首頁 > 安全研究 > 安全通報 > 安全簡訊

俄羅斯疑似利用NTLM新漏洞對烏克蘭發動網絡攻擊

發布時間 2024-11-15

1. 俄羅斯疑似利用NTLM新漏洞對烏克蘭發動網絡攻擊


11月14日,近日一個名為CVE-2024-43451的新安全漏洞影響了Windows NT LAN管理器(NTLM),該漏洞被疑似與俄羅斯有關的行為者利用為零日漏洞,對烏克蘭發動網絡攻擊。此漏洞被命名為NTLM哈希泄露欺騙漏洞,CVSS評分為6.5,可被用來竊取用戶的NTLMv2哈希。微軟已及時修補了該漏洞,并指出用戶與惡意文件進行最小交互都可能觸發漏洞。以色列網絡安全公司ClearSky發現,該漏洞已被用于傳播開源Spark RAT惡意軟件的攻擊鏈中,惡意文件托管在烏克蘭政府官方網站上。攻擊鏈涉及發送網絡釣魚電子郵件,提示收件人點擊陷阱URL下載包含惡意.URL文件的ZIP存檔。當受害者與URL文件交互時,就會觸發漏洞,導致下載其他有效負載,包括Spark RAT。烏克蘭計算機應急反應小組(CERT-UA)將此活動與可能的俄羅斯威脅行為者UAC-0194聯系起來,并警告稱,企業與遠程銀行系統協作的會計處于高風險區,資金可能在短時間內被盜。


https://thehackernews.com/2024/11/russian-hackers-exploit-new-ntlm-flaw.html


2. 哈馬斯關聯網絡組織WIRTE針對以色列實施破壞性攻擊


11月13日,據The Hack News報道,與哈馬斯有關聯的網絡攻擊者近期專門針對以色列實體進行破壞性攻擊。Check Point的分析指出,這些攻擊與一個名為WIRTE的組織有關,該組織自2018年8月以來一直活躍于中東地區,針對廣泛實體發動攻擊。WIRTE利用中東的地緣政治緊張局勢和戰亂,制作惡意RAR文檔部署Havoc后期開發框架,或利用類似的RAR文檔部署IronWind下載器。這些感染序列通過傳播帶有欺騙性的PDF文檔,使用合法的可執行文件側載帶有惡意軟件的DLL。在2024年10月針對以色列醫院和市政當局等多個組織的網絡釣魚活動中,甚至出現了冒充網絡安全公司ESET在以色列合作商發出的釣魚電子郵件,其中包含了新版本的SameCoin Wiper,該版本除了覆蓋文件外,還會修改受害者系統背景顯示哈馬斯軍事分支Al-Qassam Brigades的圖像。據稱,該攻擊組織的Windows加載程序樣本時間戳被更改為哈馬斯對以色列發動突然攻勢的日期,而初始訪問媒介則是冒充以色列國家網絡局的電子郵件。


https://thehackernews.com/2024/11/hamas-affiliated-wirte-employs-samecoin.html


3. Glove Stealer惡意軟件:可繞過Chrome App-Bound加密竊取Cookie


11月14日,Glove Stealer 是一款新的惡意軟件,能夠繞過 Google Chrome 的 App-Bound 加密,竊取瀏覽器 cookie。該惡意軟件由 Gen Digital 安全研究人員在調查網絡釣魚活動時首次發現,他們認為它相對簡單,可能處于早期開發階段。Glove Stealer 使用社會工程策略誘騙潛在受害者安裝,可以從 Firefox 和基于 Chromium 的瀏覽器(如 Chrome、Edge 等)中提取 cookie,以及竊取瀏覽器擴展程序中的加密貨幣錢包、2FA 會話令牌、密碼數據等敏感信息。此外,它還能從 280 個瀏覽器擴展和 80 多個本地應用程序中竊取數據。為了繞過 Chrome 的 App-Bound 加密,Glove Stealer 使用了一個支持模塊,利用 Chrome 的 IElevator Windows 服務來解密和檢索加密密鑰,但需要先獲得本地管理員權限。盡管這種方法在技術上相對基礎,但多個信息竊取惡意軟件操作已經能夠繞過新的安全功能,以竊取和解密 Google Chrome cookie。自谷歌 7 月份實施 App-Bound 加密以來,攻擊次數并未減少,反而有所增加,通過各種方式瞄準潛在受害者。


https://www.bleepingcomputer.com/news/security/new-glove-infostealer-malware-bypasses-google-chromes-cookie-encryption/


4. 瑞士網絡機構警示:假氣象郵件傳播惡意軟件盜取敏感信息


11月15日,瑞士聯邦網絡安全局(OFCS)13日發出警告,稱該國氣象機構的“假信件”被用來傳播惡意軟件。這些郵件聲稱提供一款新天氣應用程序MeteoSwiss,但包含一個二維碼,會重定向到欺詐者開發的惡意應用程序。掃描二維碼后,手機用戶會下載名為“Coper”和“Octo2”的惡意軟件,該程序試圖竊取包括電子銀行應用程序在內的383多個移動應用程序的登錄詳細信息。雖然使用現實世界的誘餌來感染惡意軟件的情況并不常見,但并非聞所未聞,微軟此前也曾遭遇類似事件。OFCS沒有透露受影響的人數,但表示假冒應用程序模仿了真正的“Alertswiss”應用程序,僅影響安卓手機。建議安裝了假冒應用程序的用戶將設備恢復出廠設置,并報告給OFCS。該機構已經開始實施保護措施。


https://therecord.media/malware-delivered-by-mail-swiss-cyber-agency


5. 匈牙利國防采購機構遭國際黑客組織攻擊


11月15日,匈牙利國防采購機構(VBü)近日遭到名為INC Ransomware或INC Ransom的國際網絡犯罪組織的攻擊。該組織聲稱可以訪問VBü的數據,并在暗網門戶網站上發布了示例截圖。匈牙利國防部拒絕透露可能的信息泄露情況,但確認調查正在進行中,并強調VBü不存儲敏感的軍事數據。然而,總理維克托·歐爾班的幕僚長將此次襲擊歸咎于敵對的外國非國家黑客組織,指出可能被訪問的最敏感數據包括有關軍事采購的計劃和數據。據報道,黑客入侵了該機構的服務器,下載并加密了所有文件,并發布了包含匈牙利軍隊空中和陸地能力數據的文件截圖,以及標有“非公開”的文件,并索要500萬美元贖金。匈牙利官員未就是否與黑客談判發表評論。


https://therecord.media/hungary-defense-procurement-agency-hacked


6. Microsoft Power Pages配置錯誤致700萬條記錄暴露


11月14日,研究人員發現,Microsoft Power Pages這一低代碼工具存在多個配置錯誤實現的問題,可能導致機密數據被無意訪問。Power Pages被廣泛應用于政府、教育和私人組織等領域,但在一些安裝中,配置錯誤導致約700萬條記錄暴露。問題源于用戶對配置的理解不足,而非微軟產品本身的問題。微軟在潛在配置問題時會發出警告,但無法確保用戶作出反應?,F代技術使得門戶構建相對容易,但安全性和維護仍然復雜,導致實施和維護之間不匹配,超出相關公司能力范圍的初始或新出現的錯誤配置。開發團隊和安全團隊之間的孤立關系也加劇了這一問題。AppOmni發現的問題已向受影響公司報告并得到修復,但持續存在的錯誤配置問題仍需解決?,F代低代碼技術使得缺乏專業知識的用戶能夠開發復雜的解決方案,因此問題可能會持續存在。AppOmni建議使用能夠檢測錯誤配置的系統進行持續監控。


https://www.securityweek.com/low-code-high-risk-millions-of-records-exposed-via-misconfigured-microsoft-power-pages/

上一篇 下一篇