每日头条
1、APT36通过多个伪造的YouTube APK分发CapraRAT
SentinelLabs在9月18日公开了APT36(又称Transparent Tribe)使用了至少3个伪造成YouTube的Android应用程序包(APK)分发CapraRAT的活动。恶意软件一旦安装在目标设备上,就可以收集数据、记录音频或视频以及访问通信信息,本质就像间谍软件一样。恶意APK在Google Play之外分发,因此可能是通过社工攻击进行分发。这些APK于2023年4月、7月和8月上传到VirusTotal,其中两个名为“YouTube”,一个被称为“Piya Sharma”。
https://www.sentinelone.com/labs/capratube-transparent-tribes-caprarat-mimics-youtube-to-hijack-android-phones/
2、TrendMicro修复已被利用的RCE漏洞CVE-2023-41179
据媒体9月19日报道,Trend Micro修复了Apex One端点保护解决方案中的远程代码执行漏洞(CVE-2023-41179)。该漏洞存在于安全软件附带的第三方卸载程序模块中,值得注意的是攻击者必须先获得目标系统上的管理控制台访问权限才能利用此漏洞。Trend Micro称已观察到至少有一次针对此漏洞的攻击活动,强烈建议用户尽快更新到最新版本。
https://www.bleepingcomputer.com/news/security/trend-micro-fixes-endpoint-protection-zero-day-used-in-attacks/
3、Earth Lusca利用SprySOCKS针对多个国家的官方网站
9月18日,研究人员称其发现了Earth Lusca利用新的Linux后门SprySOCKS的攻击活动。分析表明,该后门源自开源Windows恶意软件Trochilus,其许多功能被移植到Linux系统上,C2通信协议类似于Windows后门RedLeaves,交互式shell的实现源自Linux恶意软件Derusbi。该活动利用Nday漏洞安装Cobalt Strike beacon,然后分发SprySOCKS加载程序。Earth Lusca在今年上半年主要针对东南亚、中亚、巴尔干等地的外交事务、技术和电信相关的政府实体。
https://www.trendmicro.com/en_us/research/23/i/earth-lusca-employs-new-linux-backdoor.html
4、加拿大政府和金融等领域遭NoName057(16)的DDoS攻击
据9月18日报道,加拿大的多个实体遭到了NoName057(16)的DDoS攻击。加拿大网络中心表示,自9月13日以来,其了解并响应了针对加拿大政府内部以及金融和运输部门的多起DDoS攻击活动。今年2月份,该中心观察到针对其它国家的类似DDoS攻击活动。NoName057(16)通常使用僵尸网络来攻击目标的Web服务器,然后夸耀其恶意活动。
https://www.cyber.gc.ca/en/alerts-advisories/distributed-denial-service-campaign-targeting-multiple-canadian-sectors
5、Sysdig披露针对不常见AWS服务的攻击活动AMBERSQUID
Sysdig于9月18日披露了一种新的云原生加密劫持攻击活动AMBERSQUID。此活动主要针对不常用的AWS服务,例如AWS Amplify、AWS Fargate和Amazon SageMaker。不常用意味着从安全角度来看这些服务经常被忽视,而AMBERSQUID活动可能会让目标每天损失超过10000美元。该活动能够利用云服务,而不会触发AWS批准更多资源的请求。Sysdig表示它在分析了Docker Hub上的170万个镜像后发现了该活动,并将其归因于印尼相关的攻击者。
https://sysdig.com/blog/ambersquid/
6、Intel 471发布Bumblebee利用4shared WebDAV的分析
9月15日,Intel 471发布了关于Bumblebee利用4shared WebDAV的分析报告。Bumblebee在暂停两个月后,于8月底恢复运营。这一轮活动开始于9月7日,依靠伪装成扫描件、发票和通知的垃圾邮件来诱使收件人下载恶意附件。大多数附件是LNK文件,打开后会在目标计算机启动一系列命令,首先是使用4shared共享存储帐户的硬编码凭据在网络驱动器上安装WebDAV文件夹,最终会下载托管在WebDAV服务器上的Bumblebee。
https://intel471.com/blog/bumblebee-loader-resurfaces-in-new-campaign
安全动态
适用于Linux的Windows子系统获得新网络模式“mirrored”
https://www.bleepingcomputer.com/news/microsoft/windows-subsystem-for-linux-gets-new-mirrored-network-mode/
微软画图获得对图层和透明度的支持
https://www.bleepingcomputer.com/news/microsoft/microsoft-paint-finally-gets-support-for-layers-and-transparency/
澳大利亚将建造六大“网络盾牌”
https://www.theregister.com/2023/09/19/australia_six_cyber_shields/
分析XeGroup使用的四种不同的攻击技术
https://www.cyberdefensemagazine.com/analyzing-four-diverse-attack-techniques-used-by-xegroup/
8Base勒索软件网站的幕后黑手是谁
https://krebsonsecurity.com/2023/09/whos-behind-the-8base-ransomware-website/
德国提醒针对该国液化天然气(LNG)终端的攻击
https://securityaffairs.com/150999/hacking/liquefied-natural-gas-lng-terminals-cyber-attacks.html
Lazarus已在近3个月内已窃取超过2.9亿美元加密货币
https://www.elliptic.co/blog/how-the-lazarus-group-is-stepping-up-crypto-hacks-and-changing-its-tactics
Juniper漏洞CVE-2023-36845的PoC
https://www.bleepingcomputer.com/news/security/thousands-of-juniper-devices-vulnerable-to-unauthenticated-rce-flaw/
ALFA - 自动审核日志取证分析
https://github.com/invictus-ir/ALFA
EternalHush Framework - 开源c2框架
https://github.com/APT64/EternalHushFramework
推荐阅读:
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...