新发现的 RustDoor 恶意软件冒充 Visual Studio 更新
发布时间 2024-02-222月20日,新发现的 Apple macOS 后门名为 RustDoor,它通过复杂的恶意软件活动针对加密货币领域的多家公司。该恶意软件采用 Rust 开发,可在基于 Intel 的架构和 ARM 架构上运行。Bitdefender 的研究人员至少从 2023 年 11 月起就一直在跟踪该恶意软件,发现它与与臭名昭著的ALPHV/BlackCat 勒索软件团伙相关的 C2 服务器进行通信。RustDoor 主要作为 Visual Studio for Mac 的更新程序进行分发,具有不同的名称,如“zshrc2”、“Previewers”、“VisualStudioUpdater”、“VisualStudioUpdater_Patch”、“VisualStudioUpdating”、“visualstudioupdate”和“DO_NOT_RUN_ChromeUpdates”。感染系统后,恶意软件与 C2 服务器通信以控制受感染的系统、执行任务并窃取数据。
https://cyware.com/news/newly-discovered-rustdoor-malware-impersonates-visual-studio-update-148f6632/?web_view=true
2.Earth Preta 针对亚洲的攻击活动:DOPLUGS 恶意软件威胁
2月20日,Check Point 的深入威胁分析阐明了高级持续威胁 (APT) 组织 Earth Preta 的持续行动。尽管其欧洲活动受到广泛监控,但不可否认的是,其对亚洲目标的高度关注。这一定制策略的关键是一种名为 DOPLUGS 的定制恶意软件,它是最近一系列入侵中利用的关键工具。分析表明,这种定制的 PlugX 变体远非典型。Check Point 的研究人员认识到其独特的属性,并将其命名为 DOPLUGS。与具有全套后门命令的传统 PlugX 恶意软件不同。有趣的是,Check Point 发现了能够利用“KillSomeOne”USB 蠕虫病毒的 DOPLUGS 变体(最初于 2020 年曝光)。这一增加的维度有助于在受感染的网络中快速移动,凸显了威胁组织追求更广泛的渗透。
https://securityonline.info/earth-pretas-targeted-asian-campaigns-the-doplugs-malware-threat/
3.DNS 漏洞 KeyTrap 可导致互联网大范围的中断
2月21日,尽管它自 2000 年以来就一直存在,但研究人员最近才发现域名系统 (DNS) 安全扩展中的一个基本设计缺陷,该缺陷在某些情况下可能会被利用来摧毁大范围的互联网。DNS 服务器将网站 URL 转换为 IP 地址,并且在大多数情况下不可见地承载所有互联网流量。这一发现背后的团队来自德国 ATHENE 国家应用网络安全研究中心。他们将该安全漏洞命名为“KeyTrap”,编号为CVE-2023-50387。根据他们关于 KeyTrap DNS 错误的新报告,研究人员发现,使用 DNSSEC 扩展发送到 DNS 服务器实现来验证流量的单个数据包可能会迫使服务器进入解析循环,从而导致其消耗所有自己的计算能力。根据该报告和 ISC 的说法,好消息是,到目前为止,还没有任何主动利用的证据。
https://www.darkreading.com/cloud-security/keytrap-dns-bug-threatens-widespread-internet-outages
4. Joomla 远程代码执行漏洞 CVE-2024-21726
2月20日,研究团队最近的一项发现暴露了流行的Joomla内容管理系统 (CMS)中的一个重要的安全问题。此漏洞指定为CVE-2024-21726,为多种跨站脚本 (XSS) 攻击打开了大门,攻击者可以利用此权限窃取敏感数据、重定向网站流量、破坏网站或安装持久性恶意软件以进一步危害。Joomla 行动迅速,发布了补丁版本(5.0.3、4.4.3、3.10.15-elts))。可增加 Web 应用程序防火墙 (WAF) 和定期恶意软件扫描,以增加针对攻击的额外屏障。强制执行“最小权限”策略,仅向需要完全网站控制的人员授予管理访问权限。
https://securityonline.info/cve-2024-21726-patch-now-to-stop-joomla-remote-code-execution/
5. VMware 敦促用户卸载已弃用的增强型身份验证插件
2月21日,在发现严重安全漏洞后,VMware 敦促用户卸载已弃用的增强型身份验证插件 (EAP)。该漏洞编号为CVE-2024-22245(CVSS 评分:9.6),被描述为任意身份验证中继错误。恶意行为者可能会欺骗在网络浏览器中安装了 EAP 的目标域用户,请求并转发任意 Active Directory 服务主体名称 (SPN) 的服务票证。EAP是一个软件包,旨在允许通过 Web 浏览器直接登录 vSphere 的管理界面和工具,自 2021 年 3 月起已弃用。默认情况下不包含它,也不属于 vCenter Server、ESXi 或 Cloud Foundation。值得指出的是,这些缺陷仅影响已将 EAP 添加到 Microsoft Windows 系统以通过 vSphere Client 连接到 VMware vSphere 的用户。
https://thehackernews.com/2024/02/vmware-alert-uninstall-eap-now-critical.html
6. Linux 恶意软件活动 Migo 瞄准 Redis 进行挖矿
2月20日,安全研究人员发现了针对流行数据存储系统 Redis 的复杂恶意软件活动。该活动被称为“Migo”,采用新颖的策略来破坏 Redis 服务器,最终目标是在 Linux 主机上挖掘加密货币。特别是,Cado 安全实验室研究人员观察到,Migo 利用新的 Redis 系统弱化命令来利用数据存储进行加密劫持。与之前针对 Redis 的攻击不同,此活动引入了独特的技术来危害系统的安全。攻击的初始访问阶段涉及使用特定的 CLI 命令禁用 Redis 的各种配置选项。例如,攻击者关闭保护模式和副本只读等功能以促进其恶意活动。获得访问权限后,攻击者设置了一系列命令来执行从 Transfer.sh 和 Pastebin 等外部来源检索到的恶意负载。这些有效负载旨在在后台挖掘加密货币,同时保持不被发现。
https://www.infosecurity-magazine.com/news/linux-malware-migo-targets-redis/
京公网安备11010802024551号