每日头条
1、美国Welltok透露攻击导致近850万名患者的信息泄露
据媒体11月22日报道,美国医疗保健SaaS提供商Welltok透露,其使用的文件传输应用遭到攻击,导致近850万名患者的个人数据泄露。今年早些时候,Clop利用MOVEit中的漏洞入侵了全球数千个企业。Welltok在10月底发布了一份通知,称其MOVEit Transfer服务器于7月26日遭到入侵。该公司在22日透露,已确认此次泄露事件影响了8493379人。这是MOVEit漏洞导致的第二大数据泄露事件,仅次于泄露了1100万人数据的服务承包商Maximus。
https://www.bleepingcomputer.com/news/security/welltok-data-breach-exposes-data-of-85-million-us-patients/
2、Cofense称QakBot被捣毁后DarkGate和PikaBot激增
Cofense在11月20日称,QakBot被捣毁后DarkGate和PikaBot的活动激增。今年8月份,执法机构查获了QakBot的基础设施。新一轮钓鱼活动于9月份开始传播DarkGate,后来又开始传播PikaBot。研究人员发现,DarkGate和Pikabot分发活动使用的策略和技术与之前的Qakbot活动类似,包括劫持电子邮件线程作为初始感染载体、具有限制用户访问的独特模式的URL以及与QakBot几乎相同的感染链。攻击者还尝试了多个初始恶意软件植入程序,包括JS Dropper、Excel-DNA Loader、VBS Downloaders和LNK Downloader。
https://cofense.com/blog/are-darkgate-and-pikabot-the-new-qakbot/
3、ActiveMQ漏洞CVE-2023-46604被用来分发Kinsing
11月20日,TrendMicro称,攻击者利用Apache ActiveMQ漏洞(CVE-2023-46604)安装Kinsing(也称h2miner)和恶意矿工。这是一个远程代码执行漏洞,已于10月底被修复。该恶意软件使用“ProcessBuilder”方法在新创建的系统级进程中执行恶意bash脚本,并在被感染设备上下载其它payload。Kinsing还会在相关进程、crontab和活跃网络连接中主动查找竞争关系的矿工,并终止它们。
https://www.trendmicro.com/en_us/research/23/k/cve-2023-46604-exploited-by-kinsing.html
4、VMware披露NetSupport RAT针对教育等行业的攻击
VMware在11月20日透露NetSupport RAT攻击活动激增,研究人员在过去几周内观察到超过15起与之相关的新感染。受影响最严重的是教育和商业服务行业,以及政府机构。最近的攻击中,NetSupport RAT通过伪造的网站和虚假浏览器更新进行分发,这些恶意网站托管着看似是更新的PHP脚本,当目标击下载链接时,会下载额外的Javascript payload。Javascript会从外部域下载并执行Powershell,Powershell用于检索包含NetSupport RAT的ZIP文档。
https://blogs.vmware.com/security/2023/11/netsupport-rat-the-rat-king-returns.html
5、Atomic Stealer利用伪造的浏览器更新进行传播
11月21日,Malwarebytes披露了Atomic Stealer(也称AMOS)针对Mac系统的分发活动。研究人员称,AMOS现在正通过一个名为"ClearFake"的虚假浏览器更新链进行分发,这很可能是第一次发现社工攻击(以前只针对Windows)在地理位置和目标系统方面都有所扩展。恶意软件payload是一个自称为Safari或Chrome更新的DMG文件,查看恶意应用中的字符串可以看到这些命令包含密码和文件抓取功能,在同一个文件中还可以找到恶意软件的C2服务器。
https://www.malwarebytes.com/blog/threat-intelligence/2023/11/atomic-stealer-distributed-to-mac-users-via-fake-browser-updates
6、微软发布针对印度的Android木马活动的分析报告
11月20日,微软发布了针对印度的Android木马活动的分析报告。攻击者使用WhatsApp和Telegram等社交媒体平台发送消息,旨在通过冒充银行、政府服务和公用事业等合法机构来诱使目标在其移动设备上安装恶意应用。一旦安装,这些恶意应用就会从用户那里窃取各种类型的信息,其中可能包括个人信息、银行详细信息、支付卡信息和帐户凭据等。本报告通过分析两个针对印度银行客户的欺诈性应用程序的攻击,揭示了影响各个行业的移动银行木马攻击活动。
https://www.microsoft.com/en-us/security/blog/2023/11/20/social-engineering-attacks-lure-indian-users-to-install-android-banking-trojans/
安全动态
LockBit利用Citrix Bleed漏洞的咨询
https://www.cisa.gov/news-events/alerts/2023/11/21/cisa-fbi-ms-isac-and-asds-acsc-release-advisory-lockbit-affiliates-exploiting-citrix-bleed
与就业相关的攻击活动分析
https://unit42.paloaltonetworks.com/two-campaigns-by-north-korea-bad-actors-target-job-hunters/
Linux和Windows勒索攻击的比较研究结果
https://blog.checkpoint.com/security/comparative-study-results-on-linux-and-windows-ransomware-attacks-exploring-notable-trends-and-surge-in-attacks-on-linux-systems/
Agent Tesla新变体使用ZPAQ格式文件传播
https://thehackernews.com/2023/11/new-agent-tesla-malware-variant-using.html
多阶段网络钓鱼攻击如何利用QR、验证码和隐写术
https://thehackernews.com/2023/11/how-multi-stage-phishing-attacks.html
CVE-2023-4149:WAGO工业网管交换机中RCE漏洞
https://cert.vde.com/en/advisories/VDE-2023-037/
推荐阅读:
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...