一、威胁通告
1.Apache Struts任意文件上传漏洞S2-067(CVE-2024-53677)通告
【标签】CVE-2024-53677
【发布时间】2024-12-12 16:00:00 GMT
【概述】
近日,绿盟科技CERT监测到Apache发布安全公告,修复了Apache Struts任意文件上传漏洞S2-067(CVE-2024-53677)。由于文件上传功能存在逻辑缺陷,未经身份验证的攻击者可以通过控制文件上传参数进行路径遍历,从而通过上传恶意文件来实现远程代码执行。CVSS评分9.5,请相关用户尽快采取措施进行防护。
【参考链接】
https://nti.nsfocus.com/threatNotice
2.微软12月安全更新多个产品高危漏洞通告
【标签】CVE-2024-49138,CVE-2024-49112,CVE-2024-49126
【发布时间】2024-12-12 16:00:00 GMT
【概述】
12月11日,绿盟科技CERT监测到微软发布12月安全更新补丁,修复了72个安全问题,涉及Windows、Windows LDAP、Microsoft Office、Windows Remote Desktop Services、Microsoft SharePoint等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类型。
【参考链接】
https://nti.nsfocus.com/threatNotice
二、热点资讯
1.DroidBot:新型安卓木马,针对银行、加密货币交易所等金融机构
【标签】DroidBot
【概述】
Cleafy威胁情报和响应(TIR)团队最新揭露了DroidBot,一种复杂的Android远程访问木马(RAT),与土耳其恶意软件即服务(MaaS)操作有关。DroidBot具有先进的功能,正在进行针对欧洲银行机构、加密货币交易所和国家组织的积极活动,移动恶意软件威胁显著升级。DroidBot于2024年6月首次被发现,它结合了高级功能,包括隐藏的VNC、覆盖攻击和类似间谍软件的键盘记录,使其成为设备欺诈的强大工具。
【参考链接】
https://ti.nsfocus.com/security-news/79vRoF
2.云安全的噩梦:BadRAM攻击
【标签】BadRAM
【概述】
在黑客圈中,有一个广为流传的说法:“一旦攻击者获得了设备的物理访问权限,任何安全措施都是摆设。”这一观点在传统计算环境下站得住脚。因为无论是手机、计算机还是其他设备,只要攻击者能够物理操控硬件,成功破解或入侵只是时间问题。在云计算时代,随着本地硬件的消失,对物理访问攻击的恐惧似乎烟消云散了。如今,世界上最敏感的数据——例如健康记录、金融账户信息和机密法律文件等,往往存储在距离数据所有者千里之外的云服务器中。
【参考链接】
https://ti.nsfocus.com/security-news/79vRpu
3.黑客利用MOONSHINE漏洞和DarkNimbus后门攻击
【标签】MOONSHINE
【概述】
趋势科技在一篇分析报告中表示:“Earth Minotaur使用MOONSHINE将DarkNimbus后门传送到Android和Windows设备,使其成为跨平台威胁。”“MOONSHINE利用基于Chromium的浏览器和应用程序中的多个已知漏洞,要求用户定期更新软件以防止攻击。”Earth Minotaur攻击的目标分布在澳大利亚、比利时、加拿大、法国、德国、印度、意大利、日本、尼泊尔、荷兰、挪威、俄罗斯、西班牙、瑞士、土耳其和美国。
【参考链接】
https://ti.nsfocus.com/security-news/79vRo8
4.Mandiant称,5000万美元加密货币盗窃案与朝鲜黑客有关
【标签】CitrineSleet
【概述】
朝鲜APT组织是10月16日通过网络攻击侵入其系统并导致5000万美元加密货币被盗的幕后黑手。在Mandiant网络安全专家的协助下,对该事件进行了调查,并最终确定了攻击原因,他们表示,此次攻击是由朝鲜黑客组织CitrineSleet(又名“UNC4736”和“AppleJeus”)发起的。
【参考链接】
https://ti.nsfocus.com/security-news/79vRpw
5.俄罗斯APT组织打击乌克兰国防企业
【标签】俄乌冲突
【概述】
根据一份新的报告,疑似俄罗斯的APT组织正在对乌克兰的军事和国防企业发动新的间谍活动。乌克兰军事计算机应急响应团队(MIL.CERT-UA)追踪到该活动的威胁行为者,代号为UAC-0185 。该组织通过伪装成邀请函的钓鱼邮件,诱骗人们参加上周在基辅举行的一场合法国防会议。
【参考链接】
https://ti.nsfocus.com/security-news/79vRpv
6.RedLine恶意软件利用盗版应用窃取企业信息
【标签】RedLine
【概述】
卡巴斯基发现,一项仍在持续的攻击行为正利用盗版软件传播RedLine数据窃取程序,目标是一些俄国企业。报告表明,该攻击活动开始于2024年1月,通过俄罗斯一些在线论坛向目标发送了包含RedLine数据窃取程序的HPDxLIB激活工具,该工具主要用来激活一些商业软件。
【参考链接】
https://ti.nsfocus.com/security-news/79vRps
7.黑客利用Visual Studio Code远程隧道进行网络间谍活动
【标签】DigitalEye
【概述】
一个网络间谍组织被指控对南欧大型B2BIT服务提供商发动攻击,这是代号为“DigitalEye(数字眼行动)”的行动的一部分。网络安全公司SentinelOne、SentinelLabs和TinextaCyber在一份联合报告中表示,入侵行为发生在2024年6月下旬至7月中旬,并补充说这些活动在进入数据泄露阶段之前就被发现并消除了。
【参考链接】
https://ti.nsfocus.com/security-news/79vRpT
8.Windows远程桌面服务漏洞允许攻击者执行远程代码
【标签】CVE-2024-49115
【概述】
2024年12月10日,微软披露了Windows远程桌面服务中的一个严重漏洞,能够让攻击者在受影响的系统上执行远程代码,从而对系统机密性、完整性和可用性构成严重威胁。该漏洞被跟踪为CVE-2024-49115,CVSS评分为8.1,由昆仑实验室的研究员k0shl发现。漏洞影响Windows Server的多个版本,包括Windows Server 2016、Windows Server 2019、Windows Server 2022和Windows Server 2025。
【参考链接】
https://ti.nsfocus.com/security-news/79vRpX
9.研究人员发现名为SpectralBlur的macOS后门
【标签】SpectralBlur
【概述】
近日,安全研究员Greg Lesnewich发现了一个名为SpectralBlur的后门,该后门针对的是Apple macOS。该后门与恶意软件家族KANDYKORN(又名 SockRacket)有相似之处,后者归因于与朝鲜有关的Lazarus子组织BlueNoroff(又名TA444)。KandyKorn是一种先进的植入物,具有多种监控、交互和避免检测的功能。它利用反射加载,这是一种可以绕过检测的直接内存执行形式。
【参考链接】
https://ti.nsfocus.com/security-news/79vRpx
10.最新发现绕过浏览器隔离技术的攻击方法
【标签】网络攻击
【概述】
在网络安全领域,浏览器隔离技术一直被视为对抗网络钓鱼和基于浏览器的攻击的有效手段。然而,根据Mandiant的最新研究,攻击者已经找到了一种利用QR码绕过浏览器隔离的攻击方法,从而能够从远程服务器向受害设备发送恶意数据。浏览器隔离技术是一种先进的网络安全解决方案,其核心目的是在用户设备与互联网之间的潜在威胁之间建立一道隔离屏障。
【参考链接】