Bumblebee恶意软件疑似卷土重来,新攻击链被曝光

宣布时间 2024-10-23
1. Bumblebee恶意软件疑似卷土重来,新攻击链被曝光


10月21日,Bumblebee恶意软件在悄然数月后,近期被网络清静公司Netskope发明又有新运动迹象,可能预示着该病毒将卷土重来。Bumblebee是由TrickBot开发职员创作的,自2022年泛起以来,便作为BazarLoader后门的替换品,为勒索软件威胁行为者提供对受害者网络的会见权限。它通常通过网络垂纶、恶意广告和SEO投毒等方法熏染,转达的有用载荷包括Cobalt Strike信标、窃守信息的恶意软件以及种种勒索软件。今年5月,欧洲刑警组织的“终局行动”查获了多台支持Bumblebee等恶意软件加载程序操作的服务器,以后Bumblebee一度销声匿迹。然而,最新的Bumblebee攻击链始于一封网络垂纶电子邮件,诱骗受害者下载恶意ZIP存档,随后通过一系列操作在内存中安排Bumblebee。Netskope忠言称,这是对Bumblebee可能苏醒的早期迹象的忠言,但并未提供有关其投放的有用载荷或攻击规模的信息。


https://www.bleepingcomputer.com/news/security/bumblebee-malware-returns-after-recent-law-enforcement-disruption/


2. 数百万用户使用的E2EE云存储平台保存严重误差


10月20日,苏黎世联邦理工学院的研究职员Jonas Hofmann和Kien Tuong Turong发明,端到端加密(E2EE)云存储平台保存清静问题,可能会使用户数据袒露给恶意行为者。他们剖析了Sync、pCloud、Icedrive、Seafile和Tresorit等服务,这些服务配合被凌驾2200万人使用,发明这些服务保存严重误差,包括允许恶意行为者注入文件、改动数据或会见用户文件的实现。其中,Sync保存未认证的密钥质料和缺乏公钥认证的问题;pCloud的私钥和公钥也未认证,保存注入文件和使用元数据等误差;Icedrive使用未认证的CBC加密,容易受到文件改动攻击;Seafile容易受到协议降级和密码暴力破解的影响,同时文件名和位置也不清静;而Tresorit体现相对较好,但保存公钥认证依赖服务器控制的证书和元数据易受改动的问题。关于研究职员报告的问题,Sync已经迅速接纳行动解决,并体现没有证据批注误差已被使用。Tresorit则体现其设计和密码学选择使其系统基本上不受这些攻击的影响,并致力于一连刷新平台清静。


https://www.bleepingcomputer.com/news/security/severe-flaws-in-e2ee-cloud-storage-platforms-used-by-millions/


3. 数百万Android和iOS应用中发明AWS、Azure身份验证密钥


10月23日,赛门铁克的软件工程师发明,Google Play和Apple App Store上普遍使用的移动应用程序中保存硬编码和未加密的云服务凭证,这导致数百万用户面临重大清静危害。这些凭证的袒露源于懒惰的编码习惯,使得任何能够会见应用程序二进制文件或源代码的人都能会见后端基础设施,进而可能窃取用户数据。在赛门铁克的研究中,多款热门应用如Pic Stitch、Crumbl、Eureka、Videoshop、Meru Cabs、Sulekha Business、ReSound Tinnitus Relief以及Beltone Tinnitus Calmer和EatSleepRIDE摩托车GPS等均被发明保存此类问题。这些应用划分袒露了AWS、Azure和Twilio等云服务提供商的凭证,使得攻击者能够获取生产凭证、会见存储桶、窃取数据并破损后端基础设施。建议用户装置第三方清静系统来阻止这些编码过失造成的效果,并小心应用程序所要求的权限,只装置来自可信泉源的应用。同时,开发职员也应编写更好的代码,使用旨在将敏感信息生涯在清静位置的服务,并对所有内容举行加密和按期举行代码审查及清静扫描。


https://www.theregister.com/2024/10/23/android_ios_security/


4. 三星零日误差CVE-2024-44068被起劲使用


10月23日,三星移动处置惩罚器中发明了一个编号为CVE-2024-44068的零日误差,该误差在误差链中可被使用以执行恣意代码,其CVSS评分为8.1,属于高危误差。该误差保存于三星Exynos 9820、9825、980、990、850和W920移动处置惩罚器及可衣着处置惩罚器的m2m缩放驱动程序中,可能导致特权升级。该误差由谷歌研究员Xingyu Jin在今年早些时间报告,谷歌TAG研究员Clement Lecigne忠言称该误差已在野外保存。Jin和Lecigne指出,该零日误差是EoP(特权提升)链的一部分,攻击者能够通过特权相机服务器历程执行恣意代码,并将历程名称重命名为“vendor.samsung.hardware.camera.provider@3.0-service”,可能是为了反取证目的。三星已在10月份的清静修复程序中对该误差举行了修补。


https://www.darkreading.com/endpoint-security/samsung-zero-day-vuln-under-active-exploit-google-warns


5. Latrodectus恶意软件在金融、汽车与医疗领域肆虐


10月22日,Forcepoint的剖析展现,Latrodectus(又称BlackWidow)恶意软件正被网络犯法分子频仍使用,尤其在金融、汽车和医疗保健领域。该下载程序首次发明于2023年10月,据传由开发了IcedID(又名BokBot)的LunarSpider建设,且与WizardSpider有关联。Latrodectus主要通过电子邮件附件撒播,附件伪装成PDF或HTML名堂,内含可导致熏染的JavaScript。一旦乐成装置,将引发小我私家信息泄露、经济损失及敏感信息外泄等效果。PDF和HTML的攻击方法有所差别,前者使用JavaScript下载MSI装置程序,后者则实验通过PowerShell直接装置DLL。JavaScript中的恶意代码被混淆,且包括大宗垃圾注释。PDF攻击中,JavaScript会建设一个ActiveXObject并下载.msi文件,释放恶意DLL后由rundll32.exe运行。HTML攻击则显示伪造的Windows弹出窗口,诱导用户点击“解决计划”按钮,进而下载并执行Latrodectus。Forcepoint指出,攻击者还使用URL缩短重视定向至着名的storage[.]googleapis[.]com托管恶意负载。


https://www.securityweek.com/latrodectus-malware-increasingly-used-by-cybercriminals/


6. CISA将ScienceLogic SL1误差列为已知被使用误差


10月22日,美国网络清静和基础设施清静局(CISA)已将ScienceLogic SL1的误差CVE-2024-9537(CVSS v4评分高达9.3)列入其已知被使用误差(KEV)目录中。该误差与SL1中包括的未指定第三方组件相关,已在SL1版本12.1.3+、12.2.3+和12.3+中获得修复,并为10.1.x及之前版本提供了补丁。此前,云托管提供商Rackspace报告了其使用的ScienceLogic EM7监控工具保存清静问题,一名威胁行为者使用了与ScienceLogic应用程序捆绑的非Rackspace适用程序中的零日误差,导致低敏感度性能监控数据泄露。经Rackspace与ScienceLogic相助,已开发补丁并向所有客户提供,同时通知了受影响的客户。据ArticWolf宣布的报告,该零日误差实为第三方适用程序中的远程代码执行误差,但ScienceLogic选择不透露适用程序名称。CISA已要求联邦机构在2024年11月11日前修复此误差,并建议私人组织审查KEV目录并解决其基础设施中的相关误差。


https://securityaffairs.com/170104/security/u-s-cisa-adds-sciencelogic-sl1-flaw-to-its-known-exploited-vulnerabilities-catalog.html