绿盟科技威胁周报(2024.06.17-2024.06.23)

一、威胁通告

  1. VMware vCenter Server多个高危漏洞(CVE-2024-37079/CVE-2024-37080/CVE-2024-37081)通告

【标签】CVE-2024-37079,CVE-2024-37080,CVE-2024-37081

【发布时间】2024-06-19 17:00:00 GMT

【概述】

近日,绿盟科技CERT监测到VMware发布安全公告,修复了VMware vCenter Server中的堆溢出漏洞(CVE-2024-37079/CVE-2024-37080)与权限提升漏洞(CVE-2024-37081),目前官方已更新版本修复,请相关用户采取措施进行防护。

【参考链接】

    https://nti.nsfocus.com/threatNotice

二、热点资讯

1.诈骗团伙利用CNN域名在谷歌上投放诈骗广告,用户确实应该使用广告屏蔽软件

【标签】CNN

【概述】

2023年10月有黑客利用Punycode转码域名在谷歌搜索上投放密码管理器KeePass广告,诱导用户下载携带病毒的版本实时攻击并窃取数据,对专业人士来说很容易发现这是钓鱼网站,但谷歌搜索的广告审核人员并未发现。一方面这涉及到广告营收问题,另一方面就是谷歌没有对广告进行严格的事后审核,因此在广告通过后黑客就可以将网站内容替换为恶意内容。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOsm

 

2.如何避免多重身份验证代码被盗取

【标签】钓鱼网站

【概述】

用户被诱骗到伪装成他们通常使用的网站(例如银行、电子邮件或社交媒体帐户)的钓鱼网站。一旦用户在虚假网站上输入登录信息,网络犯罪分子就会在用户不知情的情况下将这些信息重定向到实际网站。然后提示用户进行MFA步骤,他们通常通过输入代码或接受推送通知来完成此操作,然后将此信息传递给犯罪分子,允许他们登录网站。一旦犯罪分子进入账户,他们就可以开始更改账户的电子邮件地址、电话号码和密码等设置,这样用户就无法再登录,或者他们可以简单地清空银行账户。这可能有助于您理解为什么许多平台在您尝试更改这些重要设置之一时会再次要求您输入PIN或其他身份验证。受害者通过社交媒体或电子邮件中的链接被引诱到此类钓鱼网站,在这些网站上很难识别真正的链接。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOsp

 

3.FBI称已获取暗网勒索软件团伙LockBit的7000个解密密钥,但LockBit依旧在发布受害者数据

【标签】LockBit

【概述】

尽管采取了大量执法行动,但基于LockBit的恶意软件仍在继续传播。研究人员还观察到该组织发起了新的LockBit攻击并发布了新的加密程序。自执法行动以来,LockBit同伙还发布了之前和之后从受害者那里窃取的大量数据。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOs1

 

4.披露11起重大事件!美国政府发布2023网络安全年报

【标签】政府

【概述】

美国联邦政府各机构2023年累计上报3万余起事件,数量同比增长10%。有消息称,根据白宫最新发布的报告,2023年,美国联邦机构报告的网络安全事件数量高达32211起,同比增长9.9%。该报告还披露了美国政府遭受的最严重事件的细节。在所有事件中,大多数(38%)被归类为“不当使用”,即系统被以违反机构可接受使用政策的方式使用。报告指出,机构有能力检测到安全政策被违反的情况,但无法阻止其实际发生。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOsy

 

5.Anatsa银行木马被下载超过数万次

【标签】Anatsa

【概述】

最近,研究人员发现Anatsa银行木马的传播有所抬头。这种复杂的恶意软件欺骗受害者在不知不觉中安装后,通过全球的金融应用程序来窃取敏感凭据和财务信息。攻击者通过多种技术拦截和收集数据。Anatsa是已知的安卓银行木马,针对全球超过650各金融机构的应用程序进行窃密,主要受害者都在欧洲。原来主要针对美国和英国的银行应用程序,后续进一步将攻击目标扩大到德国、西班牙、芬兰、韩国与新加坡的银行应用程序Anatsa银行木马在安装时看起来人畜无害,但安装后应用程序会从C&C服务器下载恶意Payload,以更新的名义进入受害者的手机。这种方式使得恶意软件可以绕过安全检测,堂而皇之地上传到Google Play供用户下载。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOrH

 

6.新型TIKTAG攻击曝光,专门针对谷歌浏览器和Linux系统

【标签】TIKTAG

【概述】

近日,来自三星、首尔国立大学和佐治亚理工学院的韩国研究团队的研究人员发现一种以ARM的内存标记扩展(MTE)为目标的,名为”TIKTAG”的新型攻击,黑客可利用这种方式绕过安全防护功能,这种攻击专门针对谷歌浏览器和Linux内核的攻击,导致数据泄露几率超过95%。MTE是ARM v8.5-A架构(及更高版本)新增的一项功能,旨在检测和防止内存损坏。系统采用低开销标签技术,为16字节内存块分配4位标签,确保指针中的标签与访问的内存区域相匹配,从而防止内存损坏攻击。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOso

 

7.华硕修复七款路由器中的9.8分身份验证绕过漏洞

【标签】CVE-2024-3080

【概述】

上周,华硕公司发布了最新的固件补丁,以解决影响多款路由器型号的严重远程身份验证绕过漏洞——该漏洞(CVE-2024-3080,CVSS评分9.8/10.0)允许远程攻击者在未经身份验证的情况下登录设备。华硕建议用户将设备更新到其下载门户上提供的最新固件版本。无法立即更新固件的用户,建议确保其账户和WiFi密码足够强大(使用至少10个字符,并混合使用大写字母、数字和符号)。此外,建议禁用任何可从互联网访问的服务,例如WAN远程访问、端口转发、DDNS、VPN服务器、DMZ等。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOts

 

8.蓝宝石狼人黑客监视俄罗斯教育、国防和航空航天工业

【标签】蓝宝石狼人

【概述】

研究人员发现,一个名为“蓝宝石狼人”的黑客组织在过去三个月内利用紫水晶信息窃取程序攻击了300多家俄罗斯公司。该组织的目标包括俄罗斯的教育、制造业、科技、国防和航空航天工程行业。目前尚不清楚该组织背后的组织者是谁,以及该组织是否受到政府支持或出于经济动机。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOrP

 

9.头部旅游类App乱象:未经允许收集数据,索取手机权限

【标签】Booking

【概述】

据CyberNews独家研究的消息,无论是Booking、Airbnb、希尔顿还是丽笙,这些市场上Top级别的酒店或旅行类相关应用程序都会不同程度地尝试在未询问的情况下获取用户敏感权限及数据。CyberNews称,这些应用都会获知用户的位置信息,但是包括Booking在内大约一半的应用并不会告知用户它们正在收集这一数据,某些应用还会简单地读取用户短信、访问摄像头和麦克风、读取设备中的其他文件,甚至代表用户拨打电话。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOrz

 

10.GTFOcli:一款基于二进制搜索命令的错误配置系统评估工具

【标签】GTFOcli

【概述】

GTFOcli是一款功能强大的命令行接口工具,该工具提供了简化的二进制搜索命令,可以帮助广大安全研究人员检测包含错误配置的目标系统,并执行绕过测试以对其进行安全评估。由于该工具基于Go语言开发,因此在使用该工具之前,我们需要在本地设备上安装并配置好最新版本的Go语言环境。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOsP

Spread the word. Share this post!

Meet The Author