绿盟科技威胁周报(2023.11.06-2023.11.12)

一、热点资讯

1.高级红队之驱动通信隐藏技术

【概述】

上一章简单说了驱动在无签名时如何进行加载,但我们加载后还需要与三环建立通信。如果我们使用IO进行通信,在使用mapper加载后会蓝屏且很容易被发现。所以我们需要一些其他的手段进行通信:劫持通信.data ptr技术。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNAC

 

2.警惕!Python软件包索引资源库中存在BlazeStealer恶意软件

【标签】BlazeStealer

【概述】

Checkmarx 在与《 The Hacker News》共享的一份报告中提到, Python 软件包索引(PyPI)资源库中有一组新的恶意 Python 软件包。该软件包会入侵到开发者系统中窃取敏感信息。这些软件包伪装成了看似无害的混淆工具,但其实在其中隐藏着一个名为 BlazeStealer 的恶意软件。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNAw

 

3.Higaisa组织针对中国用户的网络钓鱼行动

【标签】Higaisa

【概述】

Cyble研究与情报实验室(CRIL)发现了一个新的APT攻击行动,其重点是通过模仿知名软件应用程序的网络钓鱼网站来引诱毫无戒心的受害者。在此次攻击行动中,攻击者将钓鱼网站伪装成专为中国用户定制的OpenVPN软件,并充当传播恶意负载的主机。执行后,安装程序会在系统上投放并运行基于Rust的恶意软件,随后触发Shellcode。Shellcode执行反调试和解密操作。然后,它与远程威胁攻击者建立加密的命令和控制(C&C)通信。该恶意软件的特征与Higaisa APT组织在过去的行动中使用的特征相似。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNzU

 

4.全球近50个国家签署倡议:承诺永不向网络犯罪团伙支付赎金

【概述】

在华盛顿特区举办的第三届国际反勒索软件倡议峰会上,近50个国家将签署有史以来首个联合反勒索软件倡议政策声明——其政府机构将停止向勒索软件团伙支付赎金。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNzm

 

5.研究人员发现Jupyter Infostealer新变种

【标签】Jupyter Infostealer

【概述】

Jupyter Infostealer(又称Yellow Cockatoo、Solarmarker、Polazert)是一种恶意软件,最早在2020年底被发现。研究人员近期发现了新一轮的Jupyter Infostealer攻击活动,并从中发现Jupyter Infostealer新变种。在过去的两周里,研究人员观察到Jupyter Infostealer感染数量逐渐增多,发现了26个感染案例。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNAo

 

6.俄罗斯沙虫黑客在2022年10月造成了停电

【标签】Sandworm

【概述】

Mandiant的研究人员表示,俄罗斯军事黑客于2022年10月在一次此前未公开的网络攻击中成功触发了乌克兰一个电网变电站的断路器。这次中断是由格鲁乌主要情报局(GRU Main Intelligence Directorate)一个俗称“沙虫”(Sandworm)的部门造成的,与此同时,乌克兰各地的关键基础设施遭到了大规模导弹袭击。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNAQ

 

7.刚披露就被利用,攻击者盯上了Apache ActiveMQ 漏洞

【标签】CVE-2023-46604, HelloKitty

【概述】

Apache 软件基金会 (ASF)于 10 月 27 日披露了一个被追踪为CVE-2023-46604的漏洞,允许有权访问 ActiveMQ 消息代理的远程攻击者在受影响的系统上执行任意命令。Rapid7 的研究人员报告称,在ASF 披露漏洞的同一天,就观察到了两个针对该漏洞的利用活动。Rapid7 托管检测和响应团队的研究人员在博客文章中表示,攻击者都试图在目标系统上部署勒索软件二进制文件,以勒索受害者。研究人员根据勒索信息和其他攻击属性,将恶意活动归因于 HelloKitty 勒索软件。至少从 2020 年起,HelloKitty 勒索软件活动就一直在蔓延。作为向受害者勒索赎金的额外手段,其运营人员倾向于进行双重勒索攻击,不仅加密数据,还窃取数据。Rapid7 威胁研究主管凯特琳·康登 (Caitlin Condon) 表示,该漏洞的利用代码已公开,研究人员已经确认了可利用性。Rapid7 观察到的威胁活动看起来像是自动利用,而且并不是特别复杂,因此建议企业组织迅速修补,以防止潜在的利用。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNz2

 

8.波音公司确认“网络事件”的影响,从 LockBit 赎金名单中离奇消失

【标签】LockBit

【概述】

波音公司已向媒体证实,由于 LockBit 勒索团伙先前声称发生的“网络事件”,部分运营受到了影响。这家公司及其LOGO从 LockBit 的官方受害者数据泄露页面上神秘消失。
周三晚间,波音发言人对《网络新闻》表示:“我们意识到网络事件影响了我们的零部件和分销业务。”周四凌晨,至少有一个与该业务相关的网站显示了一条消息,称该网站“因技术问题而停机”。目前尚不清楚此次中断是否与网络攻击有关。其他部分和配送站点似乎运行正常。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNyM

 

9.西门子、爱立信等企业示警,称欧盟网络安全严苛规则将扰乱供应链

【概述】

IT之家 11 月 7 日消息,据路透社,西门子、爱立信、施耐德电气以及行业组织 DigitalEurope 昨日联合发出警告,表示欧盟针对智能设备网络安全风险所提出的规则很有可能扰乱供应链,甚至可以造成类似新冠疫情期间的严重后果。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNzS

 

10.黑客肆虐,70 多座城市陷入黑暗!德国政府被勒索软件狂攻

【概述】

本周发生的勒索软件攻击已使德国西部多个城市和地区的地方政府服务陷入瘫痪。周一早些时候,一个未知的黑客组织对当地市政服务提供商Südwestfalen IT的服务器进行了加密。为了防止恶意软件传播,该公司限制了70多个城市的基础设施访问,主要是在德国西部的北莱茵-威斯特法伦州。该公司在一个临时网站上发布的声明中表示,此次袭击使当地政府服务“受到严重限制”,因为事件发生后,其主网站无法访问。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNyO

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author