Bumblebee恶意软件疑似卷土重来,新攻击链被曝光
发布时间 2024-10-2310月21日,Bumblebee恶意软件在沉寂数月后,近期被网络安全公司Netskope发现又有新活动迹象,可能预示着该病毒将卷土重来。Bumblebee是由TrickBot开发人员创作的,自2022年出现以来,便作为BazarLoader后门的替代品,为勒索软件威胁行为者提供对受害者网络的访问权限。它通常通过网络钓鱼、恶意广告和SEO投毒等方式感染,传递的有效载荷包括Cobalt Strike信标、窃取信息的恶意软件以及各种勒索软件。今年5月,欧洲刑警组织的“终局行动”查获了多台支持Bumblebee等恶意软件加载程序操作的服务器,此后Bumblebee一度销声匿迹。然而,最新的Bumblebee攻击链始于一封网络钓鱼电子邮件,诱骗受害者下载恶意ZIP存档,随后通过一系列操作在内存中部署Bumblebee。Netskope警告称,这是对Bumblebee可能复苏的早期迹象的警告,但并未提供有关其投放的有效载荷或攻击规模的信息。
https://www.bleepingcomputer.com/news/security/bumblebee-malware-returns-after-recent-law-enforcement-disruption/
2. 数百万用户使用的E2EE云存储平台存在严重漏洞
10月20日,苏黎世联邦理工学院的研究人员Jonas Hofmann和Kien Tuong Turong发现,端到端加密(E2EE)云存储平台存在安全问题,可能会使用户数据暴露给恶意行为者。他们分析了Sync、pCloud、Icedrive、Seafile和Tresorit等服务,这些服务共同被超过2200万人使用,发现这些服务存在严重漏洞,包括允许恶意行为者注入文件、篡改数据或访问用户文件的实现。其中,Sync存在未认证的密钥材料和缺乏公钥认证的问题;pCloud的私钥和公钥也未认证,存在注入文件和操纵元数据等漏洞;Icedrive使用未认证的CBC加密,容易受到文件篡改攻击;Seafile容易受到协议降级和密码暴力破解的影响,同时文件名和位置也不安全;而Tresorit表现相对较好,但存在公钥认证依赖服务器控制的证书和元数据易受篡改的问题。对于研究人员报告的问题,Sync已经迅速采取行动解决,并表示没有证据表明漏洞已被利用。Tresorit则表示其设计和密码学选择使其系统基本上不受这些攻击的影响,并致力于持续改进平台安全。
https://www.bleepingcomputer.com/news/security/severe-flaws-in-e2ee-cloud-storage-platforms-used-by-millions/
3. 数百万Android和iOS应用中发现AWS、Azure身份验证密钥
10月23日,赛门铁克的软件工程师发现,Google Play和Apple App Store上广泛使用的移动应用程序中存在硬编码和未加密的云服务凭证,这导致数百万用户面临重大安全风险。这些凭证的暴露源于懒惰的编码习惯,使得任何能够访问应用程序二进制文件或源代码的人都能访问后端基础设施,进而可能窃取用户数据。在赛门铁克的研究中,多款热门应用如Pic Stitch、Crumbl、Eureka、Videoshop、Meru Cabs、Sulekha Business、ReSound Tinnitus Relief以及Beltone Tinnitus Calmer和EatSleepRIDE摩托车GPS等均被发现存在此类问题。这些应用分别暴露了AWS、Azure和Twilio等云服务提供商的凭证,使得攻击者能够获取生产凭证、访问存储桶、窃取数据并破坏后端基础设施。建议用户安装第三方安全系统来阻止这些编码错误造成的后果,并警惕应用程序所要求的权限,只安装来自可信来源的应用。同时,开发人员也应编写更好的代码,使用旨在将敏感信息保存在安全位置的服务,并对所有内容进行加密和定期进行代码审查及安全扫描。
https://www.theregister.com/2024/10/23/android_ios_security/
4. 三星零日漏洞CVE-2024-44068被积极利用
10月23日,三星移动处理器中发现了一个编号为CVE-2024-44068的零日漏洞,该漏洞在漏洞链中可被利用以执行任意代码,其CVSS评分为8.1,属于高危漏洞。该漏洞存在于三星Exynos 9820、9825、980、990、850和W920移动处理器及可穿戴处理器的m2m缩放驱动程序中,可能导致特权升级。该漏洞由谷歌研究员Xingyu Jin在今年早些时候报告,谷歌TAG研究员Clement Lecigne警告称该漏洞已在野外存在。Jin和Lecigne指出,该零日漏洞是EoP(特权提升)链的一部分,攻击者能够通过特权相机服务器进程执行任意代码,并将进程名称重命名为“vendor.samsung.hardware.camera.provider@3.0-service”,可能是为了反取证目的。三星已在10月份的安全修复程序中对该漏洞进行了修补。
https://www.darkreading.com/endpoint-security/samsung-zero-day-vuln-under-active-exploit-google-warns
5. Latrodectus恶意软件在金融、汽车与医疗领域肆虐
10月22日,Forcepoint的分析揭示,Latrodectus(又称BlackWidow)恶意软件正被网络犯罪分子频繁利用,尤其在金融、汽车和医疗保健领域。该下载程序首次发现于2023年10月,据传由开发了IcedID(又名BokBot)的LunarSpider创建,且与WizardSpider有关联。Latrodectus主要通过电子邮件附件传播,附件伪装成PDF或HTML格式,内含可导致感染的JavaScript。一旦成功安装,将引发个人信息泄露、经济损失及敏感信息外泄等后果。PDF和HTML的攻击方式有所不同,前者利用JavaScript下载MSI安装程序,后者则尝试通过PowerShell直接安装DLL。JavaScript中的恶意代码被混淆,且包含大量垃圾注释。PDF攻击中,JavaScript会创建一个ActiveXObject并下载.msi文件,释放恶意DLL后由rundll32.exe运行。HTML攻击则显示伪造的Windows弹出窗口,诱导用户点击“解决方案”按钮,进而下载并执行Latrodectus。Forcepoint指出,攻击者还利用URL缩短器重定向至知名的storage[.]googleapis[.]com托管恶意负载。
https://www.securityweek.com/latrodectus-malware-increasingly-used-by-cybercriminals/
6. CISA将ScienceLogic SL1漏洞列为已知被利用漏洞
10月22日,美国网络安全和基础设施安全局(CISA)已将ScienceLogic SL1的漏洞CVE-2024-9537(CVSS v4评分高达9.3)列入其已知被利用漏洞(KEV)目录中。该漏洞与SL1中包含的未指定第三方组件相关,已在SL1版本12.1.3+、12.2.3+和12.3+中得到修复,并为10.1.x及之前版本提供了补丁。此前,云托管提供商Rackspace报告了其使用的ScienceLogic EM7监控工具存在安全问题,一名威胁行为者利用了与ScienceLogic应用程序捆绑的非Rackspace实用程序中的零日漏洞,导致低敏感度性能监控数据泄露。经Rackspace与ScienceLogic合作,已开发补丁并向所有客户提供,同时通知了受影响的客户。据ArticWolf发布的报告,该零日漏洞实为第三方实用程序中的远程代码执行漏洞,但ScienceLogic选择不透露实用程序名称。CISA已要求联邦机构在2024年11月11日前修复此漏洞,并建议私人组织审查KEV目录并解决其基础设施中的相关漏洞。
https://securityaffairs.com/170104/security/u-s-cisa-adds-sciencelogic-sl1-flaw-to-its-known-exploited-vulnerabilities-catalog.html
京公网安备11010802024551号