俄罗斯黑客继续使用 Infostealer 恶意软件攻击乌克兰实体

Hackernews 编译,转载请注明出处: 俄罗斯国家支持的黑客继续用窃取信息的恶意软件打击乌克兰实体,这被怀疑是间谍行动的一部分。 Broadcom Software旗下公司Symantec将这场恶意活动归因于跟踪Shuckworm的黑客,也称为Actinium、Armageddon、Gamaredon、Primitive Bear和Trident Ursa。乌克兰计算机应急小组(CERT-UA)证实了这些发现。 该黑客自2013年以来一直活跃,因明确针对乌克兰的公共和私人实体而闻名。自2022年末俄罗斯军事入侵以来,攻击事件不断升级。 据说,最新的一系列攻击已于2022年7月15日开始,一直持续到8月8日,感染链利用伪装成通讯和战斗命令的网络钓鱼电子邮件,最终部署了名为GammaLoad.PS1_v2的PowerShell窃取者恶意软件。 同时,还向受损机器交付了两个后门,分别名为Giddome和Pterodo,这两个后门都是典型的Shuckworm工具,攻击者不断重新开发,旨在领先检测标准。 Pterodo的核心是一种Visual Basic Script(VBS)dropper恶意软件,具有执行PowerShell脚本、使用计划任务(shtasks.exe)来保持持久性,以及从命令和控制服务器下载其他代码的功能。 另一方面,Giddome植入物具有多种功能,包括录制音频、捕获屏幕截图、记录击键,以及在受感染主机上检索和执行任意可执行文件。 这些入侵行为通过从受感染账户分发的电子邮件发生,进一步利用Ammyy Admin和AnyDesk等合法软件来促进远程访问。 这一发现是因为Gamaredon黑客与一系列旨在启动GammaLoad.PS1交付链的社会工程攻击有关,使攻击者能够窃取存储在Web浏览器中的文件和凭据。 调查结果是在CERT-UA发出警报后公布的,该警报警告称,“系统性、大规模和地理分散的”网络钓鱼攻击涉及使用名为RelicRace的.NET下载程序来执行Formbook和Snake Keylogger等有效负载。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

微软破坏了 SEABORGIUM 的网络钓鱼操作

Hackernews 编译,转载请注明出处: 微软威胁情报中心(MSTIC)破坏了SEABORGIUM(又名ColdRiver,TA446)的活动,SEABORGIUM是一家与俄罗斯有关的黑客组织,他发起了针对北约国家人员和组织的持续黑客攻击活动。 SEABORGIUM自2017年以来一直很活跃,其活动涉及持续的网络钓鱼和凭证盗窃活动,导致入侵和数据盗窃。APT主要针对北约国家,但专家们还观察到针对波罗的海、北欧和东欧地区(包括乌克兰)的行动。 SEABORGIUM集团主要专注于国防和情报咨询公司、非政府组织和政府间组织、智库和高等教育。该组织还针对前情报官员,俄罗斯事务专家和海外俄罗斯公民。 SEABORGIUM的活动始于目标个人的侦察活动,重点是识别他们在社交网络或势力范围内的联系人。 微软发布的帖子写道:“根据观察到的一些模拟和目标,我们怀疑黑客使用社交媒体平台、个人目录和通用开源情报(OSINT)来完善他们的侦察工作。MSTIC与LinkedIn合作,发现SEABORGIUM的欺诈性个人资料偶尔被用于对特定利益组织的员工进行侦察。” 黑客使用虚假身份与目标个人联系,并开始与他们对话,以建立关系并诱使他们打开通过网络钓鱼邮件发送的附件。 网络钓鱼邮件使用PDF附件,在某些情况下,还包括指向文件、文档托管服务的链接,或托管PDF文档的OneDrive帐户的链接。 打开PDF文件后,会显示一条消息,说明无法查看该文档,他们需要单击按钮重试。 单击该按钮,受害者将被重定向到运行网络钓鱼框架(如EvilGinx)的登录页面,该页面显示合法提供商的登录页面并拦截任何凭据。在获取凭据后,受害者会被重定向到网站或文档,以避免引起怀疑。 一旦攻击者获得了对目标电子邮件帐户的访问权限,他们就会泄露情报数据(电子邮件和附件),或设置从受害者收件箱到参与者控制的秘密传递帐户的转发规则。 微软证实,它已采取行动,通过禁用用于监视、网络钓鱼和电子邮件收集的帐户来破坏SEABORGIUM的运营。这家IT巨头还为该黑客组织分享了IOCs,其中包括APT在其网络钓鱼活动中使用的60多个域的列表。 可以在Microsoft的公告中找到完整的域列表,以及网络防御者可以用来防止类似攻击的安全措施。 防御措施包括禁用Microsoft 365中的电子邮件自动转发,使用IOC调查潜在的危害,要求对所有帐户进行MFA,以及使用FIDO安全密钥来提高安全性。 微软还发布了Azure Sentinel搜索查询[1, 2],可用于检查恶意活动。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

新 PyPI 包将无文件加密矿工应用于 Linux 系统

Hackernews 编译,转载请注明出处: 现已删除的流氓软件包被推送到Python的官方第三方软件存储库,该软件包可以在Linux系统上部署加密矿工。 该模块名为“secretslib”,在删除前下载了93次,于2022年8月6日发布到Python包索引(PyPI),并被描述为“简化了秘密匹配和验证”。 Sonatype研究人员Ax Sharma上周在一份报告中透露:“经过仔细检查,该软件包在内存中的Linux机器上秘密运行加密矿工(直接从RAM中),这种技术主要被无文件恶意软件和加密器使用。” 它通过在安装后执行从远程服务器检索的Linux可执行文件来实现这一点,其主要任务是将ELF文件(“memfd”)直接放入内存中,该文件充当Monero加密矿工的作用,然后被“secretslib”包删除。 该软件包背后的黑客滥用了阿贡国家实验室(美国能源部资助的实验室)一名合法软件工程师的身份和联系信息,来提高该恶意软件的可信度。 简而言之,这个想法就是在用户不知情或不同意的情况下,将这些被感染的库分配给受信任、受欢迎的维护人员,从而欺骗用户下载它们——这种供应链威胁被称为“package planting”。 PyPi采取措施清除了10个恶意软件包,这些软件包经过精心编排以获取密码和API令牌等关键数据点。 消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

研究人员警告称,Zimbra RCE 漏洞被大规模利用

Hackernews 编译,转载请注明出处: 周四,美国网络安全和基础设施安全局在其“已知利用漏洞目录”中增加了两个漏洞,称有证据表明这些漏洞被积极利用。 这两个高度严重的漏洞与Zimbra Collaboration中的缺陷有关,这两个漏洞都可以链接在受影响的电子邮件服务器上,实现未经身份验证的远程代码执行。 CVE-2022-27925(CVSS评分:7.2) – 认证用户通过mboximport远程代码执行(RCE)(在3月份发布的版本8.8.15补丁31和9.0.0补丁24中修复) CVE-2022-37042 – MailboxImportServlet中的身份验证绕过(在 8 月发布的版本8.8.15补丁33和9.0.0补丁26中修复) “如果你运行的Zimbra版本早于Zimbra 8.8.15补丁33或Zimbra 9.0.0补丁26,你应该尽快更新到最新的补丁。”Zimbra本周早些时候警告说。 CISA没有透露任何有关利用这些漏洞进行攻击的信息,但网络安全公司Volexity描述了一个未知黑客大规模地利用Zimbra实例。 简而言之,这些攻击涉及利用上述身份验证绕过漏洞,通过上传任意文件在底层服务器上获得远程代码执行。 Volexity表示:“在访问CVE-2022-27925使用的同一端点(mboximport)时,有可能绕过身份验证,并且该漏洞可以在没有有效管理凭据的情况下被利用,从而大大提高了该漏洞的严重性。” 它还列举了全球1000多个使用该攻击向量进行后门攻击和破坏的实例,其中一些属于政府部门和部委、军事部门以及拥有数十亿美元收入的公司。 这些攻击发生在2022年6月底,还涉及部署web shell来保持对受感染服务器的长期访问。损害最大的国家包括美国、意大利、德国、法国、印度、俄罗斯、印度尼西亚、瑞士、西班牙和波兰。 Volexity说:“CVE-2022-27925最初被列为需要身份验证的RCE漏洞,然而,当与一个单独的漏洞结合使用时,它变成了一个未经验证的RCE漏洞,从而使远程利用攻击变得微不足道。” 一周前,CISA在目录中添加了另一个与Zimbra相关的漏洞CVE-2022-27924,如果被利用,攻击者可能会从目标实例的用户那里窃取明文凭据。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Device42 IT 资产管理软件中的关键漏洞

Hackernews 编译,转载请注明出处: 网络安全研究人员披露了资产管理平台Device42的多个严重安全漏洞,如果成功利用这些漏洞,黑客可以控制受影响的系统。 Bitdefender在周三的一份报告中说:“通过利用这些漏洞,攻击者可以冒充其他用户,获得应用程序中的管理员级别访问权限(通过泄露与LFI的会话),或者获得对设备文件和数据库的完全访问权限(通过远程代码执行)。” 更令人担忧的是,在主机网络中具有任何级别访问权限的攻击者可以用菊花链连接其中三个漏洞,以绕过身份验证保护,并以最高权限实现远程代码执行。 漏洞如下: CVE-2022-1399 – 计划任务组件中的远程执行代码 CVE-2022-1400 – Exago WebReportsApi中的硬编码加密密钥IV.dll CVE 2022-1401 – Exago中提供的路径验证不足 CVE-2022-1410 – ApplianceManager控制台中的远程代码执行 其中最关键的漏洞是CVE-2022-1399,它通过命令注入和root权限执行bash指令,授予攻击者对底层设备的完全控制权。 虽然远程代码执行本身无法实现,但它可以与CVE 2022-1401和CVE-2022-1400串联在一起,通过利用Exago报告组件中发现的本地文件包含漏洞,来提取已认证用户的有效会话标识符。 罗马尼亚网络安全公司于2月18日披露之后,Device42在2022年7月7日发布的18.01.00版本中解决了这些漏洞。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

思科修复了ASA、FTD设备中的漏洞,该设备能访问 RSA 私钥

Hackernews 编译,转载请注明出处: 思科修复了一个严重漏洞,跟踪为CVE-2022-20866,影响自适应安全设备(ASA)和火力威胁防御(FTD)软件。 该漏洞影响了运行思科ASA软件和FTD软件的设备对RSA密钥的处理,未经身份验证的远程攻击者可以触发该漏洞以检索RSA私钥。一旦获得密钥,攻击者可以模拟运行ASA/FTD软件的设备或解密设备流量。 “RSA密钥存储在执行硬件加密的平台内存中时,存在逻辑错误,从而引起该漏洞。攻击者可以通过对目标设备使用Lenstra侧通道攻击来利用此漏洞,成功利用可使攻击者检索RSA私钥。”IT巨头发布的公告中写道。 该公告指出,在受影响的设备上可能会观察到以下情况: 此问题将影响运行易受攻击的ASA软件或FTD软件的设备上大约5%的RSA密钥;并非所有RSA密钥都会因应用于RSA密钥的数学计算而受到影响。 RSA密钥可能有效,但它具有特定的特征,容易受到RSA私钥潜在泄露的影响。 RSA密钥可能格式不正确且无效。格式错误的RSA密钥不起作用,并且TLS客户端连接到运行思科ASA软件或FTD软件的设备,如果使用格式错误的RSA密钥,将导致TLS签名失败,这意味着易受攻击的软件版本创建了无效的RSA签名,无法通过验证。如果攻击者获取RSA私钥,他们可以使用该密钥来模拟运行思科ASA软件/FTD软件的设备,或解密设备流量。 该漏洞会影响运行易受攻击的思科ASA(9.16.1及更高版本)或思科FTD(7.0.0及更高版本)软件的产品,这些软件执行基于硬件的加密功能: ASA 5506-X with FirePOWER Services ASA 5506H-X with FirePOWER Services ASA 5506W-X with FirePOWER Services ASA 5508-X with FirePOWER Services ASA 5516-X with FirePOWER Services Firepower 1000 Series Next-Generation Firewall Firepower 2100 Series Security Appliances Firepower 4100 Series Security Appliances Firepower 9300 Series Security Appliances Secure Firewall 3100 思科建议ASA/FTD设备的管理员删除格式错误或易受攻击的RSA密钥,并吊销可能与这些RSA密钥相关的任何证书,因为RSA私钥可能已泄露给攻击者。 思科对加州大学圣地亚哥分校的Nadia Heninger和George Sullivan以及科罗拉多大学博尔德分校的Jackson Sippe和Eric Wustrow报告该安全漏洞表示感谢。 产品安全事件响应团队尚未发现有利用此漏洞进行的野外攻击。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

GitHub Releadot 警示开发者留意易受攻击的 GitHub 操作

Hackernews 编译,转载请注明出处: 云代码托管平台GitHub宣布,它将为易受攻击的GitHub Actions发送Dependabot警报,以帮助开发人员修复CI/CD工作流程中的安全问题。 GitHub的Brittany O’Shea和Kate Catlin说:“在行动中报告安全漏洞时,我们的安全研究团队会创建一个文件来记录该漏洞,这会触发对受影响存储库的警报。” GitHub Actions是一种持续集成和持续交付(CI/CD)解决方案,使用户能够自动执行软件生成、测试和部署管道。 Dependabot是微软旗下子公司的一部分,通过通知用户其源代码依赖于具有安全漏洞的软件包,并帮助所有依赖项保持最新状态,来确保软件供应链的安全。 最新举措需要接收有关GitHub操作和影响开发人员代码的漏洞的警报,用户还可以选择通过遵守一致的披露流程,提交特定GitHub操作的建议。 该公司指出:“这些改进加强了GitHub和我们用户的安全态势,这就是为什么我们继续投资收紧GitHub供应链安全解决方案和GitHub Actions之间的连接点,从而提高构建的安全性。” 本周早些时候,GitHub开放了一个新的评论系统,允许软件包维护人员能够与Sigstore合作签署和验证发布到NPM的软件包。 消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

VMware 警告关键身份验证绕过漏洞的公共 PoC 代码

Hackernews 编译,转载请注明出处: VMware警告其客户,在多个产品中存在针对关键身份验证绕过漏洞的概念验证漏洞利用代码,该漏洞追踪为CVE-2022-31656。VNG security的安全研究员Petrus Viet发现了这个漏洞,并且今天发布了针对该漏洞的概念验证(PoC)漏洞利用代码,并提供了有关该漏洞的技术细节。 上周,这家虚拟化巨头解决了CVE-2022-31656漏洞,该漏洞影响了多个产品的本地域用户,未经身份验证的攻击者可以利用此漏洞获取管理员权限。 虚拟化巨头发布的公告称:“具有用户界面网络访问权限的攻击者,可能无需进行身份验证即可获得管理访问权限。” 该漏洞影响Workspace ONE Access、Identity Manager和vRealize Automation产品,被评为严重漏洞,CVSS v3评分为9.8。 今天,VMware报告了CVE-2022-31656和CVE-2022-31659的PoC漏洞的可用性。 已更新的咨询信息表明,VMware已确认可以在受影响的产品中利用CVE-2022-31656和CVE-202-31659的恶意代码。 好消息是,供应商没有意识到这些攻击利用了野外攻击中的漏洞。 该公司发布的一份公告称:“在发布本文时,VMware并未意识到这些漏洞被利用了。”   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Maui 勒索软件或与朝鲜 Andariel APT 有关

Hackernews 编译,转载请注明出处: 卡巴斯基的网络安全研究人员将Maui勒索软件与朝鲜支持的Andariel APT组织联系起来,后者被认为是Lazarus APT集团的一个部门。 朝鲜民族国家黑客使用Maui勒索软件对提供医疗服务的服务器进行加密,包括电子健康记录服务、诊断服务、成像服务和内联网服务。 卡巴斯基专家注意到,在将Maui勒索软件部署到初始目标系统前约10小时,黑客在3个月前向目标部署了一种著名的DTrack恶意软件变体。这两种恶意代码都被认为是Andariel武器库的一部分。并且,用于攻击日本、俄罗斯、印度和越南公司的DTrack变体与Andariel APT网络间谍活动中使用的样本代码相似度为84%。 Andariel APT(又名Stonefly)自2015年来一直很活跃,它参与了几次朝鲜政府发起的攻击事件。 根据这次攻击的操作方式,我们得出结论,Maui勒索软件事件背后的黑客TTP与过去Andariel/Stonefly/Silent Chollima的活动非常相似: 在初始感染后使用合法的代理和隧道工具或部署它们以保持访问,并使用Powershell脚本和Bitsadmin下载其他恶意软件; 利用漏洞来攻击已知但未修补的脆弱公共服务,如WebLogic和HFS; 专门部署DTrack,也称为Preft; 在活动之前,目标网络内的停留时间可以持续数月; 在全球范围内部署勒索软件,显示持续的经济动机和利益规模。 2020年4月,美国国务院、财政部、国土安全部和联邦调查局发布了一份联合咨询意见,警告世界各地的组织注意朝鲜民族国家黑客对全球银行和金融机构构成的“重大网络威胁”。 当时,美国政府还向任何能够提供“与朝鲜有关的APT组织所开展活动的信息”的人提供高达500万美元的奖金,当局还将为过去黑客活动的信息付费。 今年7月,美国国务院将奖励增加到1000万美元。 掌握与朝鲜相关的APT团体(如Andariel、APT38、Bluenoroff、Guardians of Peace,Kimsuky或Lazarus集团)相关的任何个人信息,以及违反计算机欺诈和滥用法并参与针对美国关键基础设施的人,可以获得奖励。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

LogoKit 更新:利用开放重定向漏洞的网络钓鱼工具包

Hackernews 编译,转载请注明出处: LogoKit:黑客利用在线服务和应用中流行的开放重定向漏洞,来绕过网络钓鱼活动中的垃圾邮件过滤器。 Resecurity, Inc.(美国)是一家总部位于洛杉矶的网络安全公司,为财富500强企业提供托管威胁检测和响应,识别黑客,它利用在线服务和应用中流行的开放式重定向漏洞来绕过垃圾邮件过滤器,最终提供网络钓鱼内容。 他们使用高度可信的服务域,如Snapchat和其他在线服务,创建特殊的URL,从而通过网络钓鱼工具获得恶意资源。所识别的工具包名为LogoKit,曾用于攻击Office 365、美国银行、GoDaddy、Virgin Fly以及国际上其他主要金融机构和在线服务的客户。 LogoKit的峰值是在8月初左右发现的,当时已经注册了多个冒充流行服务的新域名,并与开放重定向一起使用。虽然LogoKit在地下就为人所知,但自2015年以来,其背后的网络犯罪集团一直在利用新策略。 LogoKit以其使用JavaScript的动态内容生成而闻名——它能够实时更改登录页面上的徽标(模拟服务)和文本,以适应动态变化,这样,目标受害者更有可能与恶意资源进行交互。2021年11月左右,在利用LogoKit的活动中使用了700多个已识别的域名,其数量还在不断增长。 值得注意的是,参与者更喜欢在滥用管理流程相对较差的异域管辖区使用域名——.gq、.ml、.tk、ga、.cf,或未经授权访问合法网络资源,然后将其用作主机来进行进一步的网络钓鱼分发。 LogoKit依靠向用户发送包含其电子邮件地址的钓鱼链接。一旦受害者导航到URL,LogoKit就会从第三方服务(如Clearbit或谷歌的favicon数据库)获取公司徽标。然后,受害者的电子邮件会自动填写电子邮件或用户名字段,从而使他们感觉自己以前登录过。如果受害者随后输入密码,LogoKit将执行AJAX请求,将目标的电子邮件和密码发送到外部源,最终将受害者重定向到他们的“合法”公司网站。 这些策略允许网络犯罪分子在合法服务的通知背后伪装其活动以逃避检测,从而诱使受害者访问恶意资源。 不幸的是,开放重定向漏洞的使用极大促进了LogoKit的分发,因为许多(甚至流行的)在线服务并不将此类漏洞视为关键问题,在某些情况下,甚至不进行修补,为这种滥用留下了机会。 Resecurity发布的分析报告中提供了更多细节。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文