首頁 > 安全研究 > 安全通報 > 安全簡訊

Winter Vivern 通過 Roundcube 缺陷瞄準 80 多個組織

發布時間 2024-02-20
1. Winter Vivern 通過 Roundcube 缺陷瞄準 80 多個組織


2月19日,與白俄羅斯和俄羅斯利益一致的威脅行為者與一項新的網絡間諜活動有關,該活動可能利用 Roundcube 網絡郵件服務器中的跨站腳本 (XSS) 漏洞來針對 80 多個組織。據 Recorded Future 稱,這些實體主要位于格魯吉亞、波蘭和烏克蘭,該公司將這次入侵歸因于名為 Winter Vivern 的威脅行為者,該威脅者也被稱為 TA473 和 UAC0114。該網絡安全公司正在追蹤名為“威脅活動組織 70”(TAG-70) 的黑客組織。Recorded Future 發現的這場活動從 2023 年 10 月開始一直持續到本月中旬,目的是收集有關歐洲政治和軍事活動的情報。這些攻擊與 2023 年 3 月檢測到的針對烏茲別克斯坦政府郵件服務器的其他 TAG-70 活動重疊。Recorded Future表示,還發現了TAG-70針對伊朗駐俄羅斯和荷蘭大使館以及格魯吉亞駐瑞典大使館的證據。


https://thehackernews.com/2024/02/russian-linked-hackers-breach-80.html


2.伊朗黑客利用新的 BASICSTAR 后門瞄準中東政策專家


2月19日,名為 Charming Kitten 的伊朗裔威脅行為者通過創建一個虛假的網絡研討會門戶,通過名為BASICSTAR的新后門,與一系列針對中東政策專家的新攻擊有關。Charming Kitten,也稱為 APT35、CharmingCypress、Mint Sandstorm、TA453 和 Yellow Garuda,有著策劃各種社會工程活動的歷史,這些活動在其目標上撒下了廣泛的網絡,通常專門針對智庫、非政府組織和記者。該組織被評估為隸屬于伊朗伊斯蘭革命衛隊 (IRGC),在過去一年中還分發了其他幾個后門,例如PowerLess、BellaCiao、POWERSTAR(又名 GorjolEcho)和NokNok ,強調其繼續進行網絡攻擊的決心盡管公開曝光,但仍調整其策略和方法。2023 年 9 月至 10 月期間觀察到的網絡釣魚攻擊涉及 Charming Kitten 運營商冒充 Rasanah 國際伊朗研究所 (IIIS) 發起攻擊并與目標建立信任。攻擊鏈通常使用包含 LNK 文件的 RAR 存檔作為分發惡意軟件的起點,并通過消息敦促潛在目標參加有關他們感興趣的主題的虛假網絡研討會。已觀察到部署 BASICSTAR 和 KORKULOADER(一種 PowerShell 下載器腳本)的此類多階段感染序列。


https://thehackernews.com/2024/02/iranian-hackers-target-middle-east.html


3.黑客聲稱人力資源巨頭 Robert Half 數據泄露并出售敏感數據


2月18日,這些臭名昭著的黑客分別是 IntelBroker 和 Sanggiero,他們聲稱擁有 Robert Half 的大量數據,這些數據正在以門羅幣 (XMR) 加密貨幣的價格出售,售價為 20,000 美元。2022 年 6 月,全球人力資源和商業咨詢服務公司 Robert Half International Inc. 向緬因州總檢察長辦公室提交了數據泄露通知。通知稱,該公司遭遇數據泄露,黑客針對 1000 多名客戶,成功獲取了他們的姓名、地址、社會安全號碼和稅務信息。黑客還分享了據稱顯示被盜數據、Git 存儲庫和 AWS 相關系統設置的屏幕截圖。一張屏幕截圖似乎顯示了一份客戶列表,“帳戶名稱”下列出了公司,并附有全名、主要職能角色、頭銜和電話號碼。


https://www.hackread.com/hackers-claim-robert-half-data-breach/


4.Turla APT 使用TinyTurla-NG旨在竊取登錄憑據


2月19日,俄羅斯網絡間諜威脅組織“Turla APT 組織”被發現使用新的后門進行惡意操作。這個新的后門被稱為“TinyTurla-NG”(TTNG),它與之前披露的植入程序TinyTurla在編碼風格和功能實現方面有相似之處。然而,這個新的后門自 2023 年 12 月以來一直在傳播,目標是在俄羅斯入侵期間支持烏克蘭的波蘭非政府組織。此外,該后門還使用PowerShell 腳本進行滲透。他們的目標包括美國、歐盟、烏克蘭和亞洲。此外,該威脅行為者此前曾針對烏克蘭國防軍使用過 CAPIBAR 和 KAZUAR 惡意軟件系列。研究人員還是發現了三個不同的 TinyTurla-NG 樣本,其中最早的妥協是在 2023 年 12 月 18 日發現的,并且一直活躍到 2024 年 1 月 27 日。最新的活動使用基于 WordPress 的網站作為命令和控制 (C2) 端點TTNG后門。

https://gbhackers.com/turla-aptc-new-tool/


5.ESET 修復 WINDOWS 產品中的嚴重性本地權限升級漏洞


2月18日,ESET 解決了其 Windows 產品中的一個高嚴重性漏洞,編號為 CVE-2024-0353(CVSS 評分 7.8)。該漏洞是一個本地權限升級問題,由零日計劃 (ZDI) 提交給該公司。根據該通報,攻擊者可以濫用 ESET 的文件操作(由實時文件系統保護執行),在沒有適當權限的情況下刪除文件。由 Windows 操作系統上的實時文件系統保護功能執行的文件操作處理中的漏洞,可能允許能夠在目標系統上執行低特權代碼的攻擊者刪除 NT AUTHORITY\SYSTEM 下的任意文件,提升他們的特權。ESET 尚未發現利用此漏洞進行的野外攻擊活動。


https://securityaffairs.com/159280/breaking-news/eset-local-privilege-escalation-windows.html


6. SOLARWINDS 修復 ACCESS RIGHTS MANAGER 中的關鍵 RCE


2月19日,SolarWinds 解決了其訪問權限管理器 (ARM) 解決方案中的三個關鍵漏洞,其中包括兩個 RCE 錯誤。訪問權限管理器 (ARM) 是一款軟件解決方案,旨在幫助組織管理和監控其 IT 基礎設施內的訪問權限和權限。此類工具對于維護用戶對各種資源、系統和數據的訪問的安全性、合規性和高效管理至關重要。三個嚴重的遠程代碼執行缺陷是:CVE-2023-40057(CVSS 評分 9.0):不受信任數據的反序列化問題。經過身份驗證的用戶可以利用此漏洞濫用 SolarWinds 服務,從而導致遠程代碼執行。CVE-2024-23479(CVSS 評分 9.6):目錄遍歷遠程代碼執行漏洞。未經身份驗證的用戶可以利用此問題實現遠程代碼執行。CVE-2024-23476(CVSS 評分 9.6)目錄遍歷遠程代碼執行漏洞。如果被利用,未經身份驗證的用戶可以實現遠程執行代碼。


https://securityaffairs.com/159294/security/solarwinds-access-rights-manager-flaws.html

上一篇 下一篇