►►
本文共计5134字,阅读预计需要14分钟
近日,明朝万达安元实验室发布了2024年第三期《安全通告》。该份报告收录了2024 年3月最新的网络安全前沿新闻和最新漏洞追踪,其中重点内容包括:
网络安全前沿新闻
俄罗斯黑客可能使用升级版AcidPour恶意软件攻击乌克兰电信公司
安全研究人员表示:“AcidPour 的扩展功能将使其能够更好地禁用嵌入式设备,包括网络、物联网、大型存储 (RAID),以及可能运行 Linux x86 发行版的 ICS 设备。
AcidPour 是AcidRain的变体,用于在 2022 年初俄乌战争爆发时使 Viasat KA-SAT 调制解调器正常运行,并削弱乌克兰的军事通信。
乌克兰黑客劫持超过 1 亿个电子邮件和 Instagram 账户
该网络犯罪团伙通过在暗网论坛上出售其非法获得的凭据来货币化。购买这些信息的其他攻击者利用受感染的账户实施各种欺诈计划,包括诈骗者联系受害者的朋友将钱紧急转入他们的银行账户。该机构表示:“你可以通过设置双因素身份验证并使用强密码来保护你的账户免受这种黑客攻击。”
官员们在基辅、敖德萨、文尼察、伊万诺-弗兰科夫斯克、顿涅茨克和基洛沃拉德进行了七次搜查,没收了 70 台电脑、14 部手机、银行卡和价值超过 3,000 美元的现金。
黑客利用文档发布网站进行网络钓鱼攻击
黑客利用 FlipSnack、Issuu、Marq、Publuu、RelayTo 和 Simplebooklet 等平台上托管的数字文档发布 (DDP) 网站进行网络钓鱼、凭据收集和会话令牌盗窃,这再次突显了攻击者如何重新利用合法服务。
在 DDP 网站上托管网络钓鱼诱饵会增加网络钓鱼攻击成功的可能性,因为这些网站通常拥有良好的声誉,不太可能出现在 Web 过滤器阻止列表中,并且可能会给认为熟悉或熟悉这些网站的用户灌输错误的安全感。
TeamCity 漏洞导致勒索软件、加密货币挖矿和 RAT 攻击激增
多个攻击者正在利用 JetBrains TeamCity 软件中最近披露的安全漏洞来部署勒索软件、加密货币挖矿程序、Cobalt Strike 信标以及基于 Golang 的名为 Spark RAT 的远程访问木马。这些攻击需要利用CVE-2024-27198(CVSS 评分:9.8),使攻击者能够绕过身份验证措施并获得对受影响服务器的管理控制。
安全研究员表示:攻击者随后能够安装可以访问其命令与控制 (C&C) 服务器的恶意软件,并执行其他命令,例如部署 Cobalt Strike 信标和远程访问木马 (RAT)。然后可以安装勒索软件作为最终有效负载来加密文件并要求受害者支付赎金。
韩国公民因网络间谍罪在俄罗斯被拘留
俄罗斯首次以网络间谍罪名拘留一名韩国公民,并将其从符拉迪沃斯托克转移至莫斯科接受进一步调查。俄罗斯通讯社塔斯社最先报道了这一进展。
一位不愿透露姓名的消息人士称,“在调查一起间谍案期间,一名韩国公民白元淳被认出并被拘留在符拉迪沃斯托克,并根据法院命令被拘留。元淳被指控向未透露姓名的外国情报机构提供机密“绝密”信息。
黑客使用HTML 走私通过虚假 Google 网站传播恶意软件
网络安全研究人员发现了一种新的恶意软件活动,该活动利用伪造的 Google 站点页面和 HTML 走私来分发名为AZORult的商业恶意软件,以促进信息盗窃。
安全研究员表示:它使用一种非正统的 HTML 走私技术,其中恶意负载嵌入到外部网站上托管的单独 JSON 文件中。网络钓鱼活动尚未归因于特定的攻击者或组织。该网络安全公司称这种行为本质上很普遍,其目的是收集敏感数据并在地下论坛上出售。
E-Root 市场管理员因出售 35 万份被盗凭证而被判处 42 个月监禁
美国司法部 (DoJ) 宣布,一名 31 岁的摩尔多瓦公民因经营名为 E-Root Marketplace 的非法市场而在美国被判处 42 个月监禁,该市场出售数十万份被盗凭证。美国司法部上周表示:“E-Root 市场在广泛分布的网络上运行,并采取措施隐藏其管理员、买家和卖家的身份。”
Sandu Boris Diaconu 被指控串谋实施访问设备和计算机欺诈以及拥有 15 个或更多未经授权的访问设备。他于 2023 年 12 月 1 日认罪。
APT28 黑客组织针对欧洲、美洲和亚洲开展广泛的网络钓鱼计划
俄罗斯有关的威胁行为者APT28与多个正在进行的网络钓鱼活动有关,这些活动使用模仿欧洲、南高加索、中亚以及北美和南美政府和非政府组织 (NGO) 的诱饵文件。
网络钓鱼攻击冒充来自阿根廷、乌克兰、格鲁吉亚、白俄罗斯、哈萨克斯坦、波兰、亚美尼亚、阿塞拜疆和美国等多个国家的实体,利用真实的公开政府和非政府诱饵文件来激活感染链。
新的基于 Python 的 Snake 信息窃取程序通过 Facebook 消息传播
威胁行为者正在使用 Facebook 消息来分发名为 Snake 的基于 Python 的信息窃取程序,该程序旨在捕获凭据和其他敏感数据。安全研究员在一份技术报告中表示: “从毫无戒心的用户那里获取的凭据会被传输到不同的平台,例如 Discord、GitHub 和 Telegram。”
有关该活动的详细信息于 2023 年 8 月首次出现在社交媒体平台 X 上。这些攻击需要向潜在用户发送看似无害的 RAR 或 ZIP 存档文件,这些文件在打开后会激活感染序列。
第三方 ChatGPT 插件可能导致账户被接管
网络安全研究人员发现,可用于 OpenAI ChatGPT 的第三方插件可能会成为攻击者寻求未经授权访问敏感数据的新攻击面。
直接在 ChatGPT 和生态系统内发现的安全漏洞可能允许攻击者在未经用户同意的情况下安装恶意插件,并劫持 GitHub 等第三方网站上的账户。ChatGPT 插件,顾名思义,是设计为在大语言模型 (LLM) 之上运行的工具,旨在访问最新信息、运行计算或访问第三方服务。
使用虚假 Notepad++ 和 VNote 安装程序针对中国用户的恶意广告
在百度等搜索引擎上寻找Notepad++和VNote等合法软件的中国用户正成为恶意广告和虚假链接的目标,这些链接会分发该软件的木马版本,并最终部署Geacon(一种基于Golang的 Cobalt Strike 实现)。
安全研究员表示:在notepad++搜索中发现的恶意网站是通过广告块进行分发的。首先打开软件后,细心的用户会立即注意到广告:网站地址包含vnote行,标题提供了Notepad‐‐(Notepad++ 的类似物,也作为开源软件分发)的下载,而图像却显示Notepad++。事实上,从这里下载的包中包含Notepad‐‐和黑客编写的病毒。
RedCurl 网络犯罪组织滥用 Windows PCA 工具进行企业间谍活动
RedCurl网络犯罪组织正在利用名为程序兼容性助手 ( PCA )的合法 Microsoft Windows 组件来执行恶意命令。安全研究员表示:“程序兼容性助手服务 (pcalua.exe) 是一项 Windows 服务,旨在识别和解决旧程序的兼容性问题。
黑客可以利用此实用程序来启用命令执行并通过将其用作替代命令行解释器来绕过安全限制。在本次调查中,攻击者使用此工具来掩盖他们的活动。
Ande Loader 恶意软件针对北美制造业
名为 Blind Eagle 的攻击者使用名为 Ande Loader 的加载器恶意软件来传播 Remcos RAT 和 NjRAT 等远程访问木马 (RAT)。
Blind Eagle(又名 APT-C-36)是一个出于经济动机的攻击者,曾策划针对哥伦比亚和厄瓜多尔实体的网络攻击,以提供各种RAT,包括 AsyncRAT、BitRAT、Lime RAT、NjRAT、Remcos RAT、和QuasarRAT。
DarkGate 恶意软件利用最近修补的 Microsoft 漏洞进行零日攻击
2024 年 1 月中旬观察到的 DarkGate 恶意软件活动利用 Microsoft Windows 中最近修补的安全漏洞作为使用虚假软件安装程序的零日漏洞。
在此活动期间,用户被包含 Google DoubleClick Digital Marketing (DDM) 开放重定向的 PDF 引诱,导致毫无戒心的受害者访问托管 Microsoft Windows SmartScreen 的受感染网站,绕过 CVE-2024-21412,从而导致恶意 Microsoft (.MSI) 安装程序。
研究人员强调谷歌的 Gemini AI 对 LLM 威胁的敏感性
谷歌的Gemini大语言模型(LLM)容易受到安全威胁,可能导致其泄露系统提示、生成有害内容并进行间接注入攻击。
安全研究员说这些问题影响了使用 Gemini Advanced 和 Google Workspace 的消费者以及使用 LLM API 的公司。涉及绕过安全防护已泄漏系统提示(或系统消息),这些提示在通过要求模型输出其“基本指令”来向 LLM 设置对话范围指令,以帮助其生成更有用的响应。
网络安全最新漏洞追踪
微软3月多个安全漏洞
漏洞概述
2024年3月12日,微软发布了3月安全更新,本次更新共修复了60个漏洞(不包含3月7日修复的4个Microsoft Edge漏洞),漏洞类型包括特权提升漏洞、安全功能绕过漏洞、远程代码执行漏洞、信息泄露漏洞、拒绝服务漏洞和欺骗漏洞等。
漏洞详情
CVE-2024-21407:Windows Hyper-V远程代码执行漏洞
该漏洞的CVSS评分为8.1,利用该漏洞需要Guest VM上经过身份验证的威胁者向虚拟机上的硬件资源发送特制的文件操作请求,成功利用可能导致在主机服务器上远程执行代码。
CVE-2024-21408:Windows Hyper-V 拒绝服务漏洞
该漏洞的CVSS评分为5.5,影响了Windows Server 2016/2019/2022、Windows 10/11等多个版本,成功利用可能导致拒绝服务。
本次安全更新中其他需要关注的漏洞还包括但不限于:
CVE-2024-21400:Microsoft Azure Kubernetes Service Confidential Container特权提升漏洞
该漏洞的CVSS评分为9.0,威胁者可以访问不受信任的 AKS Kubernetes 节点和 AKS机密容器,从而接管其可能绑定的网络堆栈之外的机密guests和容器。成功利用该漏洞的威胁者可以窃取凭证并影响 Azure Kubernetes 服务机密容器 (AKSCC) 管理的安全范围之外的资源。
CVE-2024-26199:Microsoft Office特权提升漏洞
该漏洞的CVSS评分为7.8,经过身份验证的用户可利用该漏洞获得SYSTEM权限。
CVE-2024-20671:Microsoft Defender 安全功能绕过漏洞
该漏洞的CVSS评分为5.5,经过身份验证的威胁者可利用该漏洞阻止 Microsoft Defender 启动。该漏洞已在Windows Defender版本4.18.24010.12中修复,可通过 Windows 设备上自动安装的 Windows Defender 反恶意软件平台更新进行修复。
CVE-2024-21411:Skype for Consumer 远程代码执行漏洞
该漏洞的CVSS评分为8.8,威胁者可以通过即时消息向用户发送恶意链接或恶意图像,然后诱使用户单击该链接或图像来利用该漏洞,成功利用该漏洞的威胁者可以获得读取、写入和删除等权限。
CVE-2024-21334:Open Management Infrastructure (OMI) 远程代码执行漏洞
该漏洞的CVSS评分为9.8,未经身份验证的远程威胁者可以从 Internet 访问 OMI 实例并发送特制请求以触发释放后使用漏洞,成功利用可能导致远程代码执行。运行受影响的 SCOM (System Center Operations Manager) 版本的客户应更新到 OMI 版本1.8.1-0。
CVE-2024-26198:Microsoft Exchange Server 远程代码执行漏洞
该漏洞的CVSS评分为8.8,未经身份验证的威胁者可以通过将特制文件放置到在线目录或本地网络位置,然后诱导用户打开文件来利用该漏洞,成功利用可能导致加载恶意 DLL,从而导致远程代码执行。
微软的可利用性评估中“被利用的可能性较高”的漏洞包括:
CVE-2024-21433:Windows Print Spooler特权提升漏洞
该漏洞的CVSS评分为7.0,利用该漏洞需要赢得竞争条件,成功利用该漏洞的威胁者可获得SYSTEM权限。
CVE-2024-21437:Windows Graphics Component特权提升漏洞
Windows 图形组件存在权限提升漏洞,该漏洞的CVSS评分为7.8,成功利用该漏洞的威胁者可获得SYSTEM权限。
CVE-2024-26160:Windows Cloud Files Mini Filter Driver信息泄露漏洞
该漏洞的CVSS评分为5.5,成功利用该漏洞的威胁者可以从用户模式进程读取内核内存的内容。
CVE-2024-26170:Windows Composite Image File System (CimFS) 特权提升漏洞
Windows 复合映像文件系统 (CimFS)存在权限提升漏洞,该漏洞的CVSS评分为7.8,成功利用该漏洞的威胁者可获得受限SYSTEM权限。
CVE-2024-26182:Windows Kernel特权提升漏洞
Windows 内核存在特权提升漏洞,该漏洞的CVSS评分为7.8,成功利用该漏洞的威胁者可获得SYSTEM权限。
CVE-2024-26185:Windows 压缩文件夹篡改漏洞
该漏洞的CVSS评分为6.5,影响了Windows 11多个版本。威胁者可通过在电子邮件中向用户发送特制文件并诱导用户打开该文件,或诱导用户单击恶意网站或web链接并打开特制文件来利用该漏洞,成功利用该漏洞可能导致破坏系统完整性。
处置建议
目前微软已发布相关安全更新,建议受影响的用户尽快修复。
(一) Windows Update自动更新
Microsoft Update默认启用,当系统检测到可用更新时,将会自动下载更新并在下一次启动时安装。也可选择通过以下步骤手动进行更新:
1、点击“开始菜单”或按Windows快捷键,点击进入“设置”
2、选择“更新和安全”,进入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,具体步骤为“控制面板”->“系统和安全”->“Windows更新”)
3、选择“检查更新”,等待系统自动检查并下载可用更新。
4、更新完成后重启计算机,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
(二) 手动安装更新
Microsoft官方下载相应补丁进行更新。
2024年3月安全更新下载链接:
https://msrc.microsoft.com/update-guide/releaseNote/2024-Mar
Apache InLong反序列化漏洞(CVE-2024-26580)
漏洞概述
CVE ID |
CVE-2024-26580 |
发现时间 |
2024-03-07 |
类 型 |
反序列化 |
等 级 |
高危 |
远程利用 |
网络 |
影响范围 |
|
攻击复杂度 |
低 |
用户交互 |
无 |
PoC/EXP |
未公开 |
在野利用 |
未发现 |
漏洞详情
Apache InLong是一站式、全场景的海量数据集成框架,同时支持数据接入、数据同步和数据订阅,提供自动、安全、可靠和高性能的数据传输能力,方便业务构建基于流式的数据分析、建模和应用。Apache InLong中修复了一个反序列化漏洞(CVE-2024-26580)。
Apache InLong版本1.8.0 - 1.10.0中存在反序列化漏洞,由于updateAuditSource 方法中缺乏相应的JDBC URL检查,威胁者可构造特定Payload读取任意文件。
影响范围
Apache InLong 1.8.0 - 1.10.0
处置建议
目前该漏洞已经修复,受影响用户可升级到Apache InLong 1.11.0。
下载链接
https://inlong.apache.org/downloads
作为中国新一代信息安全技术企业的代表厂商,明朝万达多年来专注于数据安全、公共安全、云安全、大数据安全及加密应用技术解决方案等服务,客户覆盖金融、政府、公安、电信运营商等诸多行业。
公司始终以守护用户数据价值为己任,致力于让安全真正服务于业务发展。在坚持技术创新的同时,注重技术与业务的深度融合,为客户提供量身定制的数据安全解决方案。
网站声明:如果转载,请联系本站管理员。否则一切后果自行承担。