信息可用于聯(lián)系公司的客戶。
