1. LATRODECTUS不断更新并分发ICEDID和其他恶意软件
5月21日,LATRODECTUS于 2023 年 10 月由沃尔玛研究人员首次发现,是一种在网络犯罪分子中越来越流行的恶意软件加载程序。虽然这被认为是一个新的家族,但由于行为和发展相似性,LATRODECTUS 和ICEDID之间存在紧密联系,包括下载和执行加密负载(如 ICEDID)的命令处理程序。Proofpoint 和 Team Cymru 基于这种联系,发现了ICEDID 和 LATRODECTUS 运营商使用的网络基础设施之间存在紧密联系。LATRODECTUS 提供了一系列全面的标准功能,威胁行为者可以利用这些功能来部署更多的有效负载,在初步入侵后执行各种活动。代码库未经过混淆,仅包含 11 个专注于枚举和执行的命令处理程序。这种类型的加载器代表了我们团队最近观察到的浪潮,例如PIKABOT,其中代码更加轻量级和直接,处理程序数量有限。https://www.elastic.co/security-labs/spring-cleaning-with-latrodectus?&web_view=true
2. Kinsing攻击Apache Tomcat部署挖矿程序
5月20日,Kinsing 恶意软件以利用 Linux 云服务器上的漏洞部署后门和加密货币挖矿程序而闻名,最近将其目标扩展到包括 Apache Tomcat 服务器。该恶意软件利用新颖的技术来逃避检测,将自身隐藏在看似无害的系统文件中,使其在受感染的系统上持久存在,突出了 Kinsing 不断发展的策略,并强调系统管理员需要对这些新兴威胁保持警惕。Kinsing 利用容器和服务器中的漏洞来部署后门和加密挖矿程序,调查结果显示多个服务器受到感染,其中包括具有严重缺陷的 Apache Tomcat。Tomcat 是一款可公开访问的静态内容开源服务器,由于其在互联网上的暴露而成为主要攻击目标,这使得 Kinsing 可以渗透到系统中并建立隐藏的后门以实现持久性,同时部署加密矿工来窃取计算资源以进行加密货币挖掘。 https://gbhackers.com/kinsing-malware-apache-tomcat-servers/
3. SEC要求金融组织需要在 30 天内披露数据泄露事件
5月21日,美国证券交易委员会(SEC)对 SP 法规进行了修改,要求金融公司在 30 天内报告数据泄露情况。这是保护消费者的一大进步。这项新规定将于 2024 年 5 月 15 日生效,旨在加强和更新对消费者金融信息的保护。自 2000 年推出以来,SEC 监管 SP要求经纪交易商、投资公司和持牌投资顾问通过书面政策和程序保护客户记录和信息。该规则还解释了如何正确删除消费者报告信息,并要求隐私政策通知和选择退出选项。多年来,技术的进步使得数据泄露的可能性更大,这就是需要这些改变的原因。https://gbhackers.com/financial-organizations-data-breach/
4. Git 远程代码执行漏洞CVE-2024-32002
5月21日,研究团队发现了一个严重的远程代码执行漏洞,该漏洞被指定为 CVE-2024-32002,严重程度为 9.0(严重)。这个特殊的漏洞存在于广泛使用的clone命令中。Git 上周发布了一份安全公告,其中指出了有关远程代码执行的问题。除此之外,该漏洞被描述为由于可以以特定方式起草的子模块而存在,从而可能导致远程代码执行。不过这个漏洞已经被git修复,并且发布了修补版本。根据网络安全新闻分享的报告,git 使用子模块,这些子模块是嵌套在其他存储库中的存储库。每个子模块在主目录中都有一个指定的目录路径,该目录路径会被跟踪以确保准确记录更改。进一步观察发现,Windows(A/modules/x)和macOS(a/modules/x)的默认设置中存在不区分大小写的文件系统。这两个路径的处理方式相同,这是远程代码执行背后的主要原因。 https://gbhackers.com/git-flaw-remote-code-execution/
5. Fluent Bit 严重缺陷影响所有主要云提供商
5月21日,可在拒绝服务和远程代码执行攻击中利用的关键 Fluent Bit 漏洞影响了所有主要云提供商和许多技术巨头。Fluent Bit 是一种非常流行的日志记录和指标解决方案,适用于 Windows、Linux 和 macOS,嵌入在主要 Kubernetes 发行版中,包括来自 Amazon AWS、Google GCP 和 Microsoft Azure 的发行版。截至 2024 年 3 月,Fluent Bit 的下载和部署次数超过 130 亿次,较 2022 年 10 月报道的30 亿次下载量大幅增长。Fluent Bit 也被 Crowdstrike 和 Trend Micro 等网络安全公司以及思科、VMware、英特尔、Adobe 和戴尔等许多科技公司使用。这个严重的内存损坏漏洞被跟踪为CVE-2024-4323,并被发现该漏洞的 Tenable 安全研究人员称为Linguistic Lumberjack,它是在版本 2.0.7 中引入的,是由 Fluent Bit 的嵌入式 HTTP 服务器解析跟踪请求中的堆缓冲区溢出漏洞引起的。尽管未经身份验证的攻击者可以轻松利用该安全漏洞来触发拒绝服务或远程捕获敏感信息,但如果有适当的条件和足够的时间来创建可靠的漏洞,他们也可以使用它来获得远程代码执行。https://www.bleepingcomputer.com/news/security/critical-fluent-bit-flaw-impacts-all-major-cloud-providers/
6. Antidot木马伪装成Google Play更新,窃取银行数据
5月22日,Cyble的研究人员发现了一种针对 Android 设备的新银行木马。这种复杂的恶意软件具有多种危险功能,包括覆盖攻击、键盘记录和混淆技术。该木马根据其源代码中的字符串命名为“Antidot”,以伪装成官方 Google Play 更新并支持多种语言而闻名,包括英语、德语、法语、西班牙语、葡萄牙语、罗马尼亚语,甚至俄语。该恶意软件作为 Google Play 的更新进行分发,并以“新版本”的名称出现在受害者的设备上。安装和首次启动后,用户会看到一个假页面,据称来自 Google Play,其中包含完成更新所需操作的详细说明。https://meterpreter.org/new-antidot-trojan-masquerades-as-google-play-update-steals-banking-data/
还没有评论,来说两句吧...