每周网络安全简讯 ( 2024年 第47周 )





    2024年11月16日至2024年11月22日,国家信息技术安全研究中心威胁监测部对境内外互联网上的网络安全信息进行了搜集和整理,并按APT攻击、勒索攻击、网络动态、漏洞资讯、木马病毒进行了归类,共计20条。

01

APT攻击



 01 

南美洲APT组织APT-C-36利用DcRat后门程序对哥伦比亚等地区用户实施网络攻击

近日,安全研究人员监测发现南美洲APT组织APT-C-36利用DcRat后门程序对哥伦比亚等地区用户实施网络攻击等情况。攻击活动中,该APT组织伪造司法部门文件,向目标用户投递包含UUE压缩包的钓鱼邮件,诱使用户点击实施渗透入侵。攻击成功后,UUE压缩包内的自解压EXE文件将自动启动,向受控设备释放恶意脚本,创建计划任务并从第三方平台中下载第二阶段DcRat有效载荷。经分析,该DcRat载荷是一种模块化开源远控木马,首现于2018年,能够通过灵活的添加和部署,实现定制化功能配置,植入受控设备后可实施键盘窃取、截屏、剪切板复制、指令执行等操作。此外,该APT组织在近期攻击活动中还被监测到采用了不同的攻击工具,攻击链更加完善和多样化,其攻击有效性和范围将不断扩大,具有较大潜在安全威胁。

链接:【查看原文】



 02 

新APT组织针对巴基斯坦海军目标用户实施网络攻击

近日,安全研究人员监测发现一个不知名的新APT组织针对巴基斯坦目标用户实施网络攻击等情况。攻击活动中,该APT组织向目标用户投递伪装成巴基斯坦海军内部IT备忘录PDF文件的恶意程序,诱使用户点击实施渗透入侵。攻击成功后,该恶意程序将引导用户安装恶意Thunderbird扩展,并进一步诱导用户输入海军邮件帐户登录凭证,以下载伪装成合法电子邮件的第二阶段恶意载荷。经分析,该载荷是一个名为Sync-Scheduler的信息窃取器,首现于2023年,通过C++开发编写,可通过Windows管理工具收集受控设备用户敏感数据,进而使用Tiny Encryption Algorithm (TEA)的方式加密所窃文件并将其进行上传。此外,该APT组织在对目标用户实施网络攻击时,还采用“假旗”行动模仿其他APT组织TTPs,对安全人员的追踪溯源工作产生极大干扰。

链接:http://985.so/kvsh4


02

网络动态


 01 

美国Maxar Space Systems卫星制造商网络遭受黑客攻击

美国Maxar Space Systems卫星制造商是美国航空航天业的重要参与者,已建造80多颗在轨卫星,并为NASA的Psyche任务和Artemis月球探索计划提供了关键技术。近日,该制造商发表声明称,他们公司的网络于2024年10月11日首次被发现遭受黑客攻击,且已持续一周时间。同时,受此次网络攻击影响,部分数据疑似遭到泄露,包括:员工姓名、家庭地址、社会保障号码、地理空间情报平台GeoHIVE用户数据等敏感信息。目前,该制造商声称已向受影响的员工提供了IDShield身份保护和信用监控服务,以降低钓鱼攻击威胁。

链接http://985.so/kvshh



 02 

美国饮用水系统存网络安全漏洞

近日,美国环境保护署(EPA)监察长办公室(OIG)发布评估报告称,为美国1.1亿人提供服务的300多个饮用水系统存在漏洞,可能被黑客利用,进而导致服务中断。此次安全评估涵盖1062个饮用水系统、75000个IP和14400个域,其中97个供水系统存在严重和高度严重问题,覆盖约2700万人;211个系统受中度和低度缺陷影响,覆盖约8300万人。

链接http://985.so/kvshy



 03 

美国陆军网络AI监控平台进入为期12个月的试点阶段

近日,美国陆军网络司令部正在推进将其开发的持续监控异常网络行为的AI平台进行为期12个月的试点工作。该工具称为Panoptic Junction,使用人工智能驱动的各类工具访问相关企业的任务保障支持服务(EMASS)和威胁情报,分析事件日志,可识别、开发、测试、评估和部署,以发现和修复美国政府关键软件、系统和网络中的安全漏洞,同时通过可扩展的持续监控手段增强原有监测平台对网络异常和恶意活动的检测能力。陆军网络司令部司令玛丽亚·巴雷特 (Maria Barrett) 中将表示,经过长达数月的原型设计工作,确定该平台已有效地检测到了恶意流量。

链接http://985.so/kvsh3



 04 

美监察部门提议建立政府数据安全统一监管机构

11月19日,美国政府问责局(GAO)发布报告指出,联邦机构可能需要重新审视其个人数据处理方式,以更好地保护公众的公民权利和自由。报告指出,由于缺乏联邦层面的指导原则,联邦机构在数据收集、共享和使用方面形成了一系列零散的政策体系,无法系统性地保障公民权利和自由。为了解决这一问题,政府问责局建议国会指定“一个适当的联邦机构”,为数据保护制定适用于所有联邦机构的统一指导方针或法规。同时,该机构应被赋予“明确的权限,能够做出必要的技术和政策决策;或者由国会直接明确相关政策选择。” 这一建议基于政府问责局向《首席财务官(CFO)法案》覆盖的24个联邦机构发放问卷后的调查结果。问卷内容涉及这些机构在使用新兴技术和数据能力时的情况,以及它们为确保个人可识别信息的安全所采取的措施。

链接http://985.so/kvshp



 05 

美国太空部队年内举办2次“网络斯巴达”系列演习

近日,太空训练和战备司令部(Space Training and Readiness Command)上校埃里卡·米切尔(Erica Mitchell)在网络安全会议CyberSat上发言称,本年度内,Delta 26部队在1月和8月共举办了2次通用性网络安全演习,称为Cyber Spartan 24-1 和 24-2。这两项演习由私营部门提供商 Hack The Box牵头举办,演习中包括“蓝队”元素,过程中将会遭受6次攻击,相关参赛人员需要在30分钟内进行分析研判和事件处置,最后通过参赛人员定位、收集的“旗帜”数量进行评分。此外,Cyber Spartan 24-2演习还额外包括一项赛事项目,举办方将所有参赛团队进行线上集合,模拟真实作战情况,作为整体团队防御来自攻击方的全面网络攻击。

链接http://985.so/kvsh5



 06 

美国五角大楼拟启动安全云试点项目

近日,美国五角大楼小企业计划办公室(OSBP)将启动一个试点项目,为难以满足美国防部网络安全要求的小型承包商创建一个安全的基于云的区域。该项目为期两年,项目资金约2600万美元,项目目标包括一个虚拟桌面,一个安全通信平台,以及其他相关工具。目前,SBP 工业网络安全总监 Derrick Davis声称,该项目将与美国陆军合作推进,预计将于2025年正式落地。

链接http://985.so/kvshj



 07 

匈牙利国防采购局网络疑似遭受INC Ransomware黑客组织攻击

近日,匈牙利总理维克多·欧尔班(Viktor Orban)幕僚长 Gergely Gulyas发表声明称,匈牙利国防采购局网络近日遭受外国黑客组织攻击,部分项目计划和采购数据遭到窃取,涉及德国莱茵金属公司Lynx 步兵战车生产计划,坦克、直升机、防空系统采购清单等敏感信息。INC Ransomware黑客组织声称对此次攻击事件负责,并在互联网上公开了部分所窃数据的屏幕截图,以证实攻击的真实性。匈牙利政府尚未证实相关攻击细节,但表示正在进行调查以评估此次攻击的范围和潜在影响。

链接http://985.so/kvsht


03

漏洞资讯



  01 

Palo Alto Networks PAN-OS存在2个安全漏洞(CVE-2024-0012、CVE-2024-9474)
近日,安全研究人员发现网络安全厂商Palo Alto Networks的PAN-OS操作系统存在2个安全漏洞。其中,第一个漏洞是身份验证绕过漏洞(CVE-2024-0012),未经身份验证的攻击者可通过该漏洞访问目标用户设备Web管理界面,获得PAN-OS管理员权限,进而实施恶意篡改配置等操作;第二个漏洞是权限提升漏洞(CVE-2024-9474),允许具有初步Web管理界面访问权限的攻击者提升自身访问权限,进而以root权限对目标设备防火墙实施恶意操作。上述漏洞影响PAN OS 11.2 < 11.2.4-h1等版本,目前用户可通过版本升级修复上述漏洞
链接:http://985.so/kvshi



  02 

Apache OFBiz存在远程代码执行漏洞(CVE-2024-47208)
近日,安全研究人员发现电子商务平台Apache OFBiz存在远程代码执行漏洞(CVE-2024-47208),是由相关组件URL校验不严格所导致,允许攻击者向目标设备发送构造的恶意URL方式,绕过校验逻辑并注入Groovy 表达式代码,进而可导致远程任意代码执行。漏洞影响Apache OFBiz < 18.12.17等版本,目前用户可通过版本升级修复上述漏洞。
链接:http://985.so/kvshc



  03 

Wget工具存在服务器端请求伪造漏洞(CVE-2024-10524)
近日,安全研究人员发现开源命令行工具GNU Wget存在服务器端请求伪造漏洞(CVE-2024-10524),是由Wget在处理HTTP简写格式URL时解析不当所导致,允许攻击者控制简写URL中的用户信息部分改变请求目标,进而将请求发送到恶意服务器,成功利用该漏洞会导致服务器端请求伪造攻击、钓鱼攻击、MITM(中间人)攻击和数据泄露等。漏洞影响Wget <= 1.24.5版本,目前用户可通过版本升级至Wget 1.25.0或更高版本修复上述漏洞。
链接:http://985.so/kvsym



  04 

Oracle Agile PLM Framework存在文件泄露漏洞(CVE-2024-21287)
近日,安全研究人员发现Oracle产品生命周期管理解决方案Agile PLM Framework存在文件泄露漏洞(CVE-2024-21287),允许未经身份验证的攻击者通过HTTP访问的方式,以PLM应用程序高级权限窃取指定用户系统上的文件。漏洞影响Oracle Agile PLM Framework 9.3.6版本,目前用户可通过补丁更新修复上述漏洞。
链接:http://985.so/kvsy2



  05 

Cobbler存在身份验证绕过漏洞(CVE-2024-47533)
Cobbler是一种流行的Linux安装服务器,可基于网络部署Linux操作系统。近日,安全研究人员发现Cobbler存在身份验证绕过漏洞(CVE-2024-47533),位于get_shared_secret()函数中,是由该函数返回值存在缺陷所导致,允许攻击者绕过目标设备身份验证机制,以root权限篡改系统配置、部署恶意软件、窃取用户敏感数据等。漏洞影响Cobbler < 3.0.0等版本,目前用户可通过版本升级修复上述漏洞。
链接:http://985.so/kvsyw



  06 

Ubuntu Linux操作系统needrestart应用程序存在5个安全漏洞(CVE-2024-48990、CVE-2024-48992等)
近日,安全研究人员发现Ubuntu Linux操作系统内置的needrestart应用程序存在5个安全漏洞。其中,第一个漏洞为CVE-2024-48990,允许攻击者通过控制PYTHONPATH 环境变量的方式植入恶意共享库,进而在Python初始化期间以root权限执行任意代码;第二个漏洞是CVE-2024-48992,允许本地攻击者通过将恶意库注入进程的方式,以root权限执行任意Ruby代码;第三个漏洞是CVE-2024-48991,允许本地攻击者将Python解释器二进制文件替换为恶意可执行文件,进而以root权限执行任意代码;第四个漏洞是CVE-2024-10224,允许攻击者构造类似恶意shell命令的文件名,当用户打开文件时将以root权限执行任意代码;第五个漏洞是CVE-2024-11003,允许攻击者利用eval()函数输入数据处理缺陷,远程执行任意代码。目前,用户可通过将版本升级至3.8或更高版本,以及禁用解释器扫描功能、修改needrestart.conf文件等方式降低安全风险。
链接:http://985.so/kvsya



  07 

苹果设备存在2个安全漏洞(CVE-2024-44308、CVE-2024-44309)
近日,安全研究人员发现苹果多款设备存在2个安全漏洞。其中,第一个漏洞是输入验证错误漏洞(CVE-2024-44308),攻击者可利用该漏洞,通过诱骗用户访问恶意构建Web页面的方式,远程执行任意代码;第二个漏洞是跨站脚本漏洞(CVE-2024-44309),允许攻击者利用苹果设备Webkit引擎处理恶意制作的Web数据,进而可导致跨站脚本攻击。漏洞影响iOS < 17.7.2、iPadOS < 17.7.2、macOS Sequoia < 15.1.1等产品版本,目前用户可通过版本更新修复上述漏洞。
链接:http://985.so/kvsy8



  08 

Windows Kerberos身份认证协议存在远程代码执行漏洞(CVE-2024-43639)
近日,安全研究人员发现Windows Kerberos身份认证协议存在远程代码执行漏洞(CVE-2024-43639),允许未经身份验证的攻击者向目标设备发送特制恶意请求,进而远程执行任意代码。经调查,约200万个Windows Server实例在互联网上暴露,其中有120余万个实例受到该漏洞影响。目前,用户可通过补丁更新修复上述漏洞。
链接:http://985.so/kvsyr


04

木马病毒



  01 

越南黑客组织使用的PXA Stealer恶意程序被披露
近日,安全研究人员捕获到越南黑客组织使用的PXA Stealer恶意程序样本。经分析发现,该样本通过包含恶意ZIP压缩文档附件的钓鱼邮件进行传播,当目标用户被诱导点击打开恶意ZIP压缩文档时,其内部的批处理脚本将自动执行,打开诱饵文档的同时,调用受控设备PowerShell组件从远程服务器上下载PXA Stealer功能性载荷,进而将收集的用户VPN、FTP、浏览器cookie等多个常用软件登录凭据上传至黑客指定的远程服务器上。此外,经对该样本追踪溯源发现,该样本通常利用aehack 等网站进行出售,且恶意程序的使用教程通过Youtube频道进行分享,其传播链条有多人参与,具备较大的影响范围
链接:http://985.so/kvsyh




  02 

SafePay新勒索软件被披露
近日,安全研究人员捕获到一款以前未报告的SafePay新勒索软件样本。经分析发现,该样本的二进制文件与LockBit有较多相似之处,疑似该样本由此前泄露的LockBit源代码构建而来。同时,该样本的部署流程遵循两阶段攻击模型,包括:一是数据收集和泄露,攻击者利用WinRAR对窃取的数据进行压缩,并通过FileZilla将所窃数据进行上传;二是加密部署,攻击者使用RDP协议对受控设备进行访问,通过调用受控设备上的PowerShell组件执行恶意脚本,在受控设备上放置勒索通知文本,并通过禁用镜像备份等方式对用户恢复工作进行阻碍。此外,该样本还具备多项高级功能,包括:一是可利用COM对象技术绕过UAC安全机制,提升自身访问权限;二是采用字符串混淆和线程创建方法,规避传统安全检测手段;三是在加密用户文件之前,该样本会检查西里尔字母系统语言,以避免感染东欧国家的用户设备
链接:http://985.so/kvsyp




  03 

XorBot僵尸网络被披露
近日,绿盟安全人员监测到XorBot僵尸网络家族自2024年以来频繁更新版本并引入新功能,显示出显著的变化。该家族最初于2023年11月出现,主要针对物联网设备,尤其是Intelbras监控摄像头以及TP-Link和D-Link品牌路由器,导致国内大量物联网设备受到侵害,江苏和河北受影响最为严重。XorBot僵尸网络的操控者开始积极展开营利性运营活动,公开提供DDoS攻击租赁服务,并以“Masjesu Botnet”为名在Telegram频道宣传。该家族软件包含明确的版本标识,最新版本已更新至1.04。木马内置多达12种不同的漏洞利用方式,成功利用后会在受害设备上运行恶意程序,并在/tmp目录下放置木马。XorBot家族的木马版本经历了多次迭代,每个版本都有其活跃时间段和特征。最新版本与早期版本在保持相似性的同时,也展现出显著差异,包括新增版本标识字段、不同的Flooding攻击模块、以及新增十余种漏洞利用技术。该家族的传播脚本显示出对多种CPU架构的广泛兼容性,包括MIPS、PowerPC、ARM以及x86_64等
链接:【查看原文】


编辑:林青


往期推荐



每周网络安全简讯 ( 2024年 第46周 )

每周网络安全简讯 ( 2024年 第45周 )

每周网络安全简讯 ( 2024年 第44周 )

每周网络安全简讯 ( 2024年 第43周 )

每周网络安全简讯 ( 2024年 第42周 )

国家信息技术安全研究中心
地址:北京市海淀区农大南路1号硅谷亮城2C座
业务联系:010-59613856

点赞在看转发 是对我们最好的支持

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐