原标题:明朝万达2023年网络安全月报(7月)近日,明朝万达安元实验室发布了2023年第七期《安全通告》该份报告收录了2023 年7月最新的网络安全前沿新闻和最新漏洞追踪,其中重点内容包括:网络安全前沿新闻。
macOS 用户的新恶意软件变体威胁研究人员揭开了 Apple macOS 恶意软件RustBucket 的面纱,该恶意软件提升了对抗防火墙检测的性能,并进一步提升了持久化的能力RustBucket 是一个名为 BlueNoroff 的朝鲜黑客的作品,它是一个以 Lazarus Group 为名进行追踪的更大入侵集的一部分,Lazarus Group 是一个由该国主要情报机构侦察总局 (RGB) 监管的精英黑客单位。
黑客利用未修补的 WordPress 插件缺陷创建秘密管理员帐户多达 200,000 个 WordPress 网站面临被 Ultimate Member 插件中未修补的严重安全漏洞进行持续攻击的风险WordPress建议使用者禁用该插件,直到提供安全漏洞的适当补丁为止。
还建议审核网站上的所有管理员级别用户确定是否添加了任何未经授权的帐户 黑猫运营商通过恶意SEO分发伪装成 WinSCP 的勒索软件WinSCP是一个用于文件传输的开源Windows应用程序,相关的黑客已被监测到与 BlackCat 勒索软件使用恶意SEO技巧来分发 WinSCP 文件传输相关应用程序的流氓安装程序。
黑客使用恶意SEO通过合法组织的克隆网页分发恶意软件,”趋势科技研究人员 said 在上周发表的一项分析中表示“在这种情况下,分发涉及知名应用程序WinSCP的网页,以达到释放流氓程序的目的 总部位于墨西哥的黑客使用Android恶意软件瞄准全球银行。
从 2021 年 6 月到 2023 年 4 月,一名来自墨西哥的黑客进行了针对全球金融机构的 Android 移动恶意软件活动,但特别关注西班牙和智利的银行“这个黑客的攻击手法是针对服务进行攻击,该服务本身可以在ankarex访问。
hill说 瑞典数据保护局警告公司不要使用谷歌分析瑞典数据保护监管机构警告公司不要使用Google Analytics,因为美国政府监控带来了风险。
“在审计中,IMY认为通过谷歌统计工具传输到美国的数据是个人数据,因为数据可以与传输的其他独特数据相关联,”IMY说“当局还得出结论,这些公司采取的技术安全措施不足以确保与欧盟/欧洲经济区内保证的保护水平基本相对应。
RedEnergy 针对能源和电信行业的勒索软件威胁一种名为 RedEnergy的复杂窃取勒索软件威胁正在SEO,其目标是巴西和菲律宾的能源公用事业、石油、天然气、电信和机械行业Zscaler 研究人员 Shatak Jain 和 Gurkirat Singh 在最近的一份分析中表示:恶意软件能够从各种浏览器窃取信息,从而泄露敏感数据,同时还结合了不同的模块来执行勒索软件活动 。
BlackByte 2.0 勒索软件极速勒索最近,Microsoft的事件响应团队调查了 BlackByte 2.0勒索软件攻击,并揭露了这些网络攻击的可怕速度和破坏性研究结果表明,黑客可以在短短五天内完成整个攻击过程,从获得初始访问权限到造成重大损害。
他们不失时机地渗透系统,加密重要数据,并要求赎金才能释放它 Google Play 间谍软件,受害用户向国内发送数据Google Play 商店中的两个文件管理应用程序被发现是间谍软件,使多达 150 万 Android 用户的隐私和安全面临风险。
这些应用程序从事欺骗行为,并将敏感的用户数据秘密发送到中国的恶意服务器安全公司Pradeo发现了这种令人震惊的渗透报告显示,两个间谍软件应用程序,即安装量超过100万次的文件恢复和数据恢复 (com.spot.music.filedate)和安装量超过50万 次的文件管理器 (com.file.box.master.gkd)都是由同一组开发的。
这些看似无害的Android应用程序使用类似的恶意策略,并在设备重启时自动启动,而无需用户输入 黑客利用支付系统弱点,Revolut将面临2000万损失2022 年初,黑客利用 Revolut 支付系统中的未知缺陷窃取了该公司超过 2000 万美元的资金。
该故障源于Revolut美国和欧洲系统之间的差异,导致部分交易被拒绝时,资金被错误地用自己的资金退款 苹果发布针对iOS,iPadOS,macOS和Safari的零日漏洞的紧急补丁Apple 已发布 快速安全响应 针对 iOS、iPadOS、macOS 和 Safari 网络浏览器的 更新,以解决 据称已被广泛利用的零日漏洞。
WebKit 错误(编号为 CVE-2023-37450 )可能允许黑客在处理特制的 Web 内容时实现任意代码执行这家 iPhone 制造商表示,他们通过改进检查解决了这个问题 SCARLETEEL 加密劫持利用 AWS Fargate。
云环境继续处于正在进行的名为SCARLETEEL的高级攻击活动的接收端,黑客现在将目光投向了Amazon Web Services(AWS)FargateSCARLETEEL first exposed 于 2023 年 2 月首次被网络安全公司曝光,详细介绍了一个复杂的攻击链,最终导致从 AWS 基础设施窃取专有数据,并部署加密货币矿工以非法从受感染系统的ZY中获利。
勒索软件勒索在 2023 年飙升至 4.491 亿美元且持续增长根据 Chainaanalysis 的调查结果,勒索软件已成为 2023 年唯一增长的基于加密货币的犯罪,网络犯罪分子的勒索金额比一年前增加了近 1.758 亿美元。
“勒索软件团伙即将迎来有史以来第二大的一年,截至 6 月份,勒索软件团伙已勒索至少 4.491 亿美元”年中加密货币犯罪报告中指出 “如果这种速度继续下去,勒索软件团伙将在 2023 年向受害者勒索 8.986 亿美元,仅落后于 2021 年的 9.399 亿美元。
” PicassoLoader恶意软件用于对乌克兰和波兰的持续攻击乌克兰和波兰的政府实体、军事组织和平民用户已成为一系列活动的目标,这些活动旨在窃取敏感数据并获得对受感染系统的持续远程访问入侵集从 2022 年 4 月持续到 2023 年 7 月,利用网络钓鱼诱饵和诱饵文档来部署名为 PicassoLoader 的下载恶意软件,该恶意软件充当启动钴打击信标和 njRAT 的渠道。
TeamTNT的云凭据窃取活动针对Azure和Google Cloud黑客已与 2023 年 6 月的云凭据窃取活动相关联,该活动专注于 Azure 和谷歌云pingtai (GCP) 服务,这标志着对手的目标扩展到亚马逊网络服务(AWS)之外。
调查结果来自 SentinelOne 和 Permiso ,他们表示“活动与臭名昭著的TeamTNT加密劫持人员的工具有相似之处”,尽管它强调“基于脚本的工具的归因仍然具有挑战性 Microsoft扩展云日志记录以应对不断上升的民族国家网络威胁。
Microsoft周三宣布,它正在扩展云日志记录功能,以帮助组织调查网络安全事件,并在最近 间谍攻击活动 针对其电子邮件基础设施的这家科技巨头表示,它正在做出改变,以直接应对民族国家网络威胁的频率和演变。
预计将于 2023 年 9 月开始向所有政府和商业客户推出网络安全最新漏洞追踪● 微软7月多个安全漏洞漏洞概述2023年7月11日,微软发布了7月安全更新,本次更新共修复了132个漏洞,其中包括6个已被利用的漏洞、37个远程代码执行漏洞,以及9个评级为严重的漏洞。
漏洞详情CVE-2023-32046:Windows MSHTML Platform权限提升漏洞该漏洞的CVSSv3评分为7.8,利用该漏洞需要用户交互,可以通过电子邮件或恶意网站打开特制文件来利用该漏洞,成功利用可获得运行受影响应用程序的用户的权限。
目前该漏洞已发现被利用CVE-2023-32049:Windows SmartScreen安全功能绕过漏洞该漏洞的CVSSv3评分为8.8,利用该漏洞需要用户交互,可以通过诱导用户单击特制URL来执行攻击,成功利用可能导致绕过“打开文件-安全警告”提示。
目前该漏洞已发现被利用CVE-2023-36874:Windows Error Reporting Service特权提升漏洞该漏洞存在于Windows 错误报告服务中,其CVSSv3评分为7.8,对目标计算机具有本地访问权限且能够在计算机上创建文件夹和性能跟踪,并具有普通用户默认权限的威胁者可利用该漏洞获得管理员权限。
目前该漏洞已发现被利用CVE-2023-36884 :Office 和 Windows HTML 远程代码执行漏洞该漏洞影响了多个Windows和Office产品,其CVSSv3评分为8.3,威胁者可以创建特制的 Microsoft Office文档并诱导受害者打开恶意文件,成功利用可能导致在受害者的上下文中远程执行代码。
该漏洞已经公开披露且已发现被利用,目前微软暂未发布该漏洞的安全更新,但已发布了该漏洞的缓解措施CVE-2023-35311 :Microsoft Outlook 安全功能绕过漏洞该漏洞的CVSSv3评分为8.8,利用该漏洞需要用户交互,可以通过诱导用户单击特制URL来执行攻击,成功利用该漏洞可以绕过 Microsoft Outlook 安全通知提示。
目前该漏洞已发现被利用ADV230001:关于恶意使用 Microsoft 签名驱动程序的指南微软最近获悉,经微软Windows 硬件开发人员计划(MWHDP)认证的驱动程序在后利用活动中被恶意使用在这些攻击中,黑客在使用驱动程序之前就已经获得了受感染系统的管理权限,调查显示,微
安全建议目前微软已发布相关安全更新,建议受影响的用户尽快修复(一) Windows Update自动更新Microsoft Update默认启用,当系统检测到可用更新时,将会自动下载更新并在下一次启动时安装。
也可选择通过以下步骤手动进行更新:1、点击“开始菜单”或按Windows快捷键,点击进入“设置”2、选择“更新和安全”,进入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,具体步骤为“控制面板”->“系统和安全”->“Windows更新”)
3、选择“检查更新”,等待系统自动检查并下载可用更新4、更新完成后重启计算机,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
(二) 手动安装更新Microsoft官方下载相应补丁进行更新202
● Apache Shiro身份验证绕过漏洞(CVE-2023-34478)漏洞概述漏洞详情Apache Shiro是一个强大且易用的Java安全框架,它具有身份验证、访问授权、数据加密、会话管理等功能。
7月24日,安全人员监测到Apache Shiro中修复了一个身份验证绕过漏洞(CVE-2023-34478)Apache Shiro版本1.12.0之前和2.0.0-alpha-3 之前容易受到路径遍历攻击,当与基于非规范化请求路由请求的API或其他web框架一起使用时,可能导致身份验证绕过。
影响范围Apache Shiro版本 < 1.12.0Apache Shiro版本 = 1.12.0
Apache Shiro版本 >= 2.0.0-al
漏洞概述漏洞详情 GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目7月6日,安全人员监测到GitLab官方发布更新公告,修复了GitLab企业版(EE)中的一个访问控制不当漏洞(CVE-2023-3484),该漏洞的CVSSv3评分为8.0。
GitLab企业版(EE)版本12.8 - 15.11.11之前、16.0 -16.0.7 之前、16.1 -16.1.2 之前在某些情况下存在访问控制不当,可利用该漏洞更改公共顶级组的名称或路径影响范围。
12.8 <= GitLab EE版本< 15.11.1116.0 <= GitLab EE版本<16.0.716.1<= GitLab EE版本<16.1.2安全建议目前该漏洞已经修复,运行受影响版本的GitLab企业版 (EE)用户可及时升级到版本16.1.2、16.0.7 或15.11.11。
● OpenSSH ssh-agent远程代码执行漏洞(CVE-2023-38408)漏洞概述漏洞详情SSH(Secure Shell 的缩写)是一种网络协议,用于加密两台计算机之间的通信,并且支持各种身份验证机制,它主要用于保证远程登录和远程通信的安全。
OpenSSH是使用 SSH协议进行远程登录的连接工具ssh-agent 是一个后台程序,可缓存用于SSH公钥身份验证的私钥,从而减少常规密码输入的需要7月20日,安全人员监测到OpenSSH ssh-agent中存在一个远程代码执行漏洞(CVE-2023-38408),目前该漏洞的细节及PoC已经公开披露。
由于对CVE-2016-10009 的修复不完整,9.3p2之前的Ope),则可能会导致远程代码执行。