每周网络安全简讯 ( 2023年 第46周 )
发布日期:2023-11-21 来源:国信中心 极客安全
点击量:
2023年11月4日至11月10日,国家信息技术安全研究中心威胁监测事业部对境内外互联网上的网络安全信息进行了搜集和整理,并按APT攻击、网络动态、漏洞资讯、木马病毒进行了归类,共计16条。
01
APT组织SideCopy针对印度目标实施网络攻击
11月6日,据seqrite媒体网站报道,SideCopy是一个具有巴基斯坦背景的APT组织,并被认为是Transparent Tribe(APT36)的一个分支,自2019年以来一直针对印度国防和阿富汗政府目标实施网络攻击。研究人员在过去几个月里发现该组织利用最新的WinRAR漏洞(CVE-2023-38831)对印度政府及国防机构目标实施了多次网络攻击,以传播AllaKore RAT、DRat和其他恶意载荷。
02
APT组织BlueNoroff使用新恶意软件ObjCShellz针对金融目标用户实施网络攻击
11月7日,据jamf媒体网站报道,APT组织BlueNoroff是一个出于经济目的,经常针对加密货币交易所、风险投资公司和银行等金融目标实施攻击的组织。近期,研究人员发现发现该APT组织使用一个新的恶意软件ObjCShellz对金融目标用户实施攻击的情况。经分析发现,该恶意软件是用Objective-C 编写的,作为一个非常简单的远程shell运行,执行从攻击者服务器发送的shell命令。该恶意软件与之前提到的其他攻击中使用的RustBucket恶意软件虽然有所不同,但都能够提供简单的远程shell功能,不排除ObjCShellz是RustBucket恶意软件活动的一部分。
03
疑似APT组织Sidewinder利用Nim后门窃取不丹目标用户情报
11月8日,据奇安信威胁情报中心公众号报道,近期,奇安信威胁情报中心在日常样本分析过程中捕获了APT组织Sidewinder(响尾蛇、APT-Q-39)针对不丹目标用户实施攻击的恶意样本。经分析发现,该恶意样本使用的诱饵文件来自被修改的不丹政府网站发布的通告,其文档中携带的宏代码通过执行一系列VBS和BAT脚本,最终运行Nim编写的后门。据资料显示,Nim后门是2021年底我国内安全厂商披露的“幼象”(BabyElephant)组织C++后门的变种,并通过鱼叉式钓鱼攻击活动对目标用户实施入侵。
01
黑客在其论坛上出售俄罗斯保险公司Rosgosstrakh的数据
11月4日,据hackread媒体网站报道,名为“Apathy”的黑客针对俄罗斯第二大保险公司Rosgosstrakh实施了网络攻击,并窃取了大量敏感数据。攻击完成后,该黑客在其论坛中以价值5万美元的比特币(BTC)或门罗币(XMR)对数据进行出售,并打算向买家提供对Rosgosstrakh内部Web用户界面的完全访问权限。此次攻击事件,泄露了大约300万份银行对账单和73万人的数据,以及所有人寿保险政策和合同及相关附件访问权限,如:公共官员或其直系亲属的护照和扫描文件。
11月7日,据secrss媒体网站报道,近日,美国杜克大学发布的一项研究显示,现役美军的个人信息十分廉价、极易购买,甚至被售卖数据的经纪人打广告进行宣传。研究人员表示,1万美元就可以买到近5万名美国军人的记录,其中包括军人姓名、电话号码、地址等各种数据,有时甚至能买到军人子女的姓名、婚姻状况、净资产和信用评级等信息。美国部分参议员查看了杜克大学的研究结果,他们通过电子邮件发表声明称,研究说明了有必要采取应对行动制止这一现象。共和党参议员Bill Cassidy表示:“研究报告进一步说明美国军人保护工作存在巨大漏洞,急需加以解决,我们必须维护国家安全,保护守卫国家的军人。”民主党参议员Ron Wyden称,研究结果“为政策制定者敲响了警钟,数据经纪业已经失控,对美国国家安全构成了严重威胁。”
03
黑客声称窃取3,500万LinkedIn用户的数据
11月7日,据hackread媒体网站报道,一个用户名为USDoD的黑客在黑客论坛中声称窃取了一个拥有3,500多万用户个人信息的LinkedIn数据库。该数据库中主要包括LinkedIn个人资料中的公开信息,尽管该数据库包含数百万个电子邮件地址,但泄露的数据中没有登录密码。研究人员对该数据库中的500多万个账户进行了分析,得出的结论是数据库中含有各种来源的信息,如LinkedIn的公开个人资料、伪造的电子邮件地址等。该研究人员称,其中含有大量伪造的电子邮件地址,但人员、公司、域名和许多电子邮件地址是真实的。
11月8日,据secrss媒体网站报道,近日,美国国土安全部发布通知,公开新的“网络安全准备度评估因素”的详细信息。该通知由国土安全部首席信息安全官Kenneth Bible和采购政策与法规执行主任Sarah Todd共同签署。通知确认,美国国土安全部计划采用自己的方法来评估承包商的网络安全,不再采用美国国防部的网络安全成熟度模型认证(CMMC)计划。美国国土安全部官员在通知中写道:“国土安全部旨在确保,承包商已经采取了有效且适当的网络安全措施以支持工作。有了新的评估因素,国土安全部将能在适用合同招标前,评估承包商的网络安全状况,进行价值权衡,做出最佳决策。”通知没有说明新的评估因素将何时生效。但美国国土安全部希望在11月17日之前收到对其计划的反馈意见。在通知的附件中,美国国土安全部详细说明将如何分析承包商对问卷调查的回答,并以此为基础评估“网络安全准备度”。如果招标使用准备度因素,投标公司需要展示他们如何落实美国国家标准与技术研究院的网络安全控制要求(如NIST SP 800-171r2、NIST SP 800-172),从而保护敏感政府数据CUI(受控非机密信息)。投标公司将填写美国国土安全部“标准化安全评估工具问卷”,根据填写内容,公司将收到“准备度结果”和评级。从高到低,有“高度可能具备网络安全准备度”、“可能具备网络安全准备度”、“不太可能具备网络安全准备度”等多个等级。美国国土安全部在通知中指出,这些指标“将根据具体的招标进行调整”。此外,公司的网络安全评级可能会对他们的投标产生积极或消极的影响。通知附件指出:“目前,网络安全准备度因素将只用于适用招标工作,帮助进行价值权衡,做出最佳授标决策。当然,如果中标方在授标时并不符合美国国土安全部期望的要求,需要在招标文件中加入行动计划和里程碑节点,在授标后交付。”
05
中国某跨境电商暴露数百万用户隐私数据,部分数据含身份证照片
11月8日,据安全内参微信公众号报道,云安全公司CloudDefense.ai的安全研究员Viktor Markopoulos发现我国某家跨境电商的数据库暴露在互联网上,导致数百万中国公民的身份证号码遭泄露。他表示,泄露的数据库属于Zhefengle中国电商,专门经营从国外进口商品的业务(经安全内参查询,zhefengle.com网站隶属杭州橙子信息科技有限公司)。Viktor Markopoulos称,泄露的数据涉及2015年到2020年间超过330万订单,以及客户送货地址、电话号码和居民身份证号码等,许多订单还包括含有客户照片的身份证复印件(购买海外商品的中国客户必须经过身份验证,商店要求客户上传身份证复印件也是常规操作)。TechCrunch联系了这家网店的负责人,并提供了有关泄露数据库的详细信息。不久之后,这家电商的数据库就无法访问了,负责人回复称:“漏洞已经得到迅速处理,我们正在对原因展开内部调查。”
11月8日,据E安全微信公众号报道,近日,以色列高等教育和科技部门已成为一系列破坏性网络攻击的目标,这些攻击始于2023年1月,旨在部署以前未记录的雨刷恶意软件。研究人员表示,发生在10月的入侵事件被归咎于伊朗黑客组织Agonizing Serpens(Agrius、BlackShadow和Pink Sandstorm),安全研究人员称:“这些网络攻击的特点是试图窃取敏感数据,如个人身份信息(PII)和知识产权。”。“一旦攻击者窃取了信息,他们就会部署各种擦拭器,以覆盖攻击者的踪迹,并使受感染的端点无法使用。”攻击包括三种不同的新型擦拭器,MultiLayer、PartialWasher和BFG Agonizer,以及一种从数据库服务器中提取信息的定制工具Sqlextractor。
07
中国工商银行美国子公司发表声明称:遭勒索攻击致部分系统中断
11月10日,据freebuf媒体网站报道,中国工商银行股份有限公司在美全资子公司——工银金融服务有限责任公司(ICBCFS)在官网发布声明称,美东时间11月8日,ICBCFS遭勒索软件攻击,导致部分系统中断。ICBCFS表示,发现攻击后立即切断并隔离了受影响系统,已展开彻底调查并向执法部门报告,正在专业信息安全专家团队的支持下推进恢复工作。ICBCFS称,已成功结算周三执行的美国国债交易和周四完成的回购融资交易。声明称,中国工商银行及其他国内外附属机构的系统未受此次事件影响,中国工商银行纽约分行也未受影响。
01
攻击者利用CVE-2023-46604漏洞部署勒索软件TellYouThePass
11月3日,据arcticwolf媒体网站报道,研究人员发现多起涉及利用CVE-2023-46604漏洞的勒索软件攻击活动,该漏洞是Apache ActiveMQ中的一个远程代码执行漏洞并于2023年10月27日被披露。攻击者可利用该漏洞滥用ActiveMQ实施的OpenWire协议来执行任意代码。除了被用于部署勒索软件,研究人员还发现有攻击者利用该漏洞部署用Go语言编写的跨平台远控木马SparkRAT。
02
Veeam ONE IT 监控软件中被发现存在漏洞
11月7日,据thehackernews媒体网站报道,Veeam 发布了安全更新,以修复其ONE IT监控和分析平台中存在的4个漏洞。第一个漏洞为CVE-2023-38547(CVSS评分:9.9),未经身份验证的用户可以利用该未指定缺陷来获取有关Veeam ONE用于访问其配置数据库的SQL服务器连接的信息,从而导致在SQL服务器上远程执行代码;第二个漏洞为CVE-2023-38548(CVSS 评分:9.8),允许有权访问Veeam ONE Web客户端的非特权用户获取Veeam ONE报告服务所用帐户的 NTLM 哈希值;第三个漏洞为CVE-2023-38549(CVSS 评分:4.5),允许具有Veeam ONE高级用户角色的用户获取具有Veeam ONE管理员角色的用户的访问令牌;第四个漏洞为CVE-2023-41723(CVSS 评分:4.3),允许具有Veeam ONE只读用户角色的用户查看仪表板计划。
03
IP-guard WebServer存在远程命令执行漏洞
11月8日,据微步在线研究响应中心微信公众号报道,IP-guard是由溢信科技股份有限公司开发的一款终端安全管理软件,旨在帮助企业保护终端设备安全、数据安全、管理网络使用和简化IT系统管理。近日,微步漏洞团队通过“X 漏洞奖励计划”获取到IP-guard WebServer远程命令执行漏洞情报,攻击者可利用该漏洞执行任意命令,获取服务器控制权限。漏洞影响version < 4.81.0307.0版本,目前用户可通过版本升级修复上述漏洞。
01
研究人员发现名为Trap Stealer的窃密木马
11月6日,据cyble媒体网站报道,研究人员发现了一个名为“Trap Stealer”的新型窃密木马,并且已经确定其开发者在GitHub上公开分享了完整的源代码。Trap Stealer基于Python编写,通过一个开源构建器构建,具有包括绕过安全措施以及窃取用户数据并回传给攻击者等功能。该窃密木马旨在秘密提取受感染系统中的包括Cookies、网络浏览器的浏览历史、Discord应用程序的令牌、剪贴板内容、加密钱包数据、WhatsApp文件等各种敏感信息。目前其开发者仍在不断改进这个窃取工具的代码,并引入新的功能
11月6日,据securityintelligence媒体网站报道,研究人员发现了Gootloader的新变种GootBot,GootBot是一个轻量级的混淆的PS脚本,可实现隐蔽的横向移动,使Gootloader的攻击活动更加难以被检测。以前,攻击者通常将Gootloader作为初始阶段的恶意软件,然后利用Gootloader加载工具,如CobaltStrike,或使用RDP在内网在横向移动。现阶段攻击者可利用Gootloader下载GootBot载荷,能够以加密PowerShell脚本的形式接收C2指令。
11月8日,据checkmarx媒体网站报道,研究人员在PyPI库中发现恶意Python包,该活动于2023年1月开始,共有8个包,名为Pyobftoexe、Pyobfusfile、Pyobfexecute、Pyobfpremium、Pyobflite、Pyobfadvances、Pyobfuse和pyobfgood,最后一个包于10月发布。这些模块中包含setup.py和init.py文件,文件检索托管于Transfer上的Python脚本,该脚本执行后将接收并执行代码。被执行hi ing的恶意软件为BlazeStealer,它运行Discord Bot程序,使攻击者能够窃取浏览器中的数据、获取屏幕截图、执行任意命令、加密文件,并在受感染的主机上停止Microsoft Defender。它可以通过增加CPU使用率、在启动目录中插入Windows批处理脚本来关闭计算机,甚至强制出现蓝屏(BSoD)错误,使计算机无法使用。