首页 > 安全研究 > 安全通报 > 安全简讯

Winter Vivern 通过 Roundcube 缺陷瞄准 80 多个组织

发布时间 2024-02-20
1. Winter Vivern 通过 Roundcube 缺陷瞄准 80 多个组织


2月19日,与白俄罗斯和俄罗斯利益一致的威胁行为者与一项新的网络间谍活动有关,该活动可能利用 Roundcube 网络邮件服务器中的跨站脚本 (XSS) 漏洞来针对 80 多个组织。据 Recorded Future 称,这些实体主要位于格鲁吉亚、波兰和乌克兰,该公司将这次入侵归因于名为 Winter Vivern 的威胁行为者,该威胁者也被称为 TA473 和 UAC0114。该网络安全公司正在追踪名为“威胁活动组织 70”(TAG-70) 的黑客组织。Recorded Future 发现的这场活动从 2023 年 10 月开始一直持续到本月中旬,目的是收集有关欧洲政治和军事活动的情报。这些攻击与 2023 年 3 月检测到的针对乌兹别克斯坦政府邮件服务器的其他 TAG-70 活动重叠。Recorded Future表示,还发现了TAG-70针对伊朗驻俄罗斯和荷兰大使馆以及格鲁吉亚驻瑞典大使馆的证据。


https://thehackernews.com/2024/02/russian-linked-hackers-breach-80.html


2.伊朗黑客利用新的 BASICSTAR 后门瞄准中东政策专家


2月19日,名为 Charming Kitten 的伊朗裔威胁行为者通过创建一个虚假的网络研讨会门户,通过名为BASICSTAR的新后门,与一系列针对中东政策专家的新攻击有关。Charming Kitten,也称为 APT35、CharmingCypress、Mint Sandstorm、TA453 和 Yellow Garuda,有着策划各种社会工程活动的历史,这些活动在其目标上撒下了广泛的网络,通常专门针对智库、非政府组织和记者。该组织被评估为隶属于伊朗伊斯兰革命卫队 (IRGC),在过去一年中还分发了其他几个后门,例如PowerLess、BellaCiao、POWERSTAR(又名 GorjolEcho)和NokNok ,强调其继续进行网络攻击的决心尽管公开曝光,但仍调整其策略和方法。2023 年 9 月至 10 月期间观察到的网络钓鱼攻击涉及 Charming Kitten 运营商冒充 Rasanah 国际伊朗研究所 (IIIS) 发起攻击并与目标建立信任。攻击链通常使用包含 LNK 文件的 RAR 存档作为分发恶意软件的起点,并通过消息敦促潜在目标参加有关他们感兴趣的主题的虚假网络研讨会。已观察到部署 BASICSTAR 和 KORKULOADER(一种 PowerShell 下载器脚本)的此类多阶段感染序列。


https://thehackernews.com/2024/02/iranian-hackers-target-middle-east.html


3.黑客声称人力资源巨头 Robert Half 数据泄露并出售敏感数据


2月18日,这些臭名昭著的黑客分别是 IntelBroker 和 Sanggiero,他们声称拥有 Robert Half 的大量数据,这些数据正在以门罗币 (XMR) 加密货币的价格出售,售价为 20,000 美元。2022 年 6 月,全球人力资源和商业咨询服务公司 Robert Half International Inc. 向缅因州总检察长办公室提交了数据泄露通知。通知称,该公司遭遇数据泄露,黑客针对 1000 多名客户,成功获取了他们的姓名、地址、社会安全号码和税务信息。黑客还分享了据称显示被盗数据、Git 存储库和 AWS 相关系统设置的屏幕截图。一张屏幕截图似乎显示了一份客户列表,“帐户名称”下列出了公司,并附有全名、主要职能角色、头衔和电话号码。


https://www.hackread.com/hackers-claim-robert-half-data-breach/


4.Turla APT 使用TinyTurla-NG旨在窃取登录凭据


2月19日,俄罗斯网络间谍威胁组织“Turla APT 组织”被发现使用新的后门进行恶意操作。这个新的后门被称为“TinyTurla-NG”(TTNG),它与之前披露的植入程序TinyTurla在编码风格和功能实现方面有相似之处。然而,这个新的后门自 2023 年 12 月以来一直在传播,目标是在俄罗斯入侵期间支持乌克兰的波兰非政府组织。此外,该后门还使用PowerShell 脚本进行渗透。他们的目标包括美国、欧盟、乌克兰和亚洲。此外,该威胁行为者此前曾针对乌克兰国防军使用过 CAPIBAR 和 KAZUAR 恶意软件系列。研究人员还是发现了三个不同的 TinyTurla-NG 样本,其中最早的妥协是在 2023 年 12 月 18 日发现的,并且一直活跃到 2024 年 1 月 27 日。最新的活动使用基于 WordPress 的网站作为命令和控制 (C2) 端点TTNG后门。

https://gbhackers.com/turla-aptc-new-tool/


5.ESET 修复 WINDOWS 产品中的严重性本地权限升级漏洞


2月18日,ESET 解决了其 Windows 产品中的一个高严重性漏洞,编号为 CVE-2024-0353(CVSS 评分 7.8)。该漏洞是一个本地权限升级问题,由零日计划 (ZDI) 提交给该公司。根据该通报,攻击者可以滥用 ESET 的文件操作(由实时文件系统保护执行),在没有适当权限的情况下删除文件。由 Windows 操作系统上的实时文件系统保护功能执行的文件操作处理中的漏洞,可能允许能够在目标系统上执行低特权代码的攻击者删除 NT AUTHORITY\SYSTEM 下的任意文件,提升他们的特权。ESET 尚未发现利用此漏洞进行的野外攻击活动。


https://securityaffairs.com/159280/breaking-news/eset-local-privilege-escalation-windows.html


6. SOLARWINDS 修复 ACCESS RIGHTS MANAGER 中的关键 RCE


2月19日,SolarWinds 解决了其访问权限管理器 (ARM) 解决方案中的三个关键漏洞,其中包括两个 RCE 错误。访问权限管理器 (ARM) 是一款软件解决方案,旨在帮助组织管理和监控其 IT 基础设施内的访问权限和权限。此类工具对于维护用户对各种资源、系统和数据的访问的安全性、合规性和高效管理至关重要。三个严重的远程代码执行缺陷是:CVE-2023-40057(CVSS 评分 9.0):不受信任数据的反序列化问题。经过身份验证的用户可以利用此漏洞滥用 SolarWinds 服务,从而导致远程代码执行。CVE-2024-23479(CVSS 评分 9.6):目录遍历远程代码执行漏洞。未经身份验证的用户可以利用此问题实现远程代码执行。CVE-2024-23476(CVSS 评分 9.6)目录遍历远程代码执行漏洞。如果被利用,未经身份验证的用户可以实现远程执行代码。


https://securityaffairs.com/159294/security/solarwinds-access-rights-manager-flaws.html

上一篇 下一篇