維他命每日安全簡訊(2023.08.16)

1、IBM遭到攻擊導致科羅拉多州HCPF超過400萬人的資訊洩露

據媒體8月14日報道,美國科羅拉多州醫療保健政策與融資部(HCPF)向超過400萬人發出通知,稱資料洩露事件影響了他們的個人和健康資訊。HCPF澄清說,他們的系統沒有遭到攻擊,但是他們的承包商IBM遭到了針對MOVEit的攻擊。6月13日調查發現,IBM使用的MOVEit應用上的部分HCPF檔案在5月28日左右被訪問,攻擊者可能竊取了包含某些Health First Colorado和CHP+會員資訊的檔案。總共影響了4091794人,HPCF將通過Experian為受影響使用者提供兩年的信用監控服務。

https://www.bleepingcomputer.com/news/security/colorado-warns-4-million-of-data-stolen-in-ibm-moveit-breach/

2、Akamai發現針對運行Magento 2的電商平臺的Xurum活動

Akamai在8月9日稱其發現了針對運行Magento 2 CMS的電商平臺的攻擊活動,並將該活動命名為Xurum。活動始於1月份,利用了Adobe Commerce和Magento Open Source中的伺服器端模板注入漏洞(CVE-2022-24086)。攻擊者似乎對目標Magento商店過去10天內所下訂單的付款統計資料感興趣。攻擊活動使用了wso-ng,這是新版本的WSO webshell。活動還利用了較舊的Dirty COW漏洞(CVE-2016-5195),以嘗試在Linux中提權。有證據表明攻擊與俄羅斯有關。

https://www.akamai.com/blog/security-research/new-sophisticated-magento-campaign-xurum-webshell

3、勒索軟體Monti捲土重來主要針對法律和政府領域機構

8月14日,Trend Micro發現時隔2個月後Monti捲土重來,重點關注法律和政府領域機構。與此同時,基於Linux平臺的Monti新變體也已浮出水面,與之前的版本有著明顯差異。以前版本很大程度上基於Conti洩露的程式碼(99%),但新加密程序的相似度僅為29%。研究人員表示,通過對程式碼(尤其是加密演算法)進行大量修改,Monti繞過檢測的能力得到提高,這增加了檢測和緩解此類惡意活動的難度。

https://www.trendmicro.com/en_us/research/23/h/monti-ransomware-unleashes-a-new-encryptor-for-linux.html

4、Zscale披露針對拉丁美洲金融科技行業的JanelaRAT

Zscale在8月10日披露了針對拉丁美洲地區的金融科技行業的JanelaRAT。截至6月份,JanelaRAT主要針對拉丁美洲地區銀行和金融機構,旨在竊取金融和加密貨幣相關資料,並利用來自合法來源(如VMWare和Microsoft)的DLL側載入技術來繞過檢測。此外,JanelaRAT具有窗口標題感知機制,並採用動態套接字配置系統。JanelaRAT的開發者可能從BX RAT的程式碼中獲得了靈感,但它僅具備BX RAT提供的部分功能,沒有匯入shell命令執行等功能。

https://www.zscaler.com/blogs/security-research/janelarat-repurposed-bx-rat-variant-targeting-latam-fintech

5、Kaspersky稱大量被黑的WP網站被用於執行釣魚攻擊

據8月14日報道,Kaspersky發現大量被黑的WordPress網站被用於執行釣魚攻擊。5月15日到7月31日,研究人員發現了22400個WordPress網站被駭客攻擊以創建釣魚頁面。同一時期內,使用者總共嘗試訪問被感染網站上託管的虛假頁面200213次。最常被釣魚攻擊的服務和企業包括Netflix、歐洲的銀行和常見的快遞服務。Kaspersky還詳述了哪些網站最容易遭到駭客攻擊、如何入侵WordPress網站以及WordPress網站被黑的跡象等。

https://securelist.com/phishing-with-hacked-sites/110334/

6、Uptycs發佈關於惡意軟體QwixxRAT的分析報告

8月14日,Uptycs發佈了關於惡意軟體QwixxRAT的分析報告。研究人員於8月上旬發現了該惡意軟體,它通過Telegram和Discord平臺進行傳播。每週訂閱費為150盧布,但也有有限的免費版本。一旦安裝,RAT就會秘密收集資料,然後發送到攻擊者的Telegram bot。為了繞過防毒軟體的檢測,RAT通過Telegram bot進行C2。除了竊取資料之外,QwixxRAT還擁有強大的遠端管理工具,可控制目標設備和啟動命令。

https://www.uptycs.com/blog/remote-access-trojan-qwixx-telegram

安全動態

微軟默認為所有人啟用核心資訊洩露漏洞的修復程序

https://www.bleepingcomputer.com/news/microsoft/microsoft-enables-windows-kernel-cve-2023-32019-fix-for-everyone/

超過10萬個駭客論壇帳戶因資訊竊取惡意軟體洩露

https://www.bleepingcomputer.com/news/security/over-100k-hacking-forums-accounts-exposed-by-info-stealing-malware/

MaginotDNS攻擊利用DNS快取中毒的弱檢查

https://www.bleepingcomputer.com/news/security/maginotdns-attacks-exploit-weak-checks-for-dns-cache-poisoning/

Iagona ScrutisWeb漏洞可能使ATM機遭到遠端攻擊

https://www.securityweek.com/iagona-scrutisweb-vulnerabilities-could-expose-atms-to-remote-hacking/

攻擊者使用測試版應用繞過應用商店的安全檢測

https://www.bleepingcomputer.com/news/security/threat-actors-use-beta-apps-to-bypass-mobile-app-store-security/

ChatGPT凸顯了教育系統中的缺陷

https://www.trendmicro.com/en_us/research/23/h/chatgpt-flaw.html

Avast Q2/2023威脅報告

https://decoded.avast.io/threatresearch/avast-q2-2023-threat-report/?utm_source=rss&utm_medium=rss&utm_campaign=avast-q2-2023-threat-report

新一波惡意npm軟體包活動

https://thehackernews.com/2023/08/north-korean-hackers-suspected-in-new.html

SMShell – 基於SMS的shell的PoC

https://github.com/persistent-security/SMShell

Chimera – 具有EDR繞過功能的自動化DLL側載工具

https://github.com/georgesotiriadis/Chimera

相關文章

CNNVD 通報微軟多個安全漏洞

CNNVD 通報微軟多個安全漏洞

近日,CNNVD(國家資訊安全漏洞庫)正式通報微軟多個安全漏洞,其中微軟產品本身漏洞77個,影響到微軟產品的其他廠商漏洞8個。包括Micro...

CNNVD通報Oracle多個安全漏洞

CNNVD通報Oracle多個安全漏洞

近日,CNNVD通報Oracle多個安全漏洞,其中Oracle產品本身漏洞60個,影響到Oracle產品的其他廠商漏洞247個。包括Orac...

維他命每日安全簡訊(2023.06.25)

維他命每日安全簡訊(2023.06.25)

1、Pilot Credentials被黑洩露美國航空和西南航空部分資訊 據媒體6月24日報道,全球最大的兩家航空公司美國航空和西南航空披露...