近日,明朝萬達安元實驗室發(fā)布了2024年第三期《安全通告》。該份報告收錄了2024 年3月最新的網(wǎng)絡(luò)安全前沿新聞和最新漏洞追蹤,其中重點內(nèi)容包括:
網(wǎng)絡(luò)安全前沿新聞
1.俄羅斯黑客可能使用升級版AcidPour惡意軟件攻擊烏克蘭電信公司
安全研究人員表示:“AcidPour 的擴展功能將使其能夠更好地禁用嵌入式設(shè)備,包括網(wǎng)絡(luò)、物聯(lián)網(wǎng)、大型存儲 (RAID),以及可能運行 Linux x86 發(fā)行版的 ICS 設(shè)備。
AcidPour 是AcidRain的變體,用于在 2022 年初俄烏戰(zhàn)爭爆發(fā)時使 Viasat KA-SAT 調(diào)制解調(diào)器正常運行,并削弱烏克蘭的軍事通信。
2.烏克蘭黑客劫持超過 1 億個電子郵件和 Instagram 賬戶
該網(wǎng)絡(luò)犯罪團伙通過在暗網(wǎng)論壇上出售其非法獲得的憑據(jù)來貨幣化。購買這些信息的其他攻擊者利用受感染的賬戶實施各種欺詐計劃,包括詐騙者聯(lián)系受害者的朋友將錢緊急轉(zhuǎn)入他們的銀行賬戶。該機構(gòu)表示:“你可以通過設(shè)置雙因素身份驗證并使用強密碼來保護你的賬戶免受這種黑客攻擊。”官員們在基輔、敖德薩、文尼察、伊萬諾-弗蘭科夫斯克、頓涅茨克和基洛沃拉德進行了七次搜查,沒收了 70 臺電腦、14 部手機、銀行卡和價值超過 3,000 美元的現(xiàn)金。
3.黑客利用文檔發(fā)布網(wǎng)站進行網(wǎng)絡(luò)釣魚攻擊
黑客利用 FlipSnack、Issuu、Marq、Publuu、RelayTo 和 Simplebooklet 等平臺上托管的數(shù)字文檔發(fā)布 (DDP) 網(wǎng)站進行網(wǎng)絡(luò)釣魚、憑據(jù)收集和會話令牌盜竊,這再次突顯了攻擊者如何重新利用合法服務(wù)。
在 DDP 網(wǎng)站上托管網(wǎng)絡(luò)釣魚誘餌會增加網(wǎng)絡(luò)釣魚攻擊成功的可能性,因為這些網(wǎng)站通常擁有良好的聲譽,不太可能出現(xiàn)在 Web 過濾器阻止列表中,并且可能會給認為熟悉或熟悉這些網(wǎng)站的用戶灌輸錯誤的安全感。
4.TeamCity 漏洞導(dǎo)致勒索軟件、加密貨幣挖礦和 RAT 攻擊激增
多個攻擊者正在利用 JetBrains TeamCity 軟件中最近披露的安全漏洞來部署勒索軟件、加密貨幣挖礦程序、Cobalt Strike 信標以及基于 Golang 的名為 Spark RAT 的遠程訪問木馬。這些攻擊需要利用CVE-2024-27198(CVSS 評分:9.8),使攻擊者能夠繞過身份驗證措施并獲得對受影響服務(wù)器的管理控制。
安全研究員表示:攻擊者隨后能夠安裝可以訪問其命令與控制 (C&C) 服務(wù)器的惡意軟件,并執(zhí)行其他命令,例如部署 Cobalt Strike 信標和遠程訪問木馬 (RAT)。然后可以安裝勒索軟件作為最終有效負載來加密文件并要求受害者支付贖金。
5.韓國公民因網(wǎng)絡(luò)間諜罪在俄羅斯被拘留
俄羅斯首次以網(wǎng)絡(luò)間諜罪名拘留一名韓國公民,并將其從符拉迪沃斯托克轉(zhuǎn)移至莫斯科接受進一步調(diào)查。俄羅斯通訊社塔斯社最先報道了這一進展。
一位不愿透露姓名的消息人士稱,“在調(diào)查一起間諜案期間,一名韓國公民白元淳被認出并被拘留在符拉迪沃斯托克,并根據(jù)法院命令被拘留。元淳被指控向未透露姓名的外國情報機構(gòu)提供機密“絕密”信息。
6.黑客使用HTML 走私通過虛假 Google 網(wǎng)站傳播惡意軟件
網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了一種新的惡意軟件活動,該活動利用偽造的 Google 站點頁面和 HTML 走私來分發(fā)名為AZORult的商業(yè)惡意軟件,以促進信息盜竊。
安全研究員表示:它使用一種非正統(tǒng)的 HTML 走私技術(shù),其中惡意負載嵌入到外部網(wǎng)站上托管的單獨 JSON 文件中。網(wǎng)絡(luò)釣魚活動尚未歸因于特定的攻擊者或組織。該網(wǎng)絡(luò)安全公司稱這種行為本質(zhì)上很普遍,其目的是收集敏感數(shù)據(jù)并在地下論壇上出售。
7.E-Root 市場管理員因出售 35 萬份被盜憑證而被判處 42 個月監(jiān)禁
美國司法部 (DoJ) 宣布,一名 31 歲的摩爾多瓦公民因經(jīng)營名為 E-Root Marketplace 的非法市場而在美國被判處 42 個月監(jiān)禁,該市場出售數(shù)十萬份被盜憑證。美國司法部上周表示:“E-Root 市場在廣泛分布的網(wǎng)絡(luò)上運行,并采取措施隱藏其管理員、買家和賣家的身份。”
Sandu Boris Diaconu 被指控串謀實施訪問設(shè)備和計算機欺詐以及擁有 15 個或更多未經(jīng)授權(quán)的訪問設(shè)備。他于 2023 年 12 月 1 日認罪。
8.APT28 黑客組織針對歐洲、美洲和亞洲開展廣泛的網(wǎng)絡(luò)釣魚計劃
俄羅斯有關(guān)的威脅行為者APT28與多個正在進行的網(wǎng)絡(luò)釣魚活動有關(guān),這些活動使用模仿歐洲、南高加索、中亞以及北美和南美政府和非政府組織 (NGO) 的誘餌文件。
網(wǎng)絡(luò)釣魚攻擊冒充來自阿根廷、烏克蘭、格魯吉亞、白俄羅斯、哈薩克斯坦、波蘭、亞美尼亞、阿塞拜疆和美國等多個國家的實體,利用真實的公開政府和非政府誘餌文件來激活感染鏈。
9.新的基于 Python 的 Snake 信息竊取程序通過 Facebook 消息傳播
威脅行為者正在使用 Facebook 消息來分發(fā)名為 Snake 的基于 Python 的信息竊取程序,該程序旨在捕獲憑據(jù)和其他敏感數(shù)據(jù)。安全研究員在一份技術(shù)報告中表示: “從毫無戒心的用戶那里獲取的憑據(jù)會被傳輸?shù)讲煌钠脚_,例如 Discord、GitHub 和 Telegram。”
有關(guān)該活動的詳細信息于 2023 年 8 月首次出現(xiàn)在社交媒體平臺 X 上。這些攻擊需要向潛在用戶發(fā)送看似無害的 RAR 或 ZIP 存檔文件,這些文件在打開后會激活感染序列。
10.第三方 ChatGPT 插件可能導(dǎo)致賬戶被接管
網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn),可用于 OpenAI ChatGPT 的第三方插件可能會成為攻擊者尋求未經(jīng)授權(quán)訪問敏感數(shù)據(jù)的新攻擊面。
直接在 ChatGPT 和生態(tài)系統(tǒng)內(nèi)發(fā)現(xiàn)的安全漏洞可能允許攻擊者在未經(jīng)用戶同意的情況下安裝惡意插件,并劫持 GitHub 等第三方網(wǎng)站上的賬戶。ChatGPT 插件,顧名思義,是設(shè)計為在大語言模型 (LLM) 之上運行的工具,旨在訪問最新信息、運行計算或訪問第三方服務(wù)。
11.使用虛假 Notepad++ 和 VNote 安裝程序針對中國用戶的惡意廣告
在百度等搜索引擎上尋找Notepad++和VNote等合法軟件的中國用戶正成為惡意廣告和虛假鏈接的目標,這些鏈接會分發(fā)該軟件的木馬版本,并最終部署Geacon(一種基于Golang的 Cobalt Strike 實現(xiàn))。
安全研究員表示:在notepad++搜索中發(fā)現(xiàn)的惡意網(wǎng)站是通過廣告塊進行分發(fā)的。首先打開軟件后,細心的用戶會立即注意到廣告:網(wǎng)站地址包含vnote行,標題提供了Notepad‐‐(Notepad++ 的類似物,也作為開源軟件分發(fā))的下載,而圖像卻顯示Notepad++。事實上,從這里下載的包中包含Notepad‐‐和黑客編寫的病毒。
12.RedCurl 網(wǎng)絡(luò)犯罪組織濫用 Windows PCA 工具進行企業(yè)間諜活動
RedCurl網(wǎng)絡(luò)犯罪組織正在利用名為程序兼容性助手 ( PCA )的合法 Microsoft Windows 組件來執(zhí)行惡意命令。安全研究員表示:“程序兼容性助手服務(wù) (pcalua.exe) 是一項 Windows 服務(wù),旨在識別和解決舊程序的兼容性問題。
黑客可以利用此實用程序來啟用命令執(zhí)行并通過將其用作替代命令行解釋器來繞過安全限制。在本次調(diào)查中,攻擊者使用此工具來掩蓋他們的活動。
13.Ande Loader 惡意軟件針對北美制造業(yè)
名為 Blind Eagle 的攻擊者使用名為 Ande Loader 的加載器惡意軟件來傳播 Remcos RAT 和 NjRAT 等遠程訪問木馬 (RAT)。
Blind Eagle(又名 APT-C-36)是一個出于經(jīng)濟動機的攻擊者,曾策劃針對哥倫比亞和厄瓜多爾實體的網(wǎng)絡(luò)攻擊,以提供各種RAT,包括 AsyncRAT、BitRAT、Lime RAT、NjRAT、Remcos RAT、和QuasarRAT。
14.DarkGate 惡意軟件利用最近修補的 Microsoft 漏洞進行零日攻擊
2024 年 1 月中旬觀察到的 DarkGate 惡意軟件活動利用 Microsoft Windows 中最近修補的安全漏洞作為使用虛假軟件安裝程序的零日漏洞。
在此活動期間,用戶被包含 Google DoubleClick Digital Marketing (DDM) 開放重定向的 PDF 引誘,導(dǎo)致毫無戒心的受害者訪問托管 Microsoft Windows SmartScreen 的受感染網(wǎng)站,繞過 CVE-2024-21412,從而導(dǎo)致惡意 Microsoft (.MSI) 安裝程序。
15.研究人員強調(diào)谷歌的 Gemini AI 對 LLM 威脅的敏感性
谷歌的Gemini大語言模型(LLM)容易受到安全威脅,可能導(dǎo)致其泄露系統(tǒng)提示、生成有害內(nèi)容并進行間接注入攻擊。
安全研究員說這些問題影響了使用 Gemini Advanced 和 Google Workspace 的消費者以及使用 LLM API 的公司。涉及繞過安全防護已泄漏系統(tǒng)提示(或系統(tǒng)消息),這些提示在通過要求模型輸出其“基本指令”來向 LLM 設(shè)置對話范圍指令,以幫助其生成更有用的響應(yīng)。
