每周高级威胁情报解读(2023.06.08~06.15)
2023-6-16 10:8:14 Author: 奇安信威胁情报中心(查看原文) 阅读量:15 收藏

2022.02.17~02.24

攻击团伙情报

  • Sidecopy近期针对印度国防、军事部门下发新后门FetaRAT的活动分析

  • 分析APT37组织的TTP

  • Truebot被用来部署 Cobalt Strike 和FlawedGrace

  • ITG10针对韩国政府、大学、智库和持不同政见者的攻击行动披露

  • Clop可能自2021年就存在 MOVEit 传输漏洞 (CVE-2023-34362)

  • APT-C-36(盲眼鹰)近期攻击手法分析

  • Anonymous对包括微软在内的美国机构发起新一波DDoS攻击

  • 白象组织盯上国内军工和高校,网络攻击持续不断

攻击行动或事件情报

  • 俄罗斯 GRU 赞助的新型威胁组织Cadet Blizzard   

  • 针对数百个最受欢迎的服装品牌的广泛品牌冒充诈骗活动

  • 威胁者用WannaCry-Imitator攻击俄罗斯游戏社区

  • 微信群聊出现携带后门的病毒压缩包文件

  • 超过 45,000 名用户成为恶意 PyPI 包的受害者

  • 针对银行和金融服务的多阶段 AiTM 网络钓鱼和 BEC 活动

  • 后门STEALTH SOLDIER被用于在北非进行有针对性的间谍攻击

  • Asylum Ambuscade:犯罪软件还是网络间谍

恶意代码情报

  • 另一组潜在的恶意 Chrome 扩展程序

  • RomCom 重新浮出水面:针对乌克兰政客和美国医疗保健机构为乌克兰难民提供援助  

  • Pikabot近期基础设施披露

  • DoubleFinger偷偷加载GreetingGhoul,瞄准你的加密货币

  • 分析 FUD 恶意软件混淆引擎 BatCloak

  • 新后门SPECTRALVIPER针对越南上市公司

  • 通过视频网站传播的RecordBreaker窃密木马分析

  • MOVEit Transfer 被利用来删除窃取文件的 SQL Shell

漏洞情报

  • 微软补丁日通告:2023年6月版

攻击团伙情报

01

Sidecopy近期针对印度国防、军事部门下发新后门FetaRAT的活动分析

披露时间:2023年6月8日

情报来源:https://mp.weixin.qq.com/s/kiwP2rKfllbRq2Afn8jKWw

相关信息:

Sidecopy是具有南亚某国政府背景的APT组织,因模仿南亚地区另一APT组织Sidewinder的攻击手法而得名。该组织主要围绕印度政府、国防、军事相关人员进行网络攻击,下发CetaRAT、DetaRAT、AllakoreRAT等多种远控木马以窃取目标主机信息。2022年,Sidecopy组织被发现与同地区组织TransparentTribe共用基础设施,加之攻击目标相同,二者同属的谜底就此揭开。

近日,研究人员发现了该组织最新的攻击活动,近期攻击活动的大致特征如下:

  1. 本次捕获的加载器样本均托管在一家印度翻译公司网站上;

  2. 捕获到的样本主要针对印度国防、军事;

  3. 活动初始阶段攻击手法仍以模仿Sidewinder为主,后续下发新的C#后门木马,将其命名为FetaRAT,该后门主要功能包括网络连接、信息获取、文件上传、截屏上传、播放音频等。

02

分析APT37组织的TTP

披露时间:2023年6月12日

情报来源:https://asec.ahnlab.com/ko/53851/

相关信息:

RedEyes(也称为 APT37、ScarCruft、Reaper)组织是一个国家支持的 APT 组织,主要针对个人,包括朝鲜叛逃者、人权活动家和大学教授。众所周知,他们的任务是监视某些人的日常生活。研究人员证实,2023 年 5 月,RedEyes 组织散布了滥用 Ably 平台的 Golang 后门,并使用了包括麦克风窃听功能在内的新的以前未知的信息泄露恶意软件。攻击者使用Ably服务将命令传递给Golang后门,并在Github资源库中存储了通信命令所需的API密钥值。API密钥值是与攻击者的频道通信所需的,任何知道密钥值的人都可以订阅。在这篇博客中,研究人员将分享RedEyes集团在2023年5月用来监视个人的TTP(战术、技术和程序),从最初的渗透技术到特权升级、指挥和控制以及渗出。

03

Truebot被用来部署 Cobalt Strike 和FlawedGrace

披露时间:2023年6月12日

情报来源:https://thedfirreport.com/2023/06/12/a-truly-graceful-wipe-out/

相关信息:

在这次日期为 2023 年 5 月的入侵中,研究人员观察到Truebot被用来部署 Cobalt Strike 和FlawedGrace(又名 GraceWire 和 BARBWIRE),导致数据外泄和 MBR Killer wiper 的部署。威胁行为者在初始访问后的 29 小时内部署了擦除器。在这种情况下,Truebot 是通过“404 TDS”的流量分配系统 (TDS) 交付的。该活动于 2023 年 5 月观察到,利用电子邮件作为初始交付机制。单击电子邮件中的链接后,受害者将通过一系列 URL 进行重定向,然后在最终登陆页面上显示文件下载。下载的文件是一个 Truebot 可执行文件,显示为伪造的 Adobe Acrobat 文档。执行文件后,Truebot 复制并重命名了自己。几分钟后,Truebot 将 FlawedGrace 加载到主机上。在加载此恶意软件时,它对注册表和打印后台处理程序服务进行了一系列修改,以提升权限并建立持久性。从那里开始,FlawedGrace 的执行例程涉及在注册表中存储和提取、编码和加密有效负载;创建临时计划任务并将最终有效负载注入 msiexec.exe 和 svchost.exe。

04

ITG10针对韩国政府、大学、智库和持不同政见者的攻击行动披露

披露时间:2023年6月6日

情报来源:https://securityintelligence.com/posts/itg10-targeting-south-korean-entities/

相关信息:

2023 年 4 月下旬,研究人员发现的文件很可能是模仿可信发件人的网络钓鱼活动的一部分,由 X-Force 称为ITG10的组织精心策划,旨在传播 RokRAT 恶意软件。ITG10 的战术、技术和程序 (TTP) 与APT37和ScarCruft重叠. 最初的交付方法是通过一个 LNK 文件进行的,该文件会投放两个 Windows 快捷方式文件,其中包含负责下载第二阶段 RokRAT shellcode 的混淆 PowerShell 脚本。RokRAT 可以执行远程 C2 命令、数据泄露、文件下载/上传和键盘记录。未发现的诱饵文件表明 ITG10 可能针对参与与朝鲜半岛相关的外交政策的个人和组织。

05

Clop可能自2021年就存在 MOVEit 传输漏洞 (CVE-2023-34362)

披露时间:2023年6月8日

情报来源:https://www.kroll.com/en/insights/publications/cyber/clop-ransomware-moveit-transfer-vulnerability-cve-2023-34362

相关信息:

研究人员对受 MOVEit Transfer 漏洞影响的客户的初步分析表明,在 2023 年 5 月 27 日至 28 日前后,也就是 Progress Software 于 2023 年 5 月 31 日公开宣布该漏洞的前几天,存在与该漏洞相关的广泛活动。

这一时间框架恰逢美国阵亡将士纪念日,这加强了威胁行为者在假期周末发动重大网络攻击的偏好(例如,2021 年 7 月 3 日的 Kaseya 供应链攻击)。5 月 27 日至 28 日期间的活动似乎是一条自动利用攻击链,最终导致部署了 human2.aspx web shell。该漏洞利用的核心是 MOVEit Transfer 的两个合法组件之间的交互:moveitisapi/moveitisapi.dll 和 guestaccess.aspx。

06

APT-C-36(盲眼鹰)近期攻击手法分析

披露时间:2023年6月14日

情报来源:https://mp.weixin.qq.com/s/6YDnMAf0laiLKukJ04XLTQ

相关信息:

APT-C-36(盲眼鹰)是一个疑似来自南美洲的APT组织,主要目标位于哥伦比亚境内,以及南美的一些地区,如厄瓜多尔和巴拿马。该组织自2018年被发现以来,持续发起针对哥伦比亚国家的政府部门、金融、保险等行业以及大型公司的定向攻击。

在对APT-C-36组织进行狩猎活动中发现近期APT-C-36组织使用加密自解压压缩包以及LNK文件等对目标人群进行鱼叉钓鱼攻击,经过进一步分析溯源发现APT-C-36组织长期针对南美洲国家使用多平台投递钓鱼文件分发多个开源RAT后门软件,结果表明该组织在不断更新自己的武器库以及攻击流程。

07

Anonymous对包括微软在内的美国机构发起新一波DDoS攻击

披露时间:2023年6月7日

情报来源:https://blog.cyble.com/2023/06/07/anonymous-sudan-launches-fresh-wave-of-ddos-attacks-on-american-organizations-including-microsoft/

相关信息:

研究人员于 2023 年 5 月 5 日观察到,在声称于 2023 年 5 月 2 日对美国移动服务提供商发起持续两个小时的 DDoS 攻击后,Anonymous Sudan 针对美国医疗保健服务的活动激增。如果美国政府计划在苏丹采取军事行动,该组织威胁要继续对美国公司进行这些攻击。黑客活动分子声称对五家美国医院进行了一个多小时的攻击。

随后,Anonymous Sudan 声称对微软公司发起了 DDoS 攻击。该组织在他们的 Telegram 频道上声称,在大约 1400 点时,他们用几张截图来攻击 Outlook、Teams、SharePoint Online、OneDrive for Business 和其他 Office365 服务。

08

白象组织盯上国内军工和高校,网络攻击持续不断

披露时间:2023年6月14日

情报来源:https://mp.weixin.qq.com/s/BvfZ5yRiVBuorgoTznY65A

相关信息:

研究人员近期通过威胁狩猎系统捕获到多起白象组织的攻击活动,经过分析有如下发现:

  1. 攻击者通过钓鱼邮件向中国政府及高校发起网络攻击,通过在邮件中附带恶意附件执行恶意代码,恶意附件伪造为.pdf文件,实际上为.lnk快捷方式,快捷方式通过powershell从C2服务器下载诱饵及木马文件。

  2. 在攻击手法上,投递阶段保持了一贯的做法,以附带恶意附件或恶意连接的钓鱼邮件为主,投递阶段的标题多以“通知”、“会议”、“纪要”等具有时效性的话题为主。

  3. 白象组织不仅使用以往常用的BADNEWS木马对目标进行远控,还利用商业木马“Remcos”以及开源渗透框架“Havoc”对目标发起攻击。

攻击行动或事件情报

01

俄罗斯 GRU 赞助的新型威胁组织Cadet Blizzard

披露时间:2023年6月14日

情报来源:https://www.microsoft.com/en-us/security/blog/2023/06/14/cadet-blizzard-emerges-as-a-novel-and-distinct-russian-threat-actor/

相关信息:

此篇博客是分享有关威胁行为者技术的最新详细信息,该威胁行为者以前被追踪为DEV-0586——一个独特的俄罗斯国家支持的威胁行为者,现在已被提升为 Cadet Blizzard 这个名字。研究人员评估 Cadet Blizzard 行动与俄罗斯总参谋部主要情报局 (GRU) 相关,但与其他已知和更成熟的 GRU 附属组织分开,例如 Forest Blizzard (STRONTIUM) 和 Seashell Blizzard (IRIDIUM)。

Cadet Blizzard 在操作上与 GRU 领导的整个俄罗斯入侵乌克兰行动的职权范围和评估目标一致,在重要地区进行了集中的破坏性攻击、间谍活动和信息操作。Cadet Blizzard 的运营虽然在规模和范围上相对不如 Seashell Blizzard 等更成熟的威胁参与者多产,但其结构是为了产生影响并经常冒着阻碍网络运营连续性和通过有针对性的黑客攻击以及泄露敏感信息的风险操作。

02

针对数百个最受欢迎的服装品牌的广泛品牌冒充诈骗活动

披露时间:2023年6月13日

情报来源:https://bolster.ai/blog/brand-impersonation-scam

相关信息:

研究人员最近发现了针对 100 多个流行服装、鞋类和服饰品牌的广泛品牌假冒诈骗活动。受此活动影响的知名品牌包括耐克、彪马、阿迪达斯、卡西欧、Crocs、Sketchers、卡特彼勒、新百伦、Fila、Vans 等。该活动于 2022 年 6 月左右上线,并在 2022 年 11 月至 2023 年 2 月期间达到网络钓鱼活动的高峰期。为了开展诈骗活动,威胁行为者注册了数千个域,目的是针对这些品牌的毫无戒心的客户以谋取经济利益。

03

威胁者用WannaCry-Imitator攻击俄罗斯游戏社区

披露时间:2023年6月13日

情报来源:https://blog.cyble.com/2023/06/13/threat-actor-targets-russian-gaming-community-with-wannacry-imitator/

相关信息:

研究人员一直在积极监控网络钓鱼活动,这些活动利用游戏网站作为各种 恶意软件系列的分发渠道。最近,发现了一个针对俄语游戏玩家的网络钓鱼活动,旨在分发勒索软件。这些恶意活动背后的攻击者使用了旨在与合法的 Enlisted Game 网站非常相似的网络钓鱼页面。

Enlisted 是一款基于小队的多人战术第一人称射击游戏,由 Darkflow Software 开发并由 Gaijin Entertainment 发行。这款免费游戏发生在第二次世界大战的背景下,着重于战争各个方面的重大战役。

04

微信群聊出现携带后门的病毒压缩包文件

披露时间:2023年6月12日

情报来源:https://mp.weixin.qq.com/s/ZhbRxYwKPN0X7tma5QH49g

相关信息:

近期,研究人员监测到一个伪造成"36种财会人员必备技巧(珍藏版) .rar"的压缩包在微信群聊中快速传播。当用户下载解压该rar文件后,文件中存在一个exe文件,用户运行文件后,病毒就开始执行代码。首先病毒会利用Zemana在注册表中删除其他杀毒软件的驱动注册项,病毒携带的删除杀软名单包括avast、360等。此外,该病毒还会通过镜像劫持功能,禁止杀毒软件进程启动。禁用杀毒软件后,病毒会外联C2服务器传递系统信息,随后C2服务器响应匿名文件网站链接从而下载加载器程序CMO03.exe,最后执行shellcode访问C2服务器,获取后续代码加载后门模块,后门模块具备功能包括键盘记录、文件窃取、远程控制等。

05

超过 45,000 名用户成为恶意 PyPI 包的受害者

披露时间:2023年6月9日

情报来源:https://blog.cyble.com/2023/06/09/over-45-thousand-users-fell-victim-to-malicious-pypi-packages/

相关信息:

PyPI(Python 包索引)是 Python 的官方第三方软件存储库。它是为 Python 编程语言开发的包的广泛使用的存储库。PyPI 允许开发人员轻松访问和下载预构建的 Python 包,从而节省他们从头开始构建代码的时间和精力。

研究人员一直在积极跟踪恶意 python 包,最近,我们还报告了一个名为 KEKW 的 InfoStealer,它通过多个恶意 python 包进行传播。在 PyPI 发布通知后,对该事件进行了进一步调查。在该研究活动中,发现了 160 多个恶意 Python 包。根据从PePy获取的统计数据,发现这些包的总下载量超过 45,000。此外还还发现恶意 python 包的下载量逐月增加。所有这些包都已从 PyPI 中删除,并防止了新的感染。

06

针对银行和金融服务的多阶段 AiTM 网络钓鱼和 BEC 活动

披露时间:2023年6月8日

情报来源:https://www.microsoft.com/en-us/security/blog/2023/06/08/detecting-and-mitigating-a-multi-stage-aitm-phishing-and-bec-campaign/

相关信息:

研究人员发现了针对银行和金融服务组织的多阶段中间对手 (AiTM) 网络钓鱼和商业电子邮件妥协 (BEC) 攻击。该攻击源自受感染的受信任供应商,并转变为一系列 AiTM 攻击和跨越多个组织的后续 BEC 活动。这种攻击显示了 AiTM 和 BEC 威胁的复杂性,它们滥用供应商、供应商和其他合作伙伴组织之间的信任关系,意图进行金融欺诈。

在此活动中使用间接代理为攻击者提供了控制和灵活性,可以根据他们的目标定制网络钓鱼页面,并进一步实现他们窃取会话 cookie 的目标。通过会话重放攻击使用窃取的 cookie 登录后,威胁参与者利用尚未使用安全最佳实践配置的多因素身份验证 (MFA) 策略,以便在没有 MFA 质询的情况下更新 MFA 方法。随后是第二阶段的网络钓鱼活动,向目标联系人发送了 16,000 多封电子邮件。

07

后门STEALTH SOLDIER被用于在北非进行有针对性的间谍攻击  

披露时间:2023年6月8日

情报来源:https://research.checkpoint.com/2023/stealth-soldier-backdoor-used-in-targeted-espionage-attacks-in-north-africa/

相关信息:

研究人员确定了一项针对北非目标的持续行动,涉及一个名为 Stealth Soldier 的先前未公开的多阶段后门。恶意软件命令和控制 (C&C) 网络是一组更大的基础设施的一部分,至少部分用于针对政府实体的鱼叉式网络钓鱼活动。根据在网络钓鱼网站主题和 VirusTotal 提交内容中观察到的情况,该活动似乎以利比亚组织为目标。

本文将讨论此操作及其基础结构中使用的不同技术和工具。此外还提供不同版本Stealth Soldier的技术分析。此外还讨论了这次行动与“尼罗河之眼”之间的相似之处,“尼罗河之眼”是另一项针对该地区的运动,Amnesty和研究人员将其与政府支持的机构联系起来。

08

Asylum Ambuscade:犯罪软件还是网络间谍

披露时间:2023年6月8日

情报来源:https://www.welivesecurity.com/2023/06/08/asylum-ambuscade-crimeware-or-cyberespionage/

相关信息:

Asylum Ambuscade 是一个网络犯罪组织,一直在进行网络间谍活动。此前该组织针对的是参与帮助乌克兰难民的欧洲政府工作人员,而此时距俄乌战争爆发仅几周。在这篇博文中,研究人员详细介绍了 2022 年初的间谍活动以及 2022 年和 2023 年的多项网络犯罪活动。

至少从2020年开始,Asylum Ambuscade一直在进行网络间谍活动。研究人员发现以前在中亚国家和亚美尼亚的政府官员和国有公司的员工被泄露。破坏链开始于一封附件即带有恶意Excel电子表格的鱼叉式钓鱼邮件。其中的恶意VBA代码从远程服务器下载一个MSI包并安装SunSeed,一个用Lua编写的下载器。

恶意代码情报

01

另一组潜在的恶意 Chrome 扩展程序

披露时间:2023年6月8日

情报来源:https://palant.info/2023/06/08/another-cluster-of-potentially-malicious-chrome-extensions/

相关信息:

研究人员已经发现Chrome扩展程序包含经过混淆的恶意代码,此外还看到了PCVARK的恶意广告拦截器。在四个浏览器扩展中发现了恶意功能。其中整个广告拦截功能基本上由 33 个硬编码规则和一个很小的 YouTube 内容脚本组成。据推测,响应是一个规则列表,指示扩展通过其 id、类或文本删除页面上的元素。实际上,该网站总是以“502 Bad Gateway”作为回应。还有功能是关于会员欺诈的:当访问购物网站时,此代码会重定向,以便使用“正确”的会员 ID 访问商店。扩展程序的发布者通过“推荐”到商店而赚取佣金。当然,相同的代码也可以将其银行会话重定向到网络钓鱼网站。

02

RomCom 重新浮出水面:针对乌克兰政客和美国医疗保健机构为乌克兰难民提供援助

披露时间:2023年6月7日

情报来源:https://blogs.blackberry.com/en/2023/06/romcom-resurfaces-targeting-ukraine

相关信息:

威胁参与者一直在密切关注围绕乌克兰战争的地缘政治事件,目标是军队、食品供应链和IT 公司。在 RomCom 的最新活动中,研究人员观察到 RomCom 针对与西方国家密切合作的乌克兰政客,以及一家美国医疗保健公司向逃离乌克兰并在美国接受医疗援助的难民提供人道主义援助。

这份报告是研究的第一部分,涵盖了 RomCom 最新恶意活动的细节,而第二部分将涵盖 RomCom 的行为,包括检测工程。

03

Pikabot近期基础设施披露

披露时间:2023年6月12日

情报来源:https://news.sophos.com/en-us/2023/06/12/deep-dive-into-the-pikabot-cyber-threat/

相关信息:

近期,研究人员利用机器学习模型检测到了Pikabot通信的加密流量,并公布了Pikabot新的情报信息。Pikabot是一个恶意木马程序,主要包含两个模块,分别是加载程序和核心模块,核心模块执行恶意软件的大部分功能,而加载程序则协助执行这些恶意活动。当Pikabot被部署到受害者主机上后,攻击者可以通过Pikabot远程访问受害主机,此外,Pikabot还可以接收C2服务器命令实现进程注入、命令执行、分发其他恶意程序等操作。研究人员还发现当系统的语言是格鲁吉亚语、哈萨克语、乌兹别克语或塔吉克语时,Pikabot程序会自动终止。研究人员还表示Pikabot和另一个恶意软件家族Matanbuchus之间也有惊人的相似之处。两者都是用C/C++编写的,利用加载程序/核心组件拆分,使用JSON+Base64+crypto进行流量处理,并广泛使用硬编码字符串。

04

DoubleFinger偷偷加载GreetingGhoul,瞄准你的加密货币

披露时间:2023年6月12日

情报来源:https://securelist.com/doublefinger-loader-delivering-greetingghoul-cryptocurrency-stealer/109982/

相关信息:

DoubleFinger 部署在目标机器上,当受害者打开电子邮件中的恶意 PIF 附件时,最终执行 DoubleFinger 的第一个加载程序阶段。第一阶段是经过修改的“espexe.exe”(MS Windows 经济服务提供商应用程序)二进制文件,其中对 DialogFunc 进行了修补,以便执行恶意 shellcode。第二阶段 shellcode 是通过执行与第二阶段加载程序 shellcode 位于同一目录中的合法 Java 二进制文件来加载的(该文件名为 msvcr100.dll)。shellcode 加载、解密并执行第三阶段 shellcode。第 4 阶段的 shellcode将第五阶段定位在自己体内,然后使用过程分身术来执行它。第五阶段创建一个计划任务,每天在特定时间执行 GreetingGhoul 窃取器。

05

分析 FUD 恶意软件混淆引擎 BatCloak

披露时间:2023年6月9日

情报来源:https://www.trendmicro.com/content/dam/trendmicro/global/en/research/23/f/analyzing-the-fud-malware-obfuscation-engine-batcloak/tb-the-dark-evolution-advanced-malicious-actors-unveil-malware-modification-progression.pdf

相关信息:

研究人员发现使用高级 BatCloak 引擎高度混淆的批处理文件在不同的实例中部署各种恶意软件。从 2022 年 9 月到 2023 年 6 月运行分析和样本收集,发现这些批处理文件被设计为完全不可检测 (FUD),并展示了持续规避安全解决方案的卓越能力。因此,威胁行为者可以通过无缝利用高度混淆的批处理文件来加载各种恶意软件系列和漏洞。

这是一个由三部分组成的技术研究系列的第一篇文章,该系列深入研究了高度规避的批量混淆引擎 BatCloak 的持续发展。本系列的第二部分将研究远程访问木马 (RAT) SeroXen,这是一种因其隐蔽性而越来越受欢迎的恶意软件,在其最新版本中,目标是游戏玩家、发烧友社区和组织。除了 RAT 自己的工具,还将研究作为 SeroXen 的加载机制包含的更新的 BatCloak 引擎。本系列的第三部分也是最后一部分将详细介绍 SeroXen 和 BatCloak 的分发机制。

06

新后门SPECTRALVIPER针对越南上市公司

披露时间:2023年6月9日

情报来源:https://www.elastic.co/cn/security-labs/elastic-charms-spectralviper

相关信息:

在研究人员的调查过程中,观察到一个以前未发现的后门恶意软件系列,并将其命名为 SPECTRALVIPER。SPECTRALVIPER 是一个 64 位 Windows 后门,用 C++ 编码并且经过了高度混淆。它以两种不同的通信模式运行,允许它通过 HTTP 或 Windows 命名管道接收消息。

通过分析确定以下功能:

  1. PE加载/注入:SPECTRALVIPER可以加载和注入可执行文件,同时支持x86和x64架构。

  2. 令牌模拟:该恶意软件具有模拟安全令牌的能力,授予它更高的权限并绕过某些安全措施。

  3. 文件下载/上传:SPECTRALVIPER 可以从受感染的系统下载和上传文件。

  4. 文件/目录操纵:后门能够操纵受感染系统上的文件和目录。

07

通过视频网站传播的RecordBreaker窃密木马分析

披露时间:2023年6月8日

情报来源:https://mp.weixin.qq.com/s/K8r6ZLC9LX6fRx-zwTR_hw

相关信息:

近期,研究人员监测到通过视频网站进行传播的攻击活动。攻击者窃取订阅者数量超过10万的视频创作者账号,发布与破解版热门软件相关的演示视频,诱导受害者下载RecordBreaker窃密木马。

RecordBreaker窃密木马是Raccoon窃密木马的2.0版本,该窃密木马从C2服务器接收配置信息,根据配置信息中的内容窃取相应的敏感信息,并根据其中的URL下载载荷文件,最终投递Laplas Clipper木马和一个挖矿木马。由于该挖矿木马所下载的载荷会终止大量游戏进程,研究人员将其命名为StopGames挖矿木马。

08

新的ChatGPT攻击技术传播恶意软件包

披露时间:2023年6月6日

情报来源:https://vulcan.io/blog/ai-hallucinations-package-risk

相关信息:

研究人员发现了一种新的恶意包传播技术,称之为“AI 包幻觉”。

该技术依赖于这样一个事实,即 ChatGPT 以及可能的其他生成式 AI 平台有时会使用幻觉来源、链接、博客和统计数据来回答问题。它甚至会为 CVE 生成有问题的修复程序,并且——在这种特定情况下——提供指向实际上并不存在的编码库的链接。使用这种技术,攻击者首先会制定一个问题,向 ChatGPT 询问将解决编码问题的程序包。然后ChatGPT 用多个包进行响应,其中一些可能不存在。这就是事情变得危险的地方:ChatGPT会 推荐未在合法包存储库(例如 npmjs、Pypi 等)中发布的包。这篇博文将详细介绍研究人员的发现,包括攻击的 PoC。

漏洞情报

01

微软补丁日通告:2023年6月版

披露时间:2023年6月14日

情报来源:https://msrc.microsoft.com/update-guide/releaseNote/2023-Jun

相关信息:

本次安全更新修复了总计78个安全漏洞(不包括6月2日修复的16个Microsoft Edge漏洞),其中存在70个高危漏洞(Important)、6个严重漏洞(Critical)。在漏洞类型方面,主要包括32个远程执行代码漏洞、17个特权提升漏洞、10个欺骗漏洞、10个拒绝服务漏洞、5个信息泄露漏洞、3个安全功能绕过漏洞、1个Edge-Chromium漏洞。

本次发布的安全更新涉及.NET Core、3D Builder、Azure、Microsoft Bluetooth Driver、Microsoft Edge(Chromium-based)、Microsoft Exchange Server、Microsoft Message Queuing、Microsoft Office、Microsoft WDAC OLE DB provider for SQL、Visual Studio、Windows ALPC、Windows BitLocker、Windows ODBC Driver等多个产品和组件。

以下为重点关注漏洞列表:

  • CVE-2023-29363、CVE-2023-32014和CVE-2023-32015:Windows Pragmatic General Multicast(PGM)远程代码执行漏洞

这些漏洞的CVSSv3评分为9.8分。在运行Windows消息队列服务的Windows Pragmatic General Multicast(PGM)服务器环境中,攻击者可以通过网络发送特制文件实现远程代码执行,进而触发恶意代码。

  • CVE-2023-29357:Microsoft SharePoint Server特权提升漏洞

该漏洞的CVSSv3评分为9.8分。攻击者无需用户交互即可利用此漏洞,成功利用此漏洞的攻击者可以获得管理员级别的权限。

  • CVE-2023-28310:Microsoft Exchange Server远程代码执行漏洞

该漏洞的CVSSv3评分为8.0分。与Exchange服务器位于同一Intranet上的经过身份验证的攻击者可以通过PowerShell远程会话实现远程代码执行。

  • CVE-2023-32031:Microsoft Exchange Server远程代码执行漏洞

该漏洞的CVSSv3评分为8.8分。成功利用此漏洞的攻击者需经过身份验证,可使其在远程代码执行中以服务器帐户为目标。并且攻击者可能会尝试通过网络调用在服务器帐户的上下文中触发恶意代码。

  • CVE-2023-29358:Windows GDI特权提升漏洞

该漏洞的CVSSv3评分为7.8分。成功利用此漏洞的攻击者可以获得SYSTEM权限。

  • CVE-2023-29352:Windows远程桌面安全功能绕过漏洞

该漏洞的CVSSv3评分为6.5分。成功利用此漏洞的攻击者可以通过创建有效签名的“.RDP”文件绕过执行时的警告提示,从而在远程桌面连接期间绕过证书验证。

点击阅读原文ALPHA 6.0

即刻助力威胁研判


文章来源: http://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247506687&idx=1&sn=2474dfb966e9b4b63398103881a87df4&chksm=ea662d88dd11a49ee0c36d3c1ab399d7c72afaa0de9a70c7e5c82ac18828899e6679d73445ec#rd
如有侵权请联系:admin#unsafe.sh