首頁 > 安全研究 > 安全通報 > 安全簡訊

Google修復已被利用的Chrome漏洞CVE-2023-5217

發布時間 2023-09-28

1、Google修復已被利用的Chrome漏洞CVE-2023-5217


據媒體9月27日報道,Google發布緊急安全更新,修復了今年第5個被利用的Chrome漏洞(CVE-2023-5217)。該漏洞源于開源libvpx視頻編解碼器庫的VP8編碼中的堆緩沖區溢出漏洞,可能導致應用程序崩潰和任意代碼執行。Google TAG透露,該漏洞被利用來安裝間諜軟件。雖然Google稱,修復版本可能需要幾天或幾周才能覆蓋整個用戶群,但研究人員檢查更新時發現立即可用,而且瀏覽器還將自動檢查新更新并在下次啟動后自動安裝它們。


https://www.bleepingcomputer.com/news/security/google-fixes-fifth-actively-exploited-chrome-zero-day-of-2023/


2、加拿大Flair航空公司的數據庫已公開至少7個月


據9月26日報道,Cybernews發現加拿大Flair航空公司的數據庫和電子郵件地址的憑據已公開至少7個月。該事件泄露了Flyflair.com網站上托管的環境文件,該.env文件包含數據庫和電子郵件配置詳細信息。數據庫配置顯示,其中一個數據庫暴露在互聯網上,任何人都可能使用這些憑據來訪問存儲在該數據庫中的敏感信息。目前無法確定泄露數據是否已被利用,但公開的.env文件于2022年8月首次被發現并編入索引,這意味著它們在近7個月的時間里可以被訪問。


https://securityaffairs.com/151512/data-breach/canadian-flair-airlines-data-leak.html


3、英國公司KNP Logistics因6月遭到的攻擊宣告破產


9月27日稱,KNP Logistics在本周一宣布破產,并將原因歸結于6月份遭到的勒索攻擊。這是英國最大的私營物流公司之一。據其管理員稱,勒索攻擊影響了關鍵的系統、業務流程和財務,這對集團的財務狀況以及最終獲得額外投資和資金的能力產生了不利影響。該公司于6月份被添加到Akira團伙的網站列表中,Avast在7月份發布了Akira勒索軟件的解密器。目前尚不清楚KLP Logistics是否使用了解密器。


https://therecord.media/knp-logistics-ransomware-insolvency-uk


4、AtlasCross以紅十字會為誘餌分發后門惡意軟件


媒體9月26日稱,黑客團伙AtlasCross以美國紅十字會為誘餌攻擊目標,以分發后門惡意軟件。AtlassCross冒充來自美國紅十字會發送釣魚郵件,邀請收件人參加2023年9月的獻血活動。這些郵件包含啟用宏的Word文檔(.docm)附件,啟用后首先會在Windows設備上下載ZIP存檔,來分發KB4495667.pkg,這是DangerAds系統分析器和惡意軟件加載程序。最終,DangerAds會加載x64.dll,這是最終AtlasAgent木馬,也是此次攻擊中的最終payload。


https://www.bleepingcomputer.com/news/security/new-atlascross-hackers-use-american-red-cross-as-phishing-lure/


5、新惡意軟件ZenRAT通過假的Bitwarden安裝包傳播


Proofpoint在9月26日披露了新惡意軟件ZenRAT通過虛假密碼管理器Bitwarden安裝包進行分發的活動。該RAT主要針對Windows系統,旨在竊取信息。惡意安裝程序于7月28日首次在VirusTotal上報告,已經以兩個不同的名稱在接近的位置出現過兩次。安裝程序自稱是Piriform's Speccy,并假裝帶有Tim Kosse的簽名。目前,尚不清楚惡意軟件是如何傳播的。此外,僅當目標通過Windows主機訪問該惡意網站時,才會顯示虛假的Bitwarden安裝包。


https://www.proofpoint.com/us/blog/threat-insight/zenrat-malware-brings-more-chaos-calm


6、Group-IB發布關于ShadowSyndicate的分析報告


9月26日,Group-IB發布了關于ShadowSyndicate的分析報告。ShadowSyndicate在許多服務器上使用了相同的Secure Shell(SSH)指紋(截至目前有85個),至少52臺具有此SSH的服務器被用作Cobalt Strike C2框架。它自2022年7月16日開始一直活躍,與Quantum、Nokoyawa、BlackCat、Royal、Cl0p、Cactus和Play相關的勒索活動有關,同時還使用了“現成的”工具包,例如Cobalt Strike、Sliver、IcedID和Matanbuchus等。研究人員還發現了ShadowSyndicate的基礎設施和Cl0p/Truebot之間的聯系。


https://www.group-ib.com/blog/shadowsyndicate-raas/

上一篇 下一篇