微软的2024年10月补丁周二交付了一系列重要的安全更新，解决了其生态系统中的121个漏洞。这包括三个关键漏洞和114个标记为重要的漏洞，跨越了微软的服务和软件的广泛。 遭受攻击的零日漏洞 本月的补丁包括修复两个已经在野外发现的被积极利用的零日漏洞。其中最令人担忧的漏洞之一是CVE-2024-43573，这是一个Windows MSHTML 平台中的欺骗漏洞。MSHTML，虽然经常与现已退役的Internet Explorer相关联，但仍然会影响遗留系统。虽然微软没有分享详细的利用细节，美国网络安全和基础设施安全局（CISA）已经标记了这个漏洞，敦促用户在2024年10月29日之前修补它。 另一个零日，CVE-2024-43572，是微软管理控制台（MMC）中的远程代码执行（RCE）漏洞。MMC是系统管理员广泛使用的工具，使得此漏洞在企业环境中具有高度的危险性。利用漏洞可以让攻击者获得对Windows系统的未经授权控制权，进一步突出了快速打补丁的重要性。 另外三个公开披露但在攻击中未被利用的零日漏洞是: CVE-2024-43583:Winlogon特权漏洞的提升。攻击者可能利用此漏洞获得对操作系统的SYSTEM级访问权限。 CVE-2024-6197:开源Curl远程代码执行漏洞。成功利用此漏洞需要客户端连接到恶意服务器，这可能允许攻击者在客户端上获得代码执行。 CVE-2024-20659 – Windows Hyper-V安全特性绕过漏洞。攻击者必须先获得对受限网络的访问权限，然后再执行攻击。成功利用此漏洞可能允许攻击者破坏虚拟机管理器和内核。 关键漏洞 除了零天，微软已经解决了三个关键的漏洞，可以允许远程代码执行或特权升级，如果不打补丁。 CVE-2024-43468（CVSS 9.8）：微软配置管理器（ConfigMgr）远程代码执行漏洞。未经身份验证的攻击者可能利用此漏洞在服务器或数据库上执行命令。 CVE-2024-43582:远程桌面协议（RDP）服务器中的一个严重缺陷可能允许攻击者发送恶意数据包，导致在具有与RPC服务相同权限的服务器上执行远程代码。 CVE-2024-43488: Visual Studio Code的Arduino扩展存在一个远程代码执行漏洞，使得攻击者能够绕过关键的身份验证检查。利用此漏洞可以在Arduino扩展中远程执行代码，从而危及用户的开发环境。 Windows核心组件中的漏洞 本月修复的几个漏洞针对的是系统安全不可或缺的关键Windows组件: CVE-2024-43502:一个Windows内核特权提升漏洞，可能允许攻击者在受影响的系统上获得最高级别的访问权限。 CVE-2024-43560:另一个影响Windows存储端口驱动程序的权限升级问题，提供了潜在的SYSTEM级访问。 微软Office和OpenSSH漏洞 10月的更新还解决了Microsoft Office和OpenSSH for Windows中的显著漏洞： UTE-2024-43609：Microsoft Office中的欺骗漏洞可能会在基于Web的攻击中被利用。攻击者可能会在网站上托管恶意文件，或诱骗用户通过电子邮件打开该文件，从而导致潜在的严重后果。 CVE-2024-43581和CVE－2024－43615号文件所列的Microsoft的OpenSSH for Windows的实现中的这些漏洞都是至关重要的，允许远程代码执行时被利用。使用OpenSSH的Windows服务器的管理员应优先考虑这些补丁。 从Windows打印假脱机程序组件到Visual Studio和远程桌面服务，本月的修补程序针对的漏洞几乎跨越微软的每一个主要产品。这包括欺骗、拒绝服务、特权提升和远程代码执行缺陷。值得注意的是，本月早些时候，微软解决了Microsoft Edge（基于铬）中的三个漏洞。 CISA 已将本月修补的零日漏洞 CVE-2024-43573 和 CVE-2024-43572 纳入其已知被利用漏洞目录，强调了立即修补的重要性。CISA建议用户在2024年10月29日之前修补所有零日漏洞和关键漏洞，以避免成为主动的受害者。     转自安全客，原文链接：https://www.anquanke.com/post/id/300639 封面来源于网络，如有侵权请联系删除

西门子发布了其SINEC安全监视器的一个新的安全更新，这是一个模块化的网络安全软件，用于被动的，非侵入性的，持续的监测客户场所的生产环境。已在V4.9.0之前的版本中发现了几个关键漏洞，这些漏洞被追踪为CVE-2024-47553、CVE-2024-47662、CVE-20483和CVE-2024-4565。 SINEC 安全监视器中发现的4个漏洞，其严重程度和对受影响系统的潜在风险各不相同。如果被利用，它们可能允许攻击者执行任意代码，损害系统完整性，并有可能获得对底层操作系统的根层访问权限。 已解决的脆弱性包括: CVE-2024-47553（CVSSv4 9.4）:由于ssmctl-client命令中用户输入的验证不当，允许经过身份验证的低权限攻击者以根权限执行任意代码。 CVE-2024-47562（CVSSv49.3）:由于用户输入ssmctl-client命令中的特殊元素被不当中和，使得经过身份验证的低特权本地攻击者能够执行特权命令。 CVE-2024-47563（CVSSv4 6.9）:由于对用于创建CSR文件的文件路径的验证不当，允许未经验证的远程攻击者在非预期位置创建文件。这可能会损害这些目录中文件的完整性。 CVE-2024-47565（CVSSv45.3）:允许经过身份验证的远程攻击者破坏应用程序的配置，原因是针对允许值对用户输入的验证不足。 西门子敦促用户将其SINEC Security Monitor安装更新到版本4.9.0或更高版本，以缓解这些漏洞。该更新可从西门子网站下载。     转自安全客，原文链接：https://www.anquanke.com/post/id/300632 封面来源于网络，如有侵权请联系删除

Morphisec威胁实验室发现了一波新的恶意软件攻击，目标是教育部门和游戏社区。安全研究人员Shmuel Uzan表示，这些复杂的恶意软件变种利用Lua（游戏开发中广泛使用的脚本语言）通过GitHub等平台渗透系统。该运动已在全球范围内展开，北美洲、南美洲、欧洲、亚洲和澳大利亚均报告有感染病例。 这种恶意软件的兴起可以归因于它利用了Lua的流行，尤其是在使用Roblox等游戏引擎的学生游戏玩家中。据报道，“搜索游戏作弊的用户最后往往会从GitHub等平台或类似来源下载文件。”攻击者利用这些寻求作弊的用户，在看似无害的下载中嵌入恶意Lua脚本。 恶意软件通常通过ZIP存档传递，其中包含多个组件，包括Lua编译器、Lua DLL文件、模糊的Lua脚本和批处理文件。这些组件一旦安装在受害者的机器上，就会一起执行恶意操作。执行后，Lua脚本与命令与控制（C2）服务器建立通信，发送有关受感染系统的详细信息。 一旦恶意软件处于活动状态，C2服务器将向受感染的计算机提供指令，这些指令分为两种类型的任务:Lua加载任务和任务有效载荷。Lua加载任务保持持久性和隐藏进程，而任务有效载荷则专注于下载其他恶意软件有效载荷或应用新配置。报告解释说，“Lua加载器任务涉及维持持久性或隐藏进程等操作”，而有效载荷的设计目的是扩展恶意软件的能力。 为了逃避检测，Lua脚本使用Prometheus Obfuscator进行了模糊处理，这是一种旨在保护底层代码不受逆向工程影响的工具。这种程度的混淆使得安全研究人员很难分析和理解恶意软件的全部功能。乌赞在报告中指出:“使用普罗米修斯混淆器对脚本进行混淆……使得研究人员分析和理解代码变得更加困难。” 为了阻止研究人员反转或重新格式化代码，该恶意软件采用了一种独特的反反转技术，当试图美化模糊代码时，该技术会触发错误消息。混淆器的功能包括通过检查执行过程中生成的错误消息的行数来检测代码是否被篡改。如果代码已被更改，恶意软件终止，显示一条消息:“检测到篡改！” 除了混淆之外，该恶意软件还利用Lua的ffi（外部函数接口）库直接执行C代码。这种技术允许攻击者调用C函数和使用C数据结构，而不需要编写C包装代码。Lua和C之间的这种集成增强了恶意软件操纵系统级进程和执行更高级攻击的能力。 恶意软件一旦渗入受害者的系统，就会通过创建计划任务和生成随机任务名称来建立持久性。该恶意软件还收集受害者计算机的大量信息，包括用户的GUID、计算机名称、操作系统和网络详细信息。它甚至捕获受损系统的屏幕截图，并将这些数据发送到攻击者的C2服务器。 报告强调，“脚本检索 MachineGuid…并把从计算机收集的数据和截图发送给对手C2。”此级别的数据收集使攻击者能够全面了解受影响的计算机，从而更有效地定制后续攻击。 一旦恶意软件成功收集到所需的数据，C2服务器就会以封锁消息或JSON响应做出响应，该响应将为执行任务或下载额外有效载荷提供进一步的指示。如果服务器响应被阻止，恶意软件会尝试从备份位置（如pastebin.com）检索新地址，确保与攻击者继续通信。 这种恶意软件提供的有效载荷包括Redline Infostealers，这是一种用来从受害者那里获取凭据和敏感信息的恶意软件。报告指出，Redline因其窃取宝贵数据的能力，在网络犯罪领域获得了突出地位，这些数据后来在暗网上出售。乌赞警告说:“从这些攻击中获取的证件被卖给更复杂的组织，用于攻击的后期阶段。”     转自安全客，原文链接：https://www.anquanke.com/post/id/300636 封面来源于网络，如有侵权请联系删除

高通公司解决了其产品中的 20 个漏洞，包括一个潜在的零日问题，该问题被追踪为 CVE-2024-43047（CVSS 得分 7.8）。 该漏洞源于一个可导致内存损坏的 “释放后使用”（use-after-free）错误。 该零日漏洞存在于数字信号处理器（DSP）服务中，影响数十种芯片组。 “目前，DSP 使用未使用的 DMA 句柄 fds 更新头缓冲区。在 put_args 部分，如果头缓冲区中存在任何 DMA 句柄 FD，就会释放相应的映射。不过，由于头缓冲区是以无符号 PD 的形式暴露给用户的，因此用户可以更新无效的 FD。如果该无效 FD 与任何已在使用中的 FD 相匹配，则可能导致免费使用（UAF）漏洞。“作为解决方案，为 DMA FD 添加 DMA 句柄引用，只有在找到引用时才释放 FD 的映射。 谷歌零项目的网络安全研究人员塞斯-詹金斯（Seth Jenkins）和国际特赦组织安全实验室的王聪慧（Conghui Wang）报告了这一漏洞。詹金斯希望建议尽快在安卓设备上解决这个问题。 谷歌威胁分析小组声称，CVE-2024-43047 可能受到有限的、有针对性的利用，Wang 也证实了野外活动。 “谷歌威胁分析小组有迹象表明，CVE-2024-43047 可能正受到有限的、有针对性的利用。”该公司的公告中写道。“针对影响 FASTRPC 驱动程序问题的补丁已提供给 OEM 厂商，并强烈建议尽快在受影响的设备上部署更新。有关特定设备补丁状态的详细信息，请联系您的设备制造商。 研究人员还没有公布利用 CVE-2024-43047 进行攻击的细节，不过，报告机构以调查与商业间谍软件供应商有关的网络攻击而闻名。 以下是受此漏洞影响的芯片组： FastConnect 6700、FastConnect 6800、FastConnect 6900、FastConnect 7800、QAM8295P、QCA6174A、QCA6391、QCA6426、QCA6436、QCA6574AU、QCA6584AU、QCA6595、QCA6595AU、QCA6688AQ、QCA6696、QCA6698AQ、QCS410、QCS610、QCS6490、Qualcomm® Video Collaboration VC1 Platform、 Qualcomm®视频协作VC3平台、SA4150P、SA4155P、SA6145P、SA6150P、SA6155P、SA8145P、SA8150P、SA8155P、SA8195P、SA8295P、SD660、SD865 5G、SG4150P、骁龙660移动平台、骁龙680 4G移动平台、骁龙685 4G移动平台（SM6225-AD）、 骁龙 8 代移动平台、骁龙 865 5G 移动平台、骁龙 865+ 5G 移动平台（SM8250-AB）、骁龙 870 5G 移动平台（SM8250-AC）、骁龙 888 5G 移动平台、骁龙 888+ 5G 移动平台（SM8350-AC）、骁龙自动 5G 调制解调器-RF、 骁龙自动 5G 调制解调器-RF Gen 2、骁龙 X55 5G 调制解调器-RF 系统、骁龙 XR2 5G 平台、SW5100、SW5100P、SXR2130、WCD9335、WCD9341、WCD9370、WCD9375、WCD9380、WCD9385、WCN3950、WCN3980、WCN3988、WCN3990、WSA8810、WSA8815、WSA8830、WSA8835 高通公司还解决了 WLAN 资源管理器中一个关键的不当输入验证缺陷，该缺陷被跟踪为 CVE-2024-33066（CVSS 得分 9.8）。     转自安全客，原文链接：https://www.anquanke.com/post/id/300650 封面来源于网络，如有侵权请联系删除

DumpForum，一个黑客论坛，声称已经侵入了Dr。Web，一家俄罗斯的网络安全公司和防病毒解决方案提供商。因此，黑客已经宣布窃取了超过10 TB的内部客户/客户数据， Hackread.com 可以独家证实。 这次攻击要追溯到9月14日星期六，当时Dr.Web（也被称为Doctor Web，Doctor Web Ltd..和Company Doctor Web）确认，它遭受了网络攻击。经过调查，这家俄罗斯网络安全巨头于2024年9月17日发布了一篇简短的博文，披露该公司成为针对其公司的网络攻击的目标。“资源了。当时，Doctor Web声称它“及时阻止了攻击”，没有用户数据被访问或窃取。 然而，正如Hackread.com的研究团队发现的，2024年10月8日上午， DumpForum黑客利用他们的Telegram账户宣布并声称对9月的攻击负责。黑客分子的Telegram帖子与Web博士9月份关于黑客的说法相矛盾。 DumpForum声称俄罗斯网络安全公司Dr.Web遭受10TB数据泄露 屏幕截图显示了Dr。Web的Telegram帖子（左）和 DumpForum的帖子（右）。原始的俄文截图已被Yandex AI Image Translator翻译成英文（图片来源：Hackread.com）。 垃圾论坛黑客主义者声称Web的基础设施黑客 根据这篇帖子，黑客分子声称他们黑进了博士的基础设施。Web，并补充说，他们在事先计划好一切后，侵入了该公司的本地网络。之后，他们系统性地“在短短几天内”黑进了更多的服务器和资源。 此外，黑客声称已经侵入并提取了博士的数据。Web的企业GitLab服务器，内部开发和项目存储，包括企业电子邮件服务器、Confluence、Redmine、詹金斯、螳螂和 RocketChat。 黑客还声称已经进入并下载了整个客户/用户数据库，他们已经在他们的官方论坛上泄露了这个数据库。 为了进一步验证他们的说法，黑客提供了来自内部资源的若干数据库的泄露，如 ldap.dev.drweb.com、 vxcube.dr Web.com、bugs.drweb.com、 antitheft.drweb.com和rt.dr be com等。 更令人担忧的是，黑客声称他们控制了 Dr.Web 的域控制器，这是公司基础设施的关键部分。域控制器管理着网络内所有系统的身份验证和访问。通过入侵域控制器，攻击者可以无限制地访问整个网络，从而不断提取大量敏感数据。 据报道，这种控制水平使他们能够在一个月内不被发现，同时窃取大约 10 TB 的数据。该组织还指出，Dr.Web 的安全性据称很差，称他们在该系统中度过了 “整整一个月”，而该公司却在继续销售保护他人安全的产品。 值得注意的是，Hackread.com 已就 DumpForums 黑客提出的指控联系了 Dr.Web，本文将作相应更新。     转自安全客，原文链接：https://www.anquanke.com/post/id/300643 封面来源于网络，如有侵权请联系删除

Apache Avro Java 软件开发工具包（SDK）中存在一个严重漏洞（跟踪编号为 CVE-2024-47561），该漏洞可允许在易受攻击的实例上执行任意代码。 该漏洞被追踪为 CVE-2024-47561，影响 1.11.4 之前的所有软件版本。 Avro Java 软件开发工具包（SDK）是在 Java 应用程序中使用 Apache Avro 的工具包。Apache Avro 是作为 Apache Hadoop 项目的一部分开发的数据序列化框架。它为结构化数据的序列化提供了一种紧凑、快速和高效的方法，这使它在涉及大数据、流或分布式系统的应用中特别有用。 “Apache Avro 1.11.3 及以前版本的 Java SDK 中的模式分析允许恶意程序执行任意代码。建议用户升级到 1.11.4 或 1.12.0 版本，它们修复了这个问题。 该漏洞会影响任何允许用户提供自己的 Avro 模式进行解析的应用程序。 来自 Databricks security 的安全研究员 Kostya Kortchinsky 向 Avro 团队报告了这一漏洞。     转自安全客，原文链接：https://www.anquanke.com/post/id/300654 封面来源于网络，如有侵权请联系删除

由 Cris Tomboc 和 King Orande 领导的 Trustwave 威胁情报团队最近发布了一份报告，公布了一种新发现的名为 Pronsis Loader 的恶意软件。该恶意软件于 2023 年 11 月首次出现，与 2024 年初出现的类似威胁 D3F@ck Loader 进行了比较。Pronsis Loader 的显著特点是它能发送 Lumma Stealer 和 Latrodectus 等恶意软件，给受害者带来巨大风险。发现其基础设施与 Lumma Stealer 相关联，凸显了这一不断演变的威胁的规模。 Pronsis Loader 与其他加载程序的不同之处在于它使用了 JPHP（一种 PHP 的 Java 实现）。“研究人员解释说：”两者都使用 JPHP 编译的可执行文件，因此很容易互换。不过，与使用 Inno Setup Installer 的 D3F@ck Loader 不同，Pronsis Loader 部署的是 Nullsoft Scriptable Install System（NSIS）。这种开源工具可以定制 Windows 安装程序，使 Pronsis Loader 在安装技术上具有明显优势。 Pronsis 加载器 Pronsis Loader 使用 NSIS | 图片： Trustwave 有趣的是，JPHP 在恶意软件开发者中并不广泛使用，这使得 Pronsis Loader 对这种语言的依赖偏离了典型的恶意软件环境。这种实现方式允许创建 .phb 文件，而使用传统的 Java 工具无法轻松反编译这些文件。尽管存在这种复杂性，但由于这些文件中存在 CAFEBABE 标头，威胁分析人员可以在提取后对其进行反编译，从而揭示其真实性质。 Pronsis Loader 的安装程序包含大量有效载荷，其中大部分由良性文件组成，旨在掩盖内嵌的恶意代码。据研究人员称，“安装程序的大部分内容由良性文件组成，旨在掩盖恶意文件”。这些文件被放入 %Temp% 目录，但其中隐藏着一个关键的可执行文件–FailWorker-Install.exe，它包含真正的恶意软件。 该可执行文件会触发一系列事件，通过 NSIS 插件调用 Nact.dll 文件来运行 JPHP 编译的加载程序。提取后，可以在 JPHP-INF 目录中找到主模块，其中 launcher.conf 文件指定了 app\modules 目录的初始 .bootstrap 文件。Pronsis Loader 的结构允许它从指定 URL 下载有效载荷，然后发送 Latrodectus 恶意软件。该恶意软件主要通过钓鱼邮件传播，与 IcedID 等其他已知威胁如出一辙。 Pronsis Loader 具有逃避检测的嵌入式功能。其中一种规避技术是通过隐藏在 MainForm.phb 文件中的 PowerShell 脚本实现的。这个编码脚本会禁用 Windows Defender 对用户配置文件目录的扫描，使恶意软件更容易运行而不被发现。“报告强调说：”这个 PowerShell 命令将被放置在一个批处理文件中，文件名为随机数字，并通过 cmd.exe 执行。 通过部署 Lumma Stealer 和 Latrodectus，进一步证明了 Pronsis Loader 提供多种有效载荷的能力。Latrodectus 于 2023 年 10 月首次被观察到，因其激进的感染技术而备受关注。受感染的机器会加载一系列批处理文件和可执行文件，以方便恶意软件的安装和持续运行。 在一个实例中，Latrodectus 通过一个名为 todaydatabase.zip 的文件发送，该文件将一个可执行文件放入 %Temp% 目录，启动了感染过程。安装完成后，Latrodectus 会使用计划任务来确保持久性，每 10 分钟运行一次，重新执行其恶意组件。此外，该恶意软件还创建了一个名为 runnung 的互斥程序来管理持续感染。 Pronsis Loader 的推出标志着 JPHP 作为恶意软件平台的使用发生了重大转变。通过利用 NSIS 安装程序和规避典型的安全协议，Pronsis Loader 对网络安全防御者提出了严峻的挑战。报告强调，这种加载器 “突出了它与 D3F@ck Loader 的相似之处，以及它在提供 Lumma Stealer 和 Latrodectus 作为主要有效载荷方面的作用”。     转自安全客，原文链接：https://www.anquanke.com/post/id/300658 封面来源于网络，如有侵权请联系删除

近日，俄罗斯政府机构和工业实体遭遇了一场名为“ Awaken Likho ”的网络活动攻击活动。 卡巴斯基表示，攻击者现在更倾向于使用合法MeshCentral平台的代理，而不是他们之前用来获得系统远程访问权限的UltraVNC模块。这家俄罗斯网络安全公司详细说明了一场始于2024年6月并至少持续到8月的新活动。该活动主要针对俄罗斯政府机构、其承包商和工业企业。 “ Awaken Likho ”组织，亦称作Core Werewolf或PseudoGamaredon，最初由BI.ZONE于2023年6月曝光，涉嫌针对国防和关键基础设施部门发动网络攻击。据悉，该组织的活动可追溯至2021年8月。其采用的鱼叉式钓鱼攻击手法包括发送伪装成Word或PDF文档的恶意可执行文件，这些文件带有双重扩展名，如“doc.exe”或“.pdf.exe”，使用户仅能看到看似无害的.docx或.pdf后缀。 然而，一旦受害者打开这些文件，便会触发UltraVNC的安装程序，进而导致攻击者能够完全接管受害者的计算机系统。此外，根据F.A.C.C.T.今年5月的报告，Core Werewolf还针对位于亚美尼亚的一个俄罗斯军事基地以及一家从事武器研究的俄罗斯研究所发动了攻击。在这些攻击中，攻击者使用了一种自解压存档（SFX）技术，以隐蔽的方式安装UltraVNC，同时向受害者展示看似无害的诱饵文档。 卡巴斯基最新揭露的攻击链条中，攻击者利用7-Zip创建了一个SFX存档文件。当受害者打开该文件时，会执行一个名为“MicrosoftStores.exe”的程序，进而解压并运行一个AutoIt脚本，最终激活开源的MeshAgent远程管理工具。卡巴斯基解释称，这一系列操作使得攻击者能够在受害者的系统中长期潜伏，并通过计划任务定时执行命令文件，以此来启动MeshAgent并与MeshCentral服务器建立连接。 据安全专家分析，“ Awaken Likho ”团伙使用了定制化的恶意软件和零日漏洞利用，以实现对目标系统的深度渗透。此外，他们还运用了复杂的网络钓鱼和社会工程学技巧，诱导目标用户点击恶意链接或下载病毒文件。 值得注意的是，该团伙的攻击目标主要集中在俄罗斯政府的敏感部门和关键基础设施领域。这些攻击不仅可能导致政府机密的泄露，还可能对国家安全和社会稳定造成严重影响。 为了应对这一威胁，俄罗斯政府已经加强了对网络安全的投入，并提升了相关机构的防御能力。同时，国际间的网络安全合作也在不断加强，以共同应对跨国网络攻击的挑战。 专家建议，政府机构和个人用户都应提高网络安全意识，定期更新系统和软件补丁，避免点击不明链接或下载来源不明的文件。此外，加强数据备份和恢复策略也是防范网络攻击的重要措施。 参考来源：https://thehackernews.com/2024/10/cyberattack-group-awaken-likho-targets.html     转自Freebuf，原文链接：https://www.freebuf.com/news/412331.html 封面来源于网络，如有侵权请联系删除  

将机要系统与任何联网系统完全隔离通常被认为是最安全的防御措施，但随着黑客技术的发展，这道坚不可摧的安全屏障已不再牢固，甚至有一家专门针对政府设施下手的APT组织已研发出了两套工具集，对已隔离系统展开了全方位攻势。 ESET 的研究人员近期详细披露了一个名为“GoldenJackal”的网络APT 组织，能够利用多种恶意工具组合对政府和外交实体进行攻击，包括使用特定工具成功针对气隙系统（即已隔离系统）的攻击。 GoldenJackal 简介 GoldenJackal于2023年5月被卡巴斯基首次披露，但该组织最早的活动可追溯至2019年8月至9月间针对白俄罗斯南亚大使馆的攻击，期间使用的恶意工具于2021年7月再度被检测到。 据称，GoldenJackal长期以欧洲、中东和南亚的政府实体为目标，但根据卡巴斯基的报告，2020年之后，针对中东和南亚政府和外交实体的攻击数量有所缓和。根据ESET近期的监测数据，从 2022 年 5 月到 2024 年 3 月，欧盟政府组织多次成为了该组织的目标。 目前，ESET和卡巴斯基都未明确将该组织与任何国家联系起来，但其中一款名为GoldenHowl 恶意软件的C&C 协议被称为 transport_http，与已知的 Turla和 MoustachedBouncer 通常使用的表达方式相同，可能表明 其背后的开发者是俄语使用者。 针对已隔离系统的攻击 为了最大限度地降低泄露风险，高度敏感的网络通常采用了完全隔离的系统，以保护那些最有价值的系统（如投票系统和运行电网的工业控制系统），这些网络通常正是攻击者最感兴趣的目标。相应的，破坏隔离系统比破坏一般互联网连接的系统要耗费更多资源，迄今为止此类攻击都是由 APT 组织专门开发的间谍活动。 而GoldenJackal在5年时间内构建和部署了两套独立的工具集来破坏已隔离系统，显示出该组织出色的技术实力。 针对白俄罗斯的攻击 在2019年针对白俄罗斯南亚大使馆的攻击中，研究人员观察到3个自定义工具集： GoldenDealer：通过 USB 监控将可执行文件植入到已隔离系统，可从 C&C 服务器下载可执行文件并将其隐藏在U盘中，或者从这些U盘中检索可执行文件并在没有连接的系统上执行 ； GoldenHowl：具有各种功能的模块化后门，包括从 JSON 文件解密并加载恶意软件的配置 、创建恶意软件使用的目录以及为每个模块启动一个线程 ； GoldenRobo：执行文件收集和渗透功能，执行 Robocopy 实用程序来暂存文件并将其发送到其 C&C 服务器。 在攻击链中，具体的初始攻击媒介未知，研究人员假设 GoldenDealer 和未知蠕虫组件已经存在于可以访问互联网的受感染 PC 上，每当插入U盘时，未知组件都会将自身和 GoldenDealer 组件复制到驱动器中。 研究人员将这个未知组件暂称为 JackalWorm，该组件很可能在U盘上找到最后修改的目录，将其隐藏，并使用该目录的名称将自身重命名。此外，该组件使用了文件夹图标，以诱使用户在将 U 盘插入已隔离系统时点击运行。 当驱动器再次插入连接到互联网的PC时，GoldenDealer会从U盘中获取关于已隔离系统的信息，并将其发送到C&C服务器。服务器回复一个或多个要在已隔离系统上运行的可执行文件。最后，当U盘再次插入已隔离系统时，GoldenDealer会从驱动器中获取可执行文件并运行。 针对已隔离系统的攻击链 针对欧洲政府的攻击 在近期针对欧洲政府机构的攻击中，GoldenJackal 转向了高度模块化的新工具集，这种模块化方法不仅适用于恶意工具的设计，还包括其具体的功能，如收集和处理信息，将文件、配置和命令分发到其他系统以及外泄文件。 2022 年 5 月，研究人员观察到GoldenJackal 在针对欧洲的一家政府组织时使用了新工具集，这些工具中的大多数都是用 Go 编写的，并提供了多种功能，例如从U盘收集文件、通过U盘 在网络中传播有效载荷、泄露文件以及使用网络中的一些 PC 作为服务器将各种文件传送到其他系统。此外，研究人员还看到攻击者使用 Impacket 在网络中横向移动。 GoldenJackal 最新工具集中的组件 在观察到的攻击中，GoldenJackal 通过高度模块化的工具，使用各种组件来执行不同的任务。一些主机被滥用以泄露文件，另一些主机被用作本地服务器来接收和分发暂存文件或配置文件，而另一些主机则被认为用于间谍目的。一些典型工具包括： GoldenUsbCopy：监视U盘的插入，并将目标文件复制到存储在磁盘上的加密容器中，以供其他组件泄露； GoldenAce：属分发工具，用于传播其他恶意可执行文件并通过U盘检索暂存文件； GoldenBlacklist：从本地服务器下载加密存档，并处理其中包含的电子邮件，以仅保留目标内容。并为其他组件生成一个新的存档以进行外泄； GoldenMailer：通过向攻击者控制的帐户发送带有附件的电子邮件来泄露文件； GoldenDrive：与 GoldenMailer 相反，此组件通过将文件上传到 Google Drive 来泄露文件。 目前尚不清楚 GoldenJackal 如何设法获得初始妥协以破坏目标环境。但是，卡巴斯基此前曾暗示过木马化 Skype 安装程序和恶意 Microsoft Word 文档作为入口点的可能性。 上述两起典型攻击表明，即便是安全保障严格的隔离系统，仍然存在被一些有实力的黑客组织通过研发复杂工具来成功实施攻击。但研究人员强调，这些工具并非没有缺陷，仍可通过观察其战术来更好地准备应对未来的攻击。研究人员已在 GitHub 上分享了一份公开的 IOC 列表，供防御者进行监控。 参考来源：Mind the (air) gap: GoldenJackal gooses government guardrails     转自Freebuf，原文链接：https://www.freebuf.com/news/412316.html 封面来源于网络，如有侵权请联系删除

安全内参10月8日消息，美国水务公司（American Water Works）昨天（7日）发布声明，表示其供水和废水设施未受到上周开始的网络攻击影响。 该公司昨天向美国证券交易委员会（SEC）提交了相关文件，向公众通报此事件。公司管理层在其网站上警告，由于为遏制此次攻击采取了措施，客户目前无法访问用于管理个人账户和支付水费的门户网站。 根据公司网站上的公告，目前公司的MyWater账户系统已瘫痪，所有客户预约的服务将被重新安排。此外，所有账单处理已暂停，直至另行通知。但是，系统恢复上线之前，不会产生逾期费用或停止服务。 公司的呼叫中心也已无法正常运作。 美国水务公司是美国最大的受监管水务公共事业公司，总部位于新泽西州，为14个州及18个军事设施的约1400万人提供饮用水、废水处理及其他相关服务。公司在其受监管的业务中报告，2023年净收入达9.71亿美元。 疑似勒索软件攻击，OT系统未受影响 在向SEC提交的文件和网站公告中，该公司表示他们于上周四（10月3日）发现了此次攻击。 公司已通知执法部门，并聘请网络安全专家协助“遏制和缓解这一事件的影响”。 声明指出，公司已采取并将继续采取措施保护其系统和数据，包括断开或停用部分系统。 对于公司是否正在应对勒索软件攻击或是否收到了勒索要求，美国水务公司未回应相关评论请求。 SEC文件中写道，公司“目前认为其供水或废水设施及运营未受到此次事件的负面影响”。但他们也指出，尚无法“预测此次事件的全部影响”。 在其网站上，美国水务公司表示，他们正通过断开和停用部分系统来保护客户数据并防止进一步的损害。 截至昨天下午，尚无任何勒索软件团伙或黑客组织宣称对这次针对美国水务公司的攻击负责。 美国水务系统网络威胁形势严峻 美国环境保护署（EPA）和其他联邦监管机构多次尝试加强供水和废水行业的网络安全防护措施。然而，去年相关监管努力因游说反对而被搁置。去年11月，伊朗的国家级黑客攻击了数十家水务公司，再次引发人们对该领域安全问题的关注。 EPA在今年5月的报告中指出，最近的检查显示超过70%的水系统未完全遵守《饮用水安全法》，其中一些“存在关键的网络安全漏洞，例如未更新默认密码、使用容易被攻破的单一登录方式”。 两周前，美国顶级网络安全机构发出警告，指出他们仍在应对“互联网可访问的操作技术（OT）和工业控制系统（ICS）设备持续受到的活跃攻击，目标包括供水和废水系统（WWS）领域的设备”。 在此警告发布前，堪萨斯州的一家水务公司由于网络攻击不得不转为手动操作。 参考资料：https://therecord.media/american-water-works-cyberattack-utility     转自安全内参，原文链接：https://www.secrss.com/articles/70967 封面来源于网络，如有侵权请联系删除