伊朗网络犯罪分子通过 LinkedIn 以航空航天工人为目标

该组织通过冒充招聘人员（过去也曾针对这一人群）来寻找航空航天专业人士，然后部署 SlugResin 后门恶意软件。

自去年 9 月以来，一项网络钓鱼活动通过冒充航空航天业的招聘人员来瞄准 LinkedIn 和其他平台上的用户。

ClearSky 将该活动归因于与伊朗有关的威胁行为者 TA455，该行为者使用鱼叉式网络钓鱼方法来定位和引诱个人。一旦与受害者建立联系，威胁行为者就会鼓励他们下载一个名为“SIgnedConnection.zip”的 zip 文件。

除此之外，威胁行为者还向受害者提供 PDF 指南，以指导他们如何安全地下载和打开 zip 文件。

该 zip 文件包含一个可执行文件，该文件通过 DLL 旁加载将恶意软件加载到受害者的设备上。一个名为 “secure32[.] 的 DLL 文件。dll“加载到他们的系统上，允许攻击者访问运行未检测到的代码。

一旦完成，恶意软件就会启动一个感染链，最终部署 Snail Resin 恶意软件，打开一个名为“SlugResin”的后门。据 ClearSky 的研究人员称，该恶意软件和后门都归因于另一位伊朗威胁行为者 Charming Kitten。

该组织使用多种方法来逃避检测，包括在 GitHub 上对命令和控制 （C2） 通信进行编码，使传统检测工具更难识别其威胁，并模仿与 Lazarus Group 相关的策略，导致归因复杂化。

与过去的活动一样，TA455 的目标是航空航天专业人士，因此在 LinkedIn 等平台上从事该领域的个人应该警惕他们从未知来源收到的消息和联系。

Varonis 的研究人员在 Postgres 语言扩展 PL/Perl 中发现了一个漏洞，允许用户在 PostgreSQL 会话进程中设置任意环境变量。

该漏洞的严重性评分为 CVSS 8.8，可能导致严重的安全问题，具体取决于它被利用的情况。

该漏洞被跟踪为 CVE-2024-10979，允许威胁行为者修改敏感环境，最终允许他们在不访问操作系统用户的情况下执行任意代码。

该漏洞还允许威胁行为者运行其他查询以收集有关机器及其内容的信息。

PostgreSQL17.1、16.5、15.9、14.14、13.17 和 12.21 之前的版本 受此漏洞的影响，据研究人员称，可以通过升级到 PostgreSQL（“至少至少升级到最新的次要版本”）以及限制允许的扩展来缓解。

Postgres 客户还应检查 ddl 日志，以查找他们无法识别或并非自行创建的函数，以评估它们是否受到影响。

Bitdefender安全公司日前发布了针对ShrinkLocker勒索软件的解密工具。这款勒索软件利用Windows内置的BitLocker驱动器加密工具来锁定受害者文件，此次发布的解密工具可以帮助受害者免费恢复被加密的数据。

尽管ShrinkLocker的勒索技术实现相对简单，但其破坏性不容小觑。ShrinkLocker的技术手段并不高明，不同于传统勒索软件使用自定义加密实现，而是利用Windows BitLocker并生成随机密码发送给攻击者。攻击过程首先通过WindowsManagement Instrumentation（WMI）查询检查目标系统是否安装了BitLocker；随后，攻击者会移除所有默认保护机制，并使用"-UsedSpaceOnly"参数仅加密磁盘已使用空间以提高效率。该勒索软件使用网络流量和内存使用数据生成随机密码，使暴力破解变得困难，同时删除和重新配置所有BitLocker保护器，增加加密密钥恢复的难度。

Bitdefender的解密工具通过识别BitLocker加密磁盘删除保护器后的特定恢复窗口，成功实现了攻击者设置的密码恢复。受害者可以通过USB驱动器使用该工具，在BitLocker恢复界面进入恢复模式，通过高级选项访问命令提示符来启动解密工具。

网络安全和基础设施安全局 （CISA） 发布了关于积极利用多个关键 Palo Alto Networks 漏洞的紧急警告，这些漏洞是在 Palo Alto Networks 的 Expedition 迁移工具中检测到的。

该机构已在其已知已利用漏洞 （KEV） 目录中添加了两个高严重性缺陷，这表明使用受影响软件的组织面临直接威胁。

有问题的漏洞是 CVE-2024-9463（操作系统命令注入漏洞）和 CVE-2024-9465（SQL 注入漏洞）。两者都具有严重严重性评级，CVSS 评分分别为 9.9 和 9.2。

这些安全漏洞允许未经身份验证的攻击者以 root 权限执行任意命令并访问敏感信息，包括 PAN-OS 防火墙的用户名、密码、设备配置和 API 密钥。

Palo Alto Networks 于 2024 年 10 月发布了针对这些漏洞的补丁，影响了 1.2.96 之前的 Expedition 版本。但是，CISA 的警报表明，尽管有修复程序可用，但恶意行为者正在积极利用这些弱点。

这一事件清楚地提醒我们，网络安全专业人员和恶意行为者之间正在进行的猫捉老鼠游戏。它强调了及时修补和主动漏洞管理在维护强大的安全态势方面的重要性。

随着网络威胁的不断演变，组织必须保持警惕并迅速响应，以保护其数字资产和敏感信息。

近日，Zoom官方修复了其应用程序套件中存在多个安全缺陷，其中最严重的缺陷可能允许攻击者执行远程代码。这些漏洞影响范围广泛，涉及Windows、macOS、iOS、Android和Linux等多个平台的Zoom产品。

其中最严重的是一个缓冲区溢出缺陷，CVSS评分高达8.5。该缺陷可能允许已认证用户通过网络访问提升权限，进而执行远程代码。受影响的产品包括Zoom Workplace App、Rooms Client、Video SDK和Meeting SDK等核心应用。还有一个严重缺陷涉及输入验证不当问题。可能使未经身份验证的用户通过网络访问泄露敏感信息。

此外，Zoom还披露了多个中等严重级别的安全缺陷，涉及输入验证不当可能导致拒绝服务攻击、资源消耗控制不当可能引发拒绝服务、macOS安装程序中的符号链接跟随缺陷，以及macOS安装程序中的资源消耗控制不当可能导致信息泄露等问题。

这些漏洞主要影响6.2.0版本之前的大多数产品，部分macOS特定漏洞存在于6.1.5版本之前。Zoom建议用户通过官方网站更新到最新版本以防范潜在的漏洞利用。

Palo Alto Networks 发布了紧急安全警告，内容涉及利用其防火墙产品管理界面中的一个关键远程命令执行 （RCE） 漏洞。

此缺陷允许未经身份验证的攻击者在受影响的系统上执行任意命令，在防火墙管理界面暴露给 Internet 的有限数量的情况下已观察到。

该公司已将漏洞的严重性提高到严重，CVSSv4.0 基本评分为 9.3，这反映了未遵循建议的安全实践的组织面临的高风险。

Palo Alto Networks 正在积极调查该问题，并已确认威胁行为者已经开始在野外利用此漏洞。

该漏洞主要影响可从 Internet 访问的防火墙管理界面。Palo Alto Networks 强烈建议客户立即检查其防火墙配置，并确保根据最佳实践指南，仅允许受信任的内部 IP 地址访问这些管理界面。

该公司强调，Prisma Access 和 Cloud NGFW 服务不受此漏洞的影响，减少了这些产品用户的担忧。但是，对于其他防火墙系统，Palo Alto Networks 警告说，如果无法保护管理接口，可能会使它们容易受到攻击。

“目前，我们认为，根据我们推荐的最佳实践部署指南，对管理界面的访问不安全的设备将面临更大的风险，”该公司在其公告中表示。

作为其持续响应的一部分，Palo Alto Networks 正在准备补丁和威胁预防签名来缓解此漏洞。这些修复程序预计将很快发布。

同时，保护对防火墙管理界面的访问仍然是最有效的防御措施。随着新信息的出现，该公司将继续更新其公告。

安全公司Jamf最新的分析报告显示，已发现黑客组织开始利用Flutter应用程序框架向macOS设备投递恶意软件。这是该公司首次观察到威胁行为者利用Flutter框架针对macOS发起攻击。

Flutter是谷歌开发的一个简化跨平台应用程序设计的框架。Flutter应用具有独特的布局设计，能够为代码提供大量的混淆空间，这种与生俱来的代码混淆特性可能帮助攻击者规避网络安全防御。

研究人员发现了三种形式的恶意软件，除了基于Flutter构建的应用程序外，还包括Go语言变体和使用Py2App构建的Python变体。其中，Flutter应用因其反向工程的复杂性最为引人注目。研究人员确认了四个受感染的应用程序，其中两个使用了开发者签名。这些签名随后被苹果公司撤销。

研究人员认为，攻击者可能在测试一种新的武器化恶意软件方法，包括尝试观察带有隐藏在dylib中恶意代码的已签名应用是否能通过苹果的公证服务器审核，同时躲避防病毒软件的检测。这种新型攻击手法的出现提醒我们需要警惕看似正常的跨平台应用可能隐藏的安全风险。

在 Windows 系统中新发现的 0 天漏洞 CVE-2024-43451 已被疑似俄罗斯黑客积极利用，以乌克兰实体为目标。

ClearSky Cyber Security 的安全分析师于 2024 年 6 月发现了这个 0 天漏洞，它允许攻击者通过最少的用户交互来获得对系统的未经授权的访问。

CVE-2024-43451 是一个 NTLM 哈希披露欺骗漏洞，可由看似无害的操作触发：-右键单击恶意文件删除文件（在 Windows 10/11 上）将文件移动到另一个文件夹（在某些 Windows 版本上）

ClearSky Cyber Security 的研究人员观察到，当这个 0 Day 漏洞被利用时，它会泄露用户的 NTLMv2 哈希值，攻击者可以使用该哈希值来验证用户身份，并可能在网络内横向移动。

攻击从一封网络钓鱼电子邮件开始，其中包含用于下载 Internet 快捷方式文件的超链接。此文件托管在受感染的乌克兰政府服务器上。当用户与文件交互时，它会触发漏洞，从而与攻击者的服务器建立连接。

然后，该漏洞会下载其他恶意软件，包括 SparkRAT，这是一种开源远程访问工具，允许攻击者远程控制受感染的系统。

乌克兰计算机应急响应小组 （CERT-UA） 将这些攻击归咎于 UAC-0194，这是一个据信是俄罗斯的威胁组织。该活动主要针对乌克兰实体，突出了该地区正在进行的网络战。

Microsoft 修补了 CVE-2024-43451，作为其 2024 年 11 月星期二补丁更新的一部分。该漏洞影响所有受支持的 Windows 版本，从 Windows 10 及更高版本到 Windows Server 2008 及更高版本。

美国网络安全和基础设施安全局 （CISA） 已将 CVE-2024-43451 添加到其已知被利用的漏洞目录中，要求联邦机构在 2024 年 12 月 3 日之前保护易受攻击的系统。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外

本文版权归原作者所有，如有侵权请联系我们及时删除