绿盟科技威胁周报(2024.01.22-2024.01.28)

一、威胁通告

1.GitLab任意文件写入漏洞通告(CVE-2024-0402)

【标签】CVE-2024-0402

【发布时间】2024-01-26 13:00:00 GMT

【概述】

近日,绿盟科技CERT监测到GitLab官方发布安全公告,修复了GitLab社区版(CE)和企业版(EE)中的一个任意文件写入漏洞(CVE-2024-0402),由于存在路径遍历问题,经过身份验证的攻击者在创建工作区时可将文件复制到 GitLab 服务器上的任意位置。CVSS评分为9.9,请相关用户尽快采取措施进行防护。

【参考链接】

    https://nti.nsfocus.com/threatNotice

 

2.年关将至,警惕以税务稽查名义的微信蠕虫钓鱼

【标签】钓鱼

【发布时间】2024-01-22 16:00:00 GMT

【概述】

近期,绿盟科技CERT陆续接到多个行业客户反馈遭受微信钓鱼攻击,具体表现为中招主机通过微信群自动群发传播税务相关主题的钓鱼链接,受害者起始认为是由于使用手机端APP浏览了未知网页,导致感染病毒,经分析排查,确认原因为受害者办公主机安装的微信PC客户端被远控木马劫持所致。此类事件影响较为广泛,请相关用户提高警惕进行防范。

【参考链接】

    https://nti.nsfocus.com/threatNotice

 

二、热点资讯

1.警惕!国内某Mac应用软件下载网站上隐藏着新的MacOS后门

【标签】MacOS

【概述】

Jamf威胁实验室在1月18日发布的博文中透露,他们检测到一系列盗版macOS应用程序,这些应用程序已被修改为可与攻击者基础设施进行通信。这些应用程序被托管在一个某CN域名的MAC盗版软件下载网站上,以吸引受害者。研究人员称恶意后门允许攻击者远程控制受感染的计算机。名为“.fseventsd”二进制文件与已知的恶意软件有一些相似之处,而且增加了一个新的隐秘保护,使其与众不同。恶意应用软件将在后台下载并执行多个有效负载,以秘密危害受害者的MASOS计算机。这一发现再次证明了macOS平台存在来自盗版应用程序的风险,而且攻击者使用放置在修改后的应用程序中的恶意库来危害用户的频率不断增加。macOS企业和用户不能再盲目迷信:所有Mac本质上都是安全的。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNXY

 

2.研究人员利用LLM聊天机器人破解其他聊天机器人

【标签】LLM

【概述】

新加坡南洋理工大学的计算机科学家们近日成功入侵了多个人工智能(AI)聊天机器人,包括ChatGPT、谷歌Bard和微软必应聊天机器人,生成了所谓的 “越狱”(即破解)内容。“越狱” 是计算机安全领域的一个术语,指计算机黑客发现并利用系统软件中的缺陷,让软件执行其开发者有意限制它执行的一些操作。此外,通过使用提示数据库训练大语言模型(LLM)——这些提示已经被证明可以成功破解这些聊天机器人。研究人员创建了一个LLM聊天机器人,能够自动生成进一步的提示以破解其他聊天机器人。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNYt

 

3.Androidmanifest文件加固和对抗

【标签】Androidmanifest

【概述】

恶意软件为了不让我们很容易反编译一个apk,会对androidmanifest文件进行魔改加固,本文探索androidmanifest加固的常见手法以及对抗方法。这里提供一个恶意样本的androidmanifest.xml文件,我们学完之后可以动手实践。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNXX

 

4.机密信息泄露频发,芯片公司的信息安全痛点如何解决?

【标签】数据泄露

【概述】

作为芯片开发中至关重要的环节,工具链的存在往往比较低调。因为一方面,其价值难以直接呈现在最终产品里,另一方面,其To B的性质也使得受众群体仅限于开发者。但实际上,工具链却是决定终端产品优劣的关键所在,毕竟它直接决定产品主控芯片的性能,还保护着系统的信息安全。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNZ1

 

5.微软承认遭黑客“偷家”,部分员工高管内部邮件外流

【标签】APT29

【概述】

微软近年来破获了不少针对自家Microsoft 365的钓鱼攻击行动,黑客主要利用脚本绕开验证批量注册黑产账号。不过当下微软自家内部邮件系统却遭到黑客“偷家”,部分高管内部邮件外流。微软承认自家在1月11日遭到黑客组织APT29攻击,黑客的目的是“通过内部邮件了解微软调查网络黑产的进度”。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNYC

 

6.德国程序员披露软件供应商安全问题结果被起诉罚款3000欧元

【标签】Modern Solution

【概述】

德国一家法院指控某程序员涉嫌黑客行为,并因为未经授权访问外部计算机系统和刺探数据而对其罚款3000欧元。据Heise发布的消息,这名程序员是个自由IT服务提供商 (自由职业者),最初他接到客户的任务是解决这家客户使用的商品管理软件生成太多日志的问题。接到任务后该程序员检查了软件,发现其与管理软件提供商Modern Solution GmbH的远程服务器建立了MySQL连接,于是这名程序员就连接了远程数据库进行分析,结果发现这个数据库包含Modern Solution近70万家客户的数据。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNYe

 

7.打击内部威胁是一项棘手但重要的工作

【标签】内部威胁

【概述】

外部威胁可能会对组织造成巨大损害,并且由恶意团体或个人实施,这些团体或个人通常需要使用各种技术来找到访问网络的方法。这可能包括利用漏洞、部署网络钓鱼或社会工程攻击、贿赂和勒索。发现内部威胁可能更具挑战性,原因很简单:内部人员已经对组织的网络、系统或其他资产拥有合法访问权限(无论是有限的还是完全的)。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNYX

 

8.网络犯罪分子在暗网上大规模泄露被盗的泰国PII数据

【标签】PII

【概述】

个人可识别信息(PII)是可以用来识别某人的任何数据。所有直接或间接与个人相关的信息都被视为PII,例如一个人的姓名、电子邮件地址、电话号码、银行账号和政府颁发的身份证号码等。如今,许多组织收集、存储和处理PIl。当这些收集的数据被破坏或泄露时,人们可能成为身份盗窃或其他攻击的受害者。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNYF

 

9.隐藏陷阱!黑客企图通过MacOS盗版应用程序掏空钱包

【标签】MacOS

【概述】

卡巴斯基实验室发现,新出现的恶意软件通过盗版应用程序进入macOS用户的计算机,并用受感染的版本替换他们的比特币钱包和Exodus钱包。该恶意软件的攻击对象为MacOS 13.6及以上版本,其利用用户输入计算机安全密码的时机获得用户密码,而当用户尝试打开已被恶意软件入侵的加密钱包时,则能够获取其私钥。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNYM

 

10.探幽寻秘,一网打尽—多版本银狐木马加密要素揭秘

【标签】银狐木马

【概述】

“银狐”木马,自2023年起在国内肆虐,其攻击范围广泛,波及众多企业。在黑产团伙中应用广泛,并且不同团伙采用的攻击手段各异,加载“银狐”的方式层出不穷,最终呈现的“银狐”木马版本也各有差异。观成安全研究团队收集分析了2023年以来披露的“银狐”样本,按照通信加密方式来分类,共发现了5个版本的“银狐”木马。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNZ3

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author