绿盟威胁情报月报-2024年7月
2024-9-13 17:37:28 Author: blog.nsfocus.net(查看原文) 阅读量:6 收藏

阅读: 2

7月,绿盟科技威胁情报中心(NTI)发布了多个漏洞和威胁事件通告,包含OpenSSH远程代码执行漏洞(CVE-2024-6387)通告、GeoServer与GeoTools远程代码执行漏洞(CVE-2024-36401/CVE-2024-36404)通告、GitLab身份验证绕过漏洞(CVE-2024-6385)通告、JumpServer文件读取与文件上传漏洞(CVE-2024-40628/CVE-2024-40629)通告、Nacos远程命令执行漏洞通告等。

绿盟科技CERT监测到微软发布7月安全更新补丁,修复了139个安全问题,涉及Windows、Microsoft SQL Server、Microsoft Office、Azure等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类型。

本月的威胁事件中包含,影响大量路由器,Juniper Networks曝最严重的“身份验证”漏洞、微软向更多客户发出警告,称“Midnight Blizzard”黑客活动导致电子邮件被盗和Scattered Spider黑客组织将重点转向云应用程序以窃取数据等事件

以上所有漏洞情报和威胁事件情报、攻击组织情报,以及关联的IOC,均可在绿盟威胁情报中心获取,网址:https://nti.nsfocus.com/

一、 威胁事件

  1. 影响大量路由器,Juniper Networks曝最严重的“身份验证”漏洞

【标签】CVE-2024-2973

【时间】2024-07-02

【简介】

近日,Juniper Networks被曝存在一个极其严重的“身份验证”漏洞,对Session Smart 路由器(SSR)、Session Smart Conductor和WAN Assurance 路由器等产品造成比较明显的影响。目前,Juniper已紧急发布了相应的漏洞补丁,用户可及时进行系统更新。该漏洞编号为CVE-2024-2973,攻击者可利用该漏洞完全控制设备。简单来说,JuniperSession Smart路由器、Session Smart Conductor在运行冗余对等设备时,存在使用替代路径或通道绕过身份验证的漏洞,从而使得攻击者可以有效绕过身份验证,并对设备具有高控制度。

【参考链接】

https://www.freebuf.com/news/404900.html

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  1. 黑客利用D-Link DIR-859路由器严重漏洞窃取密码,必须更换设备避免受害

【标签】CVE-2024-0769

【时间】2024-07-02

【简介】

尽管D-Link DIR-859 WiFi路由器型号已到达使用寿命(EoL)并且不再接收任何更新,但该供应商仍然发布了安全公告 ,解释称该漏洞存在于设备的“fatlady.php”文件中,影响所有固件版本,并允许攻击者泄露会话数据,实现权限提升,并通过管理面板获得完全控制权。D-Link预计不会发布针对CVE-2024-0769的修复补丁,因此该设备的所有者应尽快切换到受支持的设备。

【参考链接】

https://mp.weixin.qq.com/s/p-urHN8ueAHAZ4wpcvWyLg

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  1. 微软向更多客户发出警告,称“Midnight Blizzard”黑客活动导致电子邮件被盗

【标签】Midnight Blizzard

【时间】2024-07-02

【简介】

微软警告称,与俄罗斯有关的网络间谍组织Midnight Blizzard(午夜暴雪)继续以微软用户为目标窃取其他电子邮件。继微软公司基础设施遭到入侵后,该公司正在确定更多遭午夜暴雪黑客攻击的客户。今年1月,微软警告称,其部分公司电子邮件账户遭到与俄罗斯有关的网络间谍组织“午夜暴雪”的攻击。该公司已通知执法部门和相关监管机构。

【参考链接】

Russia-linked Midnight Blizzard stole email of more Microsoft customers

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  1. Scattered Spider黑客组织将重点转向云应用程序以窃取数据

【标签】Scattered Spider

【时间】2024-07-01

【简介】

Scattered Spider是指一群经常使用相同Telegram频道、黑客论坛和Discord服务器的网络犯罪分子。虽然有报道称Scattered Spider是一个有特定成员的有组织团伙,但该组织实际上是一个由讲英语(不一定来自英语国家)的个人组成的松散集体,他们共同合作进行入侵、窃取数据并勒索目标。

【参考链接】

https://mp.weixin.qq.com/s?__biz=MzUzNDYxOTA1NA==&mid=2247545600&idx=1&sn=f9468409e875a86da0599d2354af9b8f&chksm=fa9385c1cde40cd77c4080e69324af4143718b399a03c597c44f4f24f5d101602a9e88a57ba6&scene=58&subscene=0#rd

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  1. 曾针对七国安卓用户发起攻击,Medusa银行木马变种“卷土重来”

【标签】Medusa

【时间】2024-07-01

【简介】

近日,Cleafy公司的威胁情报团队发现,专门针对安卓系统的Medusa银行木马软件再次“卷土重来”。该软件此前曾对法国、意大利、美国、加拿大、西班牙、英国和土耳其发起过攻击活动,沉寂了一年后,如今又出现了新的Medusa恶意软件变种。Medusa银行木马也被称为TangleBot,是2020年发现的一种安卓恶意软件即服务(MaaS)操作。该恶意软件提供键盘记录、屏幕控制和短信操作功能。

【参考链接】

https://mp.weixin.qq.com/s?__biz=MzIzMzE4NDU1OQ==&mid=2652062245&idx=4&sn=0f8aa104ba800547d9231a339fafcac9&chksm=f36e6e65c419e77334d70adc68098797438a5fe488a755ea3d29d7c549f9b792984ede0c4a7c&scene=58&subscene=0#rd

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  1. Microsoft MSHTML漏洞被利用来传播MerkSpy间谍软件工具

【标签】MerkSpy

【时间】2024-07-05

【简介】

据观察,未知黑客组织利用Microsoft MSHTML中现已修补的安全漏洞传播名为MerkSpy的间谍软件监视工具,主要针对加拿大、印度、波兰和美国目标。Fortinet FortiGuard Labs研究员Cara Lin在上周发布的一份报告中表示:“MerkSpy旨在秘密监视用户活动,获取敏感信息并在受感染系统上建立持久性。”攻击链的起点是一个Microsoft Word文档,其中表面上包含软件工程师职位的描述。

【参考链接】

https://thehackernews.com/2024/07/microsoft-mshtml-flaw-exploited-to.html

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  1. 新型APT组织CloudSorcerer瞄准俄罗斯政府

【标签】CloudSorcerer

【时间】2024-07-10

【简介】

卡巴斯基于2024年5月发现了这一活动,攻击者采用的技术与CloudWizard相似,但指出了恶意软件源代码的不同之处,称这是一种复杂的网络间谍工具,通过Microsoft Graph、Yandex Cloud和Dropbox云基础设施进行隐形监控、数据收集和泄露。该恶意软件利用云资源作为其命令和控制(C2)服务器,通过使用身份验证令牌的API访问这些资源。 此外,CloudSorcerer还使用GitHub作为其初始C2服务器。目前尚不清楚用于渗透目标的确切方法,但初始访问被用来投放基于C语言的便携式可执行程序二进制文件,该二进制文件可用作后门、启动C2通信,或根据其执行的进程向其他合法进程注入shellcode。

【参考链接】

https://thehackernews.com/2024/07/new-apt-group-cloudsorcerer-targets.html

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  1. Snowblind滥用Android seccomp沙盒绕过安全机制

【标签】Snowblind

【时间】2024-07-09

【简介】

安全研究人员最近发现了一种名为Snowblind的新型Android银行木马,它利用了Linux内核特性seccomp,这一特性是传统上用于安全防护的。Snowblind安装了一个seccomp过滤器,用于拦截系统调用并绕过应用程序中的反篡改机制,即使这些应用程序具有强大的混淆和完整性检查。这种新的攻击向量使得该恶意软件能够窃取登录凭据、绕过双因素认证,并窃取数据,功能非常强大。有人认为这种技术有潜力以多种方式被利用来攻击应用程序。

【参考链接】

Snowblind Abuses Android seccomp Sandbox To Bypass Security Mechanisms

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  1. 电梯SCADA系统成为跳板!黑客组织Lifting Zmiy通过电梯管理服务器攻击俄罗斯IT公司

【标签】Lifting Zmiy

【时间】2024-07-11

【简介】

黑客通过入侵电梯系统攻击IT公司,为这些公司赢得了“电梯”的绰号。他们并没有破坏电梯本身的控制,尽管理论上他们可以这样做。俄罗斯公司Tekon-Avtomatika,专业开发电梯自动化管理和调度系统,于2024年7月8日遭受了东欧黑客组织Lifting Zmiy的网络攻击。攻击者利用SCADA系统中控制器的安全漏洞,将服务器放置在被黑设备上,进而对其他目标发起攻击。尽管黑客没有直接影响电梯运行,但暴露了潜在的安全风险。受影响的组织包括政府部门、IT公司和电信企业等。Solar 4RAYS Group的专家Dmitry Marichev指出,黑客主要目的是使检测其活动变得复杂。此前在2022年,Tekon-Avtomatika系统的漏洞已被发现,制造商虽采取措施提高安全性,但一些用户未更新设备安全设置,留下了安全隐患。专家建议相关组织加强IT基础设施安全,包括更新密码策略和引入双因素身份验证。

【参考链接】

https://mp.weixin.qq.com/s?__biz=MzkyMzAwMDEyNg==&mid=2247544795&idx=2&sn=a0670328e482f4f4925d1f6c5df833c7&chksm=c1e9a38af69e2a9c79bd85c090443a25f5b28d3aa41e42fd146fbcf45f498d739541c5999644&scene=58&subscene=0#rd

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  1. FIN7黑客组织在暗网上大肆推广反EDR系统工具

【标签】FIN7

【时间】2024-07-19

【简介】

据观察,近日有名为FIN7的威胁行为者在多个地下论坛上使用虚假用户名大肆宣传安全绕过工具,这些工具都曾被Black Basta等勒索软件组织使用过。AvNeutralizer(又名AuKill)是FIN7开发的一种高度专业化的工具,用于篡改安全解决方案,已在地下犯罪组织中进行销售,并被多个勒索软件组织使用。

【参考链接】

https://thehackernews.com/2024/07/fin7-group-advertises-security.html

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  1. CISA警告GeoServer GeoTools软件中存在被积极利用的RCE漏洞

【标签】CVE-2024-36401

【时间】2024-07-22

【简介】

CISA警告称,GeoServer GeoTools的一个严重远程代码执行漏洞(CVE-2024-36401)正在被攻击积极利用。GeoServer是一个用Java编写的开源软件服务器,允许用户共享和编辑地理空间数据。6月30日,GeoServer披露了这一漏洞,其严重性评级为9.8。该漏洞是由于不安全地将属性名称评估为XPath表达式所致。

【参考链接】

https://hackernews.cc/archives/53856

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  1. Cisco曝超严重漏洞,黑客可修改管理员密码

【标签】CVE-2024-20419

【时间】2024-07-19

【简介】

近日,思科公司披露了其智能软件管理器本地版(SSM On-Prem)中的一个关键漏洞,该漏洞允许未经身份验证的远程攻击者更改任何用户的密码,包括管理员用户的密码。这个漏洞被追踪为CVE-2024-20419,其严重程度评分为10分。据悉,该漏洞是由于思科SSM On-Prem认证系统中密码更改过程执行不当造成的。攻击者可以通过向受影响的设备发送特制的HTTP请求来利用这个漏洞。成功利用将允许攻击者以受影响用户的权限访问Web UI或API,从而在未经授权的情况下对设备进行管理控制。

【参考链接】

Cisco Smart Software Manager Flaw Let Attackers Change Any User Passwords

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  1. X-Files窃取程序攻击Windows用户进行密码窃取

【标签】XFiles Stealer

【时间】2024-07-19

【简介】

网络安全专家发现了一种名为“XFiles Stealer”的新型恶意软件,该恶意软件瞄准Windows用户窃取密码和其他敏感信息。网络安全研究机构MonThreat通过其X官方频道公布了这一发现。 XFiles Stealer新版本发布XFiles Stealer以C编程语言编写,已在暗网论坛上发布,并附带更新。Xfiles可在Windows 7至Windows 11的机器上运行。它收集浏览器数据、cookie、密码、自动填充、信用卡等……

【参考链接】

X-Files Stealer Attacking Windows Users to Steal Passwords

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  1. BlackSuit高级勒索软件策略曝光: 伪装成杀毒软件

【标签】BlackSuit

【时间】2024-07-23

【简介】

在最近发生的一系列中断主要业务的事件中,KADOKAWA公司经历了延伸到多个网站的服务中断。最初看似技术故障的事件很快升级为由臭名昭著的BlackSuit勒索软件组织策划的全面勒索软件攻击。五周前,BlackSuit声称对此次攻击负责,并发出最后通牒:要么满足他们的赎金要求,要么在7月1日公开发布被盗信息。

【参考链接】

BlackSuit’s Advanced Ransomware Tactics Exposed: Masquerades as Antivirus

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  1. 黑客攻击HFS服务器以投放恶意软件和Monero矿工

【标签】CVE-2024-23692

【时间】2024-07-30

【简介】

安全公司AhnLab的威胁研究人员认为,威胁者正在利用CVE-2024-23692严重安全漏洞,该漏洞允许在无需身份验证的情况下执行任意命令。该漏洞影响软件2.3m及以下版本。Rejetto在其网站上发布消息警告用户,2.3m至2.4版本很危险,不应再使用,因为其中存在的漏洞,可让攻击者控制用户的计算机,目前尚未找到修复方法。

【参考链接】

https://www.4hou.com/posts/RX6K

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。


文章来源: https://blog.nsfocus.net/monthlyreport202407/
如有侵权请联系:admin#unsafe.sh