首頁 > 安全研究 > 安全通報 > 安全簡訊

朝鮮Lazarus Group利用Chrome零日漏洞發起攻擊

發布時間 2024-10-28
1. 朝鮮Lazarus Group利用Chrome零日漏洞發起攻擊


10月24日,朝鮮黑客組織Lazarus Group被指利用Google Chrome的現已修補安全漏洞CVE-2024-4947進行零日攻擊,控制受感染設備??ò退够驹?024年5月發現了一條針對俄羅斯公民的攻擊鏈,攻擊通過虛假的加密貨幣領域游戲網站"detankzone[.]com"觸發漏洞。該網站偽裝成去中心化金融(DeFi)NFT的多人在線戰斗競技場(MOBA)坦克游戲,實則包含隱藏腳本,在用戶瀏覽器中運行漏洞,使攻擊者獲得對受害者PC的完全控制。此外,Lazarus Group還被懷疑竊取了一款合法區塊鏈邊玩邊賺(P2E)游戲的源代碼和貨幣,用于實現其攻擊目標??ò退够赋?,Lazarus是最活躍、最復雜的APT攻擊者之一,經濟利益是其主要動機,且其策略在不斷演變,利用生成式人工智能等新技術發起更復雜的攻擊。


https://thehackernews.com/2024/10/lazarus-group-exploits-google-chrome.html


2. Fortinet FortiManager RCE零日漏洞在野外被利用


10月24日,網絡安全公司Fortinet近日披露了其軟件產品FortiManager存在一個關鍵零日漏洞(CVE-2024-47575),該漏洞允許未經身份驗證的遠程攻擊者通過特制請求執行任意代碼或命令,且已在野外被積極利用。該漏洞的CVSS v3評分高達9.8,影響多個版本的FortiManager及FortiManager Cloud。Fortinet已發布補丁并提供了多種解決方法。據報告,該漏洞已被用于泄露敏感文件,包括IP地址、憑證和設備配置,但尚未發現惡意軟件或后門安裝。威脅組織UNC5820自2024年6月27日起就利用此漏洞,獲取了FortiGate設備配置數據,包括用戶加密密碼,可能用于進一步破壞和橫向移動。Mandiant無法確定攻擊者身份和目的,建議所有暴露在互聯網上的FortiManager組織立即進行取證調查。Fortinet敦促用戶立即升級至安全版本,并采取阻止未知設備注冊、使用自定義證書身份驗證等解決方法。


https://cybersecuritynews.com/fortimanager-zero-day-vulnerability/#google_vignette


3. Fog與Akira勒索軟件利用SonicWall VPN漏洞頻繁入侵企業網絡


10月27日,Fog和Akira勒索軟件運營商正越來越多地利用SonicWall VPN帳戶入侵企業網絡,關鍵漏洞CVE-2024-40766被認為是其入侵的主要通道。SonicWall于2024年8月下旬修復了該漏洞,但一周后便警告稱漏洞已被積極利用。北極狼安全研究人員發現,Akira勒索軟件附屬機構已利用該漏洞獲取初始訪問權限。據Arctic Wolf報告,Akira和Fog至少進行了30次入侵,均始于通過SonicWall VPN帳戶遠程訪問。其中,75%的案件與Akira有關,其余為Fog所為。這兩個組織似乎共享基礎設施,表明仍存在非正式合作。所有被攻破的端點都運行易受攻擊的未修補版本,且從入侵到數據加密的時間通常較短,最快僅需1.5-2小時。威脅行為者通過VPN/VPS訪問端點并混淆真實IP地址。受感染組織未啟用多因素身份驗證,也未在默認端口上運行服務。入侵過程中,觀察到特定消息事件ID表明遠程用戶登錄和IP分配成功。威脅行為者主要針對虛擬機及其備份發起快速加密攻擊,并竊取文檔和專有軟件,但不關注超過六個月或30個月的文件。


https://www.bleepingcomputer.com/news/security/fog-ransomware-targets-sonicwall-vpns-to-breach-corporate-networks/


4. BlackBasta勒索軟件行動利用Microsoft Teams進行社會工程攻擊


10月25日,BlackBasta勒索軟件行動自2022年4月以來一直活躍,對全球數百起企業攻擊負責。該組織通過漏洞、合作、惡意軟件僵尸網絡和社會工程學等多種方法破壞網絡。最近,BlackBasta的附屬機構將社會工程攻擊轉移到了Microsoft Teams上,他們冒充公司IT幫助臺聯系員工,協助解決垃圾郵件問題。攻擊者首先用電子郵件淹沒員工的收件箱,然后以外部用戶的身份通過Microsoft Teams聯系員工,這些帳戶是在Entra ID租戶下創建的,名稱看起來像是幫助臺。在聊天中,攻擊者發送二維碼或誘騙用戶安裝AnyDesk遠程支持工具或啟動Windows Quick Assist遠程控制和屏幕共享工具,以便遠程訪問用戶的公司設備。一旦連接,攻擊者會安裝各種有效載荷,如ScreenConnect、NetSupport Manager和Cobalt Strike,以持續遠程訪問用戶的公司設備,并橫向擴散到其他設備,同時提升權限、竊取數據,并最終部署勒索軟件加密器。ReliaQuest建議組織限制Microsoft Teams中來自外部用戶的通信,并啟用日志記錄以查找可疑聊天。


https://www.bleepingcomputer.com/news/security/black-basta-ransomware-poses-as-it-support-on-microsoft-teams-to-breach-networks/


5. 亞馬遜查封APT29黑客組織攻擊域名


10月25日,亞馬遜已查封俄羅斯APT29黑客組織用于政府和軍事組織針對性攻擊的域名。APT29,又稱“Cozy Bear”和“Midnight Blizzard”,與俄羅斯對外情報局有聯系,擅長使用網絡釣魚和惡意軟件竊取敏感信息。此次攻擊中,APT29通過偽裝成AWS域名的網絡釣魚頁面,誘騙目標相信并使用惡意遠程桌面協議連接文件,以竊取Windows憑證和數據。盡管亞馬遜澄清其云平臺并非直接目標,但仍立即啟動了查封冒充AWS域名的程序。APT29以高度復雜的攻擊聞名,針對全球政府、智庫和研究機構,且最近活動范圍廣泛,包括向更多目標發送網絡釣魚電子郵件。烏克蘭計算機應急反應小組也發布了相關警告,并建議采取多項措施減少攻擊面,如阻止“.rdp”文件、限制RDP連接等。APT29仍是俄羅斯最強大的網絡威脅之一,過去一年中曾入侵多個重要軟件供應商,并利用服務器漏洞入侵全球重要組織。


https://www.bleepingcomputer.com/news/security/amazon-seizes-domains-used-in-rogue-remote-desktop-campaign-to-steal-data/


6. RansomHub黑客組織聲稱對墨西哥13個機場運營商發起攻擊


10月26日,黑客組織RansomHub最近聲稱對墨西哥13個機場運營商Grupo Aeroportuario del Centro Norte(OMA)的網絡攻擊負責,并威脅如果不支付贖金,將泄露3TB被盜數據。OMA運營著墨西哥中部和北部地區的機場,今年已接待超1900萬名乘客。此次網絡事件迫使OMA轉向備用系統以維持運營,但顯示航班航站樓位置的屏幕仍無法使用。OMA表示正在與外部網絡安全專家合作調查事件范圍,并已逐步恢復某些服務,但對公司運營和財務狀況未造成重大不利影響。微軟本周指出,RansomHub仍是勒索軟件領域最活躍的威脅之一,多個其他威脅行為者也繼續使用其惡意軟件進行攻擊。


https://therecord.media/ransomhub-gang-behind-attack-mexican-airport-operator

上一篇 下一篇