您当前所在的位置: 首页 -> 网络安全 -> 安全资讯 -> 正文

每周网络安全简讯 ( 2023年 第48周 )

发布日期:2023-11-27  来源:国信中心 极客安全   点击量:
2023年11月18日至11月24日,国家信息技术安全研究中心威胁监测事业部对境内外互联网上的网络安全信息进行了搜集和整理,并按APT攻击、网络动态、漏洞资讯、木马病毒进行了归类,共计19条。    


01

APT攻击


 

 

01

APT组织Gamaredon利用LitterDrifter恶意程序对乌克兰目标实施网络攻击    
   

近日,安全研究人员监测发现隶属于俄罗斯联邦安全局(FSB)的APT组织Gamaredon在针对乌克兰实体的攻击中使用名为LitterDrifter的USB传播型恶意程序,对乌目标设备实施了入侵。经对LitterDrifter恶意程序分析发现,该恶意程序与赛门铁克2023年6月披露的基于PowerShell的USB传播型恶意程序变种有关,传播器模块用VBS编写,其功能是负责将恶意程序中的隐藏文件通过USB驱动器进行分发。此外,该恶意程序利用域名代替IP地址作为C2服务器的实际通联地址。该APT组织近期攻击活动较为活跃,攻击方式不断更新迭代,针对特定目标实施大规模数据收集,并向受控设备部署LitterDrifter恶意程序,以实现对目标设备的持久化控制。

链接     :http://985.so/26v79    

 

 

 

02

朝鲜APT组织Diamond Sleet对中国台湾知名多媒体软件开发商讯连科技实施了供应链攻击    
   

微软近期发布报告称,具有朝鲜背景的APT组织Diamond Sleet入侵了中国台湾多媒体软件公司讯连科技,并对其生产的某款软件安装程序进行木马化,而后向全球潜在受害者推送该恶意软件,以实施供应链攻击。经分析,该木马程序为LambLoad(恶意软件下载器和加载器),检测设备上是否存在FireEye、CrowdStrike或Tanium等安全软件,如果存在,该木马程序将继续运行,但不执行捆绑的恶意代码;如果不存在,该木马程序将与三个C2服务器中的任意一个进行连接,以调用隐藏在PNG文件中的第二阶段有效负载。

链接     :http://985.so/26v78    

 

 

 

03

APT组织APT-C-35利用RemcosRAT对巴基斯坦目标实施网络攻击    
   

近日,安全研究人员监测发现APT组织APT-C-35(肚脑虫)对巴基斯坦目标实施网络攻击等情况。攻击活动中,该APT组织使用两种不同手法入侵了目标用户的设备:其一,诱使用户打开带有漏洞的inp文档。用户打开后,该文档可在%UserProfile%\AppData\Local\下释放Remcos加载器,该加载器被启动后,将加载商业远控Remcos并接受控制指令;其二,诱使用户打开恶意压缩包中的lnk文件。用户打开后,该文件可从远端服务器上下载触发第二阶段攻击载荷,而后将从远端服务器上下载商业远控Remcos最终有效载荷,与C2服务器建立通联关系并接收执行控制指令,以达到对受控设备持久化远控的目的。

链接     【阅读原文】    

 

 

02

网络动态


 

 

01

美国防部发布海军新网络战略指南    
11月21日,美国国防部官方网站发布关于美国海军的新网络战略指南,旨在强调将网络安全领域作为一个作战领域,并提升该领域的核心能力。该指南适用于美国海军和海军陆战队,制定过程为三年。该指南称,“涉及美国海军的下一场战斗,将与之前的其他冲突不同,非动能能力的使用将是决定因素,有效同步非动能效应(如:网络空间)的军队将拥有决定性优势。同时,由于各种原因,任务执行过程中可能无法使用网络或传统有线网络功能,因此具备使用网外功能访问目标的能力,将是一个必须的选项。”目前,美国海军发言人声称,海军分析中心(CNA)正在根据指南的要求推进相应的研究工作,以满足未来作战需求和团队能力建设,这项工作预计将于 2024 年底完成。    
链接:     http://985.so/26v74    

 

 

 

02

美国会众议院议员和加利福尼亚州民主党议员要求组建美英加澳新五国AI合作工作组    

近日,美国会众议院威斯康辛州共和党籍议员麦克·加拉格(Mike Gallagher,R-Wis.)和加利福尼亚州民主党籍议员罗·肯纳(Ro Khanna,D-Calif.)共同提出《五国人工智能法案》(Five AIs Act),以进一步巩固美国及其盟友在AI军事及情报领域的对华科技优势。法案要求,由美国防部长和国家情报总监牵头组建将存续至2028年9月30日的美英加澳新五国“五眼战略AI工作组”(Five AIs Strategic Artificial Intelligence Working Group),统筹:测评与采购先进AI系统、推动针对情报共享与战场空间态势感知的AI互操作性解决方案发展、编制针对五国联合研发测评和部署AI系统的共享战略、落实技术道德框架以加速AI技术发展、运用商业AI技术来促进五国防务部门和情报机构的合作深度这五项工作。此外,该法案除要求在通过后的90日内,成立“五眼战略AI工作组”、并指派美国防部一名军职或文职官员主持该工作组的相关工作外,还特别提出上述AI工作组应将“通过包括但不限于试验、测试、评估等手段识别可推进和加速面向情报共享、战场空间态势感知以及其他秘密行动支持之先进AI系统的可互操作性”作为其重点工作,同时鼓励“五眼情报监管与审查委员会”(Five Eyes Intelligence Oversight and Review Council,FIORC)成员积极参加相关工作。加拉格在周二表示,《五国人工智能法案》是一份得到两党支持、旨在确保AI技术在具有共同价值观之五眼联盟成员国主持下发展、测评并主导的共识法案;肯纳则表示,这一法案将确保美国在21世纪内继续保持领先地位,并与最亲密的四个盟友通力合作掌握AI的优势并应对未来潜在挑战。

链接:     http://985.so/26v7y    

 

 

 

03

微软发布首款集成Security Copilot的统一安全运营平台    
   

近日,微软公司负责安全、合规、身份等部门的副总裁Vasu Jakkal在Ignite大会上,发布了一系列面向AI时代的安全产品,比如:首款集成Security Copilot的统一安全运营平台;数据安全、身份、设备管理等领域产品全面集成Security Copilot,包括Microsoft Defender、Microsoft Defender云端版、Microsoft Sentinel、Microsoft Intune、Microsoft Entra和Microsoft Purview等;通过Defender、Purview等产品保障人工智能的使用安全等。微软的新一代生成式人工智能解决方案Security Copilot,融合了公司大规模数据优势和端到端安全性,全部建立在“零信任”原则之上,形成了一种保护的良性循环,改变了数字威胁格局的不对称性,并在面向AI时代中支持安全团队。同时,将Microsoft Sentinel、Microsoft Defender XDR(之前称为Microsoft 365 Defender)和Security Copilot结合在一起,使安全分析人员拥有了统一的事件体验,不仅使分类工作得到简化,而且获得了完整的端到端视图,以展现跨数字资产的威胁。使用生成式人工智能加持的自动化规则和工作手册,能够减轻各级分析人员的工作压力,并可做到快速地协调响应。此外,通过统一的数据搜索方式,使分析人员能够在一个地方查询所有的SIEM和XDR数据,从而发现网络威胁并采取适当的应对措施。

链接:     http://985.so/26v7p        

 

 

 

04

越南邮政因服务器配置不当,导致1.2TB数据泄露    

近日,安全研究人员在互联网上发现一个属于越南邮政公司的开放式Kibana服务器实例(用于数据搜索和分析的可视化仪表盘,帮助企业处理大量数据),外部人员可以访问该公司的安全日志和员工电子邮件等,这些敏感数据如果被恶意行为者访问,可能会带来麻烦。据了解,该公司是为越南政府提供邮政服务的公司,同时还提供金融、人寿和非人寿保险服务。该公司成立于2005年,现有员工超过7万人。数据库发生泄露时,数据存储库中包含员工姓名、电子邮件等信息以及2.26亿条事件日志,总共1.2TB的数据,且这些数据仍在实时更新中。这些日志主要来源于扩展检测和响应(XDR)、安全信息和事件管理(SIEM)等网络安全软件的监测记录。据了解,事件日志对潜在的攻击者来说非常有价值,有助于他们进行网络、用户和服务的枚举和跟踪。据外媒透露,该数据存储库2023年7月8日就可被外部访问,10月6日发现后,越南邮政公司撤销了公开访问权限

链接:     http://985.so/26v7q    

 

 

 

05

美国加州长滩市遭受网络攻击,致使市政系统关闭数日    
   

近日,美国加利福尼亚州长滩市遭到攻击,关闭了部分IT系统以防止攻击传播。攻击发生于11月14日,公共事业缴费等部分在线服务受到影响,但未影响紧急服务。截至上周五,该市预计可能需要几天的时间进行恢复。目前,长滩市已宣布进入紧急状态,攻击事件仍在调查中,尚不清楚攻击类型以及是否存在数据泄露,也没有攻击者声称对此事负责。

链接:     http://985.so/26v75        

 

 

 

06

巴黎水务机构遭受黑客网络攻击    
   

近日,负责巴黎及周边900万人污水处理工作的机构遭到黑客网络攻击。巴黎都市区省际净水联合会(SIAAP)负责法国四个省总长约275英里的污水管道管理工作。11月17日,该机构表示,遭受黑客网络攻击并向司法警察和国家信息与自由委员会(CNIL)提出申诉。官员们发表声明称,他们已经优先采取措施,确保“法兰西岛居民享受的公共卫生服务不会中断。”同时,该声明还附带了一项紧急命令,授权该机构官员可聘请外部网络安全公司,并购买恢复或还原系统所需的任何设备,以便保障他们继续工作。

链接:     http://985.so/26v7t        

 

 

 

07

加拿大BGRS和SIRVA遭受网络攻击,导致市政机构大量人员信息遭泄露    
   

近日,加拿大当局披露了一起数据泄露事件,涉及现任和前任公共服务部门的员工和加拿大皇家骑警及武装部队成员。经研判确定,为员工提供搬迁服务的Brookfield Global Relocation Services(BGRS)和SIRVA Worldwide Relocation & Moving Services是此次数据泄露事件的源头,泄露数据包括自1999年以来向这些公司提供的个人和财务信息。10月6日,勒索团伙LockBit将SIRVA添加到其网站的数据泄露名单上,并于11月19日公开了被盗数据,而BGRS网站自9月29日起一直处于离线状态。

链接:     http://985.so/26vtk        

 

 

 

08

Rhysida团伙以20 BTC的价格拍卖大英图书馆部分数据    
   

勒索团伙Rhysida将大英图书馆添加到其Tor泄露网站。该团伙声称窃取了大量“令人印象深刻的数据”,并以20 BTC的价格进行拍卖。Rhysida计划将这些数据卖给唯一的买家,并留出7天的时间。攻击发生于10月28日,导致大英图书馆IT系统持续中断,并影响了在线系统、服务和Wi-Fi等。11月20日,大英图书馆发帖证实了其人力资源文件被盗的消息,并提醒用户重置密码以防万一,同时还表示预计在未来几周内恢复许多服务,但部分服务可能会持续很长一段时间才能恢复。

链接:     http://985.so/26vta        

 

 

 

09

美国爱达荷国家实验室遭受网络攻击并泄露数据    
   

用户名为SiegedSec的攻击者在黑客论坛中称其窃取了美国爱达荷国家实验室(INL)的数据,并在黑客论坛和Telegram频道中公开了窃取的数据,且不愿与受害者进行谈判或要求赎金。SiegedSec泄露的数据包括全名、出生日期、电子邮件地址、电话号码、社会安全号码(SSN)、居住地址、就业信息等。在Telegram频道中,SiegedSec还通过共享INL内部用于文档访问和公告创建的工具的截图以作为其入侵成功的证据。爱达荷国家实验室确认其遭受网络攻击,且此次攻击影响了与人力资源相关的系统服务器。

链接:     http://985.so/26vt4        

 

 

03

漏洞资讯


 

 

01

CrushFTP存在远程代码执行漏洞(CVE-2023-43177)    

CrushFTP是一款支持FTP、FTPS、SFTP、HTTP、HTTPS等协议的跨平台FTP服务器软件。近日,安全研究人员发现该软件存在远程代码执行漏洞(CVE-2023-43177),是由CrushFTP 解析AS2数据传输协议的请求标头时存在缺陷所导致,允许攻击者利用 AS2 标头解析逻辑控制用户会话属性,使得能够读取和删除文件,从而可能控制系统或导致代码执行。漏洞影响CrushFTP < 10.5.1等版本,目前用户可通过版本升级修复上述漏洞。

链接:     http://985.so/26vt3        

 

 

 

02

Google Chrome存在信息泄露漏洞(CVE-2023-4357)    

Google Chrome是由Google公司开发的网页浏览器。近日,安全研究人员发现该浏览器存在信息泄露漏洞(CVE-2023-4357),是由浏览器对XML中不受信任输入数据验证不充分所导致,允许攻击者通过精心设计的 HTML 页面绕过文件访问限制。漏洞影响Google:Chrome< 116.0.5845.96等版本,目前用户可通过版本升级修复上述漏洞。

链接:     【阅读原文】        

 

 

 

03

FortiSIEM服务器存在系统命令注入漏洞(CVE-2023-36553)    

近日,安全研究人员发现Fortinet公司的FortiSIEM服务器存在系统命令注入漏洞(CVE-2023-36553),是由服务器使用不同特殊组件进行调配时存在缺陷所导致,允许未经身份验证的攻击者向目标设备发送特制API请求的方式,远程执行任意指令。漏洞影响 5.4.0、5.3.0 至 5.3.3、5.2.5 至 5.2.8等版本,目前用户可通过版本升级修复上述漏洞

链接:     http://985.so/26vtz        

 

 

 

04

用友NC Cloud存在任意文件上传漏洞    

近日,安全研究人员发现用友NC Cloud存在任意文件上传漏洞。该漏洞位于NC Cloud uploadChunk组件中,允许攻击者向目标设备上传任意文件。目前该漏洞PoC已在互联网公开,用户通过使用防火墙或其他网络隔离措施,限制相应设备网络访问权限的方式降低安全风险。

链接:     http://985.so/26vt1        

 

 

04

木马病毒


 

 

01

8Base黑客团伙通过SmokeLoader分发新的Phobos变体    

近日,8Base黑客团伙使用勒索软件Phobos的变体和其它公开可用的工具实施攻击的活动有所增加,且大多数Phobos变体由后门SmokeLoader进行分发。在8Base活动中,该黑客团伙在加密payload过程中将核心功能组件嵌入Phobos勒索软件,并加载到SmokeLoader进程的内存中。经分析发现,Phobos勒索软件能够加密本地驱动器和网络共享中的文件,可对低于1.5MB的文件进行完全加密,对高于此阈值的文件进行部分加密,遇到较大的文件将在整个文件中加密较小的数据块,并将这些块的列表与文件末尾的密钥一起保存在元数据中,以提高加密速度。此外,该勒索软件还包括如下功能:一是能够扫描本地网络中的网络共享;二是通过启动文件夹和运行注册表项实现持久性;三是生成要加密的扩展名和文件夹的目标列表;四是创建进程看门狗线程以终止可能保持目标文件打开的进程;五是禁用系统恢复、备份和卷影副本以及Windows防火墙;六是利用AES函数和硬编码密钥进行数据加密。同时,该勒索软件内部存在调试文件,包括:安全软件的检测、操作系统语种检测等其他功能。

链接:     http://985.so/26vzw            

 

 

 

02

Unit 42发布Stately Taurus攻击活动分析报告    

近日,Unit 42发布了在8月份观察到三起Stately Taurus攻击活动分析报告。第一起攻击活动发生在8月1日,研究人员发现了托管在Google Drive上的Stately Taurus,且恶意软件包配置为ZIP文件230728 meeting minutes.zip。第二起攻击活动发生在8月3日,恶意软件包名为NUG'sForeignPolicyStrategy.zip。第三起攻击活动发生在8月16日,在攻击流程上与第一起活动相同,但其ZIP和EXE的文件名是Labor Statement.zip。上述三起攻击活动在受控设备上植入的恶意程序为Strategy.exe、SmadavProtect32.exe、Labor Statement.exe等,在成功部署后,相关载荷将伪装成微软公司的合法流量,并与C2服务器建立通联关系,进而远程执行任意攻击指令,并收集受控设备的敏感信息。

链接:     http://985.so/26vzk            

 

 

 

03

Lumma窃密木马使用新型技术手段规避安全检测    

研究人员对Lumma窃密木马4.0版本进行分析,发现该窃密木马在规避检测及对抗分析方面使用了新的技术手段。这些手段包括控制流平坦化混淆、鼠标活动检测、XOR加密字符串、动态配置文件以及在构建时进行加密。其中,Lumma窃密木马在对鼠标活动进行检测时,使用GetCursor跟踪主机上鼠标光标的位置,并在50毫秒的间隔内记录5个不同位置,然后采用三角函数对这些位置进行分析,对移动形成的角度和矢量大小进行计算,如果计算出的矢量角度低于45度,Lumma窃密木马会认为这些动作不是由软件模拟的,将继续运行;如果角度大于45度,该恶意软件会停止所有恶意行为,但会继续监视鼠标移动,直到检测到类似人类的行为。

链接:     http://985.so/26vzd