首頁 > 安全研究 > 安全通報 > 安全簡訊

Bumblebee惡意軟件疑似卷土重來,新攻擊鏈被曝光

發布時間 2024-10-23
1. Bumblebee惡意軟件疑似卷土重來,新攻擊鏈被曝光


10月21日,Bumblebee惡意軟件在沉寂數月后,近期被網絡安全公司Netskope發現又有新活動跡象,可能預示著該病毒將卷土重來。Bumblebee是由TrickBot開發人員創作的,自2022年出現以來,便作為BazarLoader后門的替代品,為勒索軟件威脅行為者提供對受害者網絡的訪問權限。它通常通過網絡釣魚、惡意廣告和SEO投毒等方式感染,傳遞的有效載荷包括Cobalt Strike信標、竊取信息的惡意軟件以及各種勒索軟件。今年5月,歐洲刑警組織的“終局行動”查獲了多臺支持Bumblebee等惡意軟件加載程序操作的服務器,此后Bumblebee一度銷聲匿跡。然而,最新的Bumblebee攻擊鏈始于一封網絡釣魚電子郵件,誘騙受害者下載惡意ZIP存檔,隨后通過一系列操作在內存中部署Bumblebee。Netskope警告稱,這是對Bumblebee可能復蘇的早期跡象的警告,但并未提供有關其投放的有效載荷或攻擊規模的信息。


https://www.bleepingcomputer.com/news/security/bumblebee-malware-returns-after-recent-law-enforcement-disruption/


2. 數百萬用戶使用的E2EE云存儲平臺存在嚴重漏洞


10月20日,蘇黎世聯邦理工學院的研究人員Jonas Hofmann和Kien Tuong Turong發現,端到端加密(E2EE)云存儲平臺存在安全問題,可能會使用戶數據暴露給惡意行為者。他們分析了Sync、pCloud、Icedrive、Seafile和Tresorit等服務,這些服務共同被超過2200萬人使用,發現這些服務存在嚴重漏洞,包括允許惡意行為者注入文件、篡改數據或訪問用戶文件的實現。其中,Sync存在未認證的密鑰材料和缺乏公鑰認證的問題;pCloud的私鑰和公鑰也未認證,存在注入文件和操縱元數據等漏洞;Icedrive使用未認證的CBC加密,容易受到文件篡改攻擊;Seafile容易受到協議降級和密碼暴力破解的影響,同時文件名和位置也不安全;而Tresorit表現相對較好,但存在公鑰認證依賴服務器控制的證書和元數據易受篡改的問題。對于研究人員報告的問題,Sync已經迅速采取行動解決,并表示沒有證據表明漏洞已被利用。Tresorit則表示其設計和密碼學選擇使其系統基本上不受這些攻擊的影響,并致力于持續改進平臺安全。


https://www.bleepingcomputer.com/news/security/severe-flaws-in-e2ee-cloud-storage-platforms-used-by-millions/


3. 數百萬Android和iOS應用中發現AWS、Azure身份驗證密鑰


10月23日,賽門鐵克的軟件工程師發現,Google Play和Apple App Store上廣泛使用的移動應用程序中存在硬編碼和未加密的云服務憑證,這導致數百萬用戶面臨重大安全風險。這些憑證的暴露源于懶惰的編碼習慣,使得任何能夠訪問應用程序二進制文件或源代碼的人都能訪問后端基礎設施,進而可能竊取用戶數據。在賽門鐵克的研究中,多款熱門應用如Pic Stitch、Crumbl、Eureka、Videoshop、Meru Cabs、Sulekha Business、ReSound Tinnitus Relief以及Beltone Tinnitus Calmer和EatSleepRIDE摩托車GPS等均被發現存在此類問題。這些應用分別暴露了AWS、Azure和Twilio等云服務提供商的憑證,使得攻擊者能夠獲取生產憑證、訪問存儲桶、竊取數據并破壞后端基礎設施。建議用戶安裝第三方安全系統來阻止這些編碼錯誤造成的后果,并警惕應用程序所要求的權限,只安裝來自可信來源的應用。同時,開發人員也應編寫更好的代碼,使用旨在將敏感信息保存在安全位置的服務,并對所有內容進行加密和定期進行代碼審查及安全掃描。


https://www.theregister.com/2024/10/23/android_ios_security/


4. 三星零日漏洞CVE-2024-44068被積極利用


10月23日,三星移動處理器中發現了一個編號為CVE-2024-44068的零日漏洞,該漏洞在漏洞鏈中可被利用以執行任意代碼,其CVSS評分為8.1,屬于高危漏洞。該漏洞存在于三星Exynos 9820、9825、980、990、850和W920移動處理器及可穿戴處理器的m2m縮放驅動程序中,可能導致特權升級。該漏洞由谷歌研究員Xingyu Jin在今年早些時候報告,谷歌TAG研究員Clement Lecigne警告稱該漏洞已在野外存在。Jin和Lecigne指出,該零日漏洞是EoP(特權提升)鏈的一部分,攻擊者能夠通過特權相機服務器進程執行任意代碼,并將進程名稱重命名為“vendor.samsung.hardware.camera.provider@3.0-service”,可能是為了反取證目的。三星已在10月份的安全修復程序中對該漏洞進行了修補。


https://www.darkreading.com/endpoint-security/samsung-zero-day-vuln-under-active-exploit-google-warns


5. Latrodectus惡意軟件在金融、汽車與醫療領域肆虐


10月22日,Forcepoint的分析揭示,Latrodectus(又稱BlackWidow)惡意軟件正被網絡犯罪分子頻繁利用,尤其在金融、汽車和醫療保健領域。該下載程序首次發現于2023年10月,據傳由開發了IcedID(又名BokBot)的LunarSpider創建,且與WizardSpider有關聯。Latrodectus主要通過電子郵件附件傳播,附件偽裝成PDF或HTML格式,內含可導致感染的JavaScript。一旦成功安裝,將引發個人信息泄露、經濟損失及敏感信息外泄等后果。PDF和HTML的攻擊方式有所不同,前者利用JavaScript下載MSI安裝程序,后者則嘗試通過PowerShell直接安裝DLL。JavaScript中的惡意代碼被混淆,且包含大量垃圾注釋。PDF攻擊中,JavaScript會創建一個ActiveXObject并下載.msi文件,釋放惡意DLL后由rundll32.exe運行。HTML攻擊則顯示偽造的Windows彈出窗口,誘導用戶點擊“解決方案”按鈕,進而下載并執行Latrodectus。Forcepoint指出,攻擊者還利用URL縮短器重定向至知名的storage[.]googleapis[.]com托管惡意負載。


https://www.securityweek.com/latrodectus-malware-increasingly-used-by-cybercriminals/


6. CISA將ScienceLogic SL1漏洞列為已知被利用漏洞


10月22日,美國網絡安全和基礎設施安全局(CISA)已將ScienceLogic SL1的漏洞CVE-2024-9537(CVSS v4評分高達9.3)列入其已知被利用漏洞(KEV)目錄中。該漏洞與SL1中包含的未指定第三方組件相關,已在SL1版本12.1.3+、12.2.3+和12.3+中得到修復,并為10.1.x及之前版本提供了補丁。此前,云托管提供商Rackspace報告了其使用的ScienceLogic EM7監控工具存在安全問題,一名威脅行為者利用了與ScienceLogic應用程序捆綁的非Rackspace實用程序中的零日漏洞,導致低敏感度性能監控數據泄露。經Rackspace與ScienceLogic合作,已開發補丁并向所有客戶提供,同時通知了受影響的客戶。據ArticWolf發布的報告,該零日漏洞實為第三方實用程序中的遠程代碼執行漏洞,但ScienceLogic選擇不透露實用程序名稱。CISA已要求聯邦機構在2024年11月11日前修復此漏洞,并建議私人組織審查KEV目錄并解決其基礎設施中的相關漏洞。


https://securityaffairs.com/170104/security/u-s-cisa-adds-sciencelogic-sl1-flaw-to-its-known-exploited-vulnerabilities-catalog.html

上一篇 下一篇