首頁 > 安全研究 > 安全通報 > 安全簡訊

Shuckworm團伙通過USB分發其自定義后門Pterodo

發布時間 2023-06-20

1、Shuckworm團伙通過USB分發其自定義后門Pterodo


6月15日,Symantec披露了俄羅斯相關黑客團伙Shuckworm更新的工具集和感染策略。Shuckworm繼續對烏克蘭發起了多次攻擊,最近的目標包括安全部門、軍隊和政府組織。Shuckworm使用電子郵件作為初始感染載體來分發惡意軟件,然后使用了一個新的PowerShell腳本,通過USB分發其自定義后門惡意軟件Pterodo。在最近的活動中,該團伙還利用合法服務充當C&C服務器,包括Telegram,以及Telegram的微博平臺,即Telegraph,來存儲C&C地址。


https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/shuckworm-russia-ukraine-military


2、美國路易斯安那州和俄勒岡州數百萬居民的信息泄露


6月16日報道稱,路易斯安那州和俄勒岡州的MOVEit Transfer安全文件傳輸系統遭到攻擊,數百萬居民的信息泄露。路易斯安那州機動車輛辦公室(OMV)透露,可能所有擁有該州政府頒發的駕駛執照、身份證或汽車登記證的居民都受到了影響。俄勒岡DMV也發布了類似的聲明,稱此次數據泄露事件影響了大約3500000名俄勒岡人。俄勒岡州當局表示,他們無法確定具體的受影響個人,因此建議所有公民采取預防措施。


https://www.bleepingcomputer.com/news/security/millions-of-oregon-louisiana-state-ids-stolen-in-moveit-breach/


3、華碩發布緊急固件更新,修復其多款路由器中的漏洞


媒體6月19日稱,華碩發布了緊急固件更新,修復其多個路由器型號中的9個漏洞。其中包括兩個CVSS評分為9.8的漏洞,分別是Netatalk 3.1.12之前的越界寫入漏洞(CVE-2018-1160),可導致任意代碼執行。以及Asuswrt固件中的內存損壞漏洞(CVE-2022-26376),可能導致拒絕服務狀態或任意代碼執行。該公司建議受影響路由器型號的用戶盡快將設備更新到最新固件,并為無線網絡和路由器管理頁面設置單獨的復雜的密碼。


https://www.securityweek.com/asus-patches-highly-critical-wifi-router-flaws/


4、FTC指控基因檢測公司1health.io泄露用戶的健康信息


媒體6月16日稱,美國FTC指控基因健康檢測公司1health.io未能保護敏感的基因和健康信息。FTC稱,1health以前稱為Vitagene,在其隱私政策方面欺騙了客戶,追溯性地更改了該政策,并在其刪除數據的過程中誤導了客戶。該公司被要求向FTC支付75000美元用于消費者退款,并被禁止在未獲得客戶明確同意的情況下與第三方共享健康數據,還必須實施新的安全計劃。1health的首席執行官稱FTC的調查是“政府過度干預的案例”。


https://cyberscoop.com/ftc-1healthio-health-data-privacy/


5、研究人員演示新型側信道攻擊方式Freaky Leaky SMS


據6月17日報道,一組研究人員設計了名為Freaky Leaky SMS的新型側信道攻擊方式,它依賴于SMS發送報告的時間來推斷收件人的位置。攻擊者首先需要收集一些測量數據,以便在SMS發送報告和目標的位置之間建立具體的關聯。攻擊者掌握的目標行蹤數據越精確,攻擊階段ML模型預測中的位置分類結果就越準確。此外,同一組研究人員在去年開發了類似的定時攻擊,可使用消息接收報告大致定位Signal、Threema和WhatsApp等即時通訊工具的用戶。


https://www.bleepingcomputer.com/news/security/sms-delivery-reports-can-be-used-to-infer-recipients-location/


6、Mandiant披露UNC4841利用Barracuda ESG漏洞的攻擊詳情


Mandiant在6月15日披露了UNC4841利用Barracuda ESG漏洞的攻擊詳情。大約從2022年10月10日開始,UNC4841開始利用遠程命令注入漏洞(CVE-2023-2868)。攻擊始于包含惡意附件的電子郵件,當Barracuda ESG嘗試掃描文件時,附件會利用該漏洞在設備上遠程執行代碼。一旦獲取訪問權限,就會使用惡意軟件系列Saltwater、Seaspy和Seaside感染它,來從設備中竊取電子郵件數據。Mandiant還稱Barracuda上周要求用戶更換設備是出于謹慎的目的,因為它無法確保已完全刪除惡意軟件。


https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally

上一篇 下一篇