近日,明朝万达安元实验室发布了年第十二期《安全通告》。该份报告收录了年12月最新的网络安全前沿新闻和最新漏洞追踪,其中重点内容包括:
网络安全前沿新闻
朝鲜黑客传播伪装成加密货币应用的AppleJeus恶意软件
根据Volexity的最新发现,研究人员检测到拉撒路集团的威胁行为者利用虚假的加密货币应用程序作为诱饵,以提供一个先前未记录的AppleJeus恶意软件版本。
研究人员CallumRoxan、PaulRascagneres和RobertJan莫拉表示:“这一活动特别涉及一场运动,可能通过恶意的MicrosoftOffice文档,针对带有AppleJeus恶意软件变体的加密货币用户和组织。”俄罗斯法院被伪装成勒索软件的新型CryWiper数据擦拭器恶意软件攻击
一种新的数据清除恶意软件叫做冷冻擦拭器已发现针对俄罗斯政府机构,包括市长办公室和法院。
卡巴斯基的研究人员费多尔·西尼岑和贾尼斯·津琴科说:“虽然它伪装成勒索软件,向受害者勒索金钱以”解密“数据,但(它)实际上并不加密,而是有目的地破坏受影响系统中的数据。”Darknet最大的移动的恶意软件市场威胁全球用户
网络安全研究人员揭示了一个名为InTheBox的专为移动的恶意软件运营商设计的恶意软件。
据信至少从年1月开始提供,一直在提供多个按地理位置分组的自定义网络注入,可以被其他希望发动自己攻击的对手购买。“自动化允许其他不良行为者创建订单,以接收最新的网络注入,以便进一步实施到移动的恶意软件中,”Resecurity说。中国黑客利用俄乌战争诱饵攻击亚太和欧洲实体
本月与中国有关联的民族国家黑客组织“野马熊猫”正在使用与正在进行的俄乌战争有关的诱饵攻击欧洲和亚太地区的实体。
这是根据黑莓研究和情报小组,分析了RAR档案文件题为“政治指导欧盟对俄罗斯的新方法。“野马熊猫是一个多产的网络间谍组织,来自中国,也被跟踪的名称青铜总统,地球Preta,蜂蜜Myte,红三角洲,和红色巫妖。一些目标国家包括越南、印度、巴基斯坦、肯尼亚、土耳其、意大利和巴西。伊朗黑客在供应链攻击中用数据擦除恶意软件打击钻石行业
一个伊朗高级持续威胁(APT)行动者被称为阿格里乌斯被认为是一系列针对南非、以色列和香港钻石业的数据清除器攻击的幕后黑手。
这款擦除器被ESET称为Fantasy,根据消息是通过针对一名以色列软件套件开发商的供应链攻击交付的,这是年2月开始的一场运动的一部分。受害者包括人力资源公司、IT咨询公司和以色列的一家钻石批发商;一个从事钻石业的南非实体;还有一个香港的珠宝商。MuddyWater黑客以最新策略瞄准亚洲和中东国家
据观察,与伊朗有关联的MuddyWater威胁行为体将中东以及中亚和西亚的几个国家作为新的鱼叉式网络钓鱼活动的一部分。
MuddyWater,也被称为沼泽蛇,钴阿尔斯特,地球维特拉,水星,种子虫,静态小猫,和温度扎格罗斯,据说是一个从属在伊朗情报和安全部(MOIS)内部的机构。该间谍组织至少自年以来一直活跃,发动的攻击通常针对电信,政府,国防和石油部门。皇家Ransomware威胁瞄准美国医疗保健系统
美国卫生与公众服务部(HHS)警告说,皇家勒索软件正在对该国的医疗保健实体发动攻击。
“该组织确实声称窃取数据进行双重勒索攻击,在那里他们还将泄露敏感数据。虽然大多数已知的勒索软件运营商都执行勒索软件即服务,但皇家似乎是一个没有任何附属机构的私人集团,同时保持财务动机作为他们的目标,”该机构的卫生部门网络安全协调中心(HC)说。谷歌为Windows、macOS和Android版Chrome增加密钥支持
Google已经正式开始推出对万能钥匙,下一代无密码登录标准,到其稳定版本的Chrome浏览器,改进的安全功能,这是在版本,是近两个月后,谷歌开始测试这个选项适用于Android、macOS和Windows11。
这家科技巨头的阿里·萨拉夫说:“密钥是密码和其他易钓鱼认证因素的安全替代品。,它们不能重复使用,不会在服务器漏洞中泄漏,并保护用户免受网络钓鱼攻击。”黑客用超过,个恶意软件包攻击开源存储库
NuGet、PyPi和npm生态系统是一项新活动的目标,该活动已导致超过,个软件包被未知的参与者发布。
Checkmarx和Illustria的研究人员表示:“这些软件包是新的攻击载体的一部分,攻击者向开源生态系统发送含有钓鱼活动链接的垃圾邮件。”在检测到的,个网络钓鱼相关包中,16,个发布在NuGet上,7,个发布在PyPi上,个发布在npm上。违规的图书馆已被除名或关闭。黑客使用SVG文件将QBot恶意软件走私到Windows系统
涉及的网络钓鱼活动Qakbot恶意软件正在使用可缩放矢量图形(SVG图形发生器)HTML电子邮件附件中嵌入的图像。CiscoTalos发现了这种新的分发方法,该公司表示,它识别出了带有HTML附件的欺诈电子邮件,这些附件带有编码的SVG图像,其中包含HTML脚本标记。
HTML走私是一种技术,它依赖于使用HTML和JavaScript的合法功能来运行诱饵附件中包含的编码恶意代码,并在受害者的计算机上组装有效负载,而不是发出HTTP请求来从远程服务器获取恶意软件。新的GoTrim僵尸网络试图闯入WordPress网站的管理员帐户
一个新的基于Go语言的僵尸网络被发现扫描和暴力强迫使用WordPress内容管理系统(CMS)的自托管网站,以控制目标系统。
FortinetFortiGuard实验室的研究人员EduardoAltares、JoieSalvio和RoyTay表示:“这个新的暴力强制器是我们命名为GoTrim的新活动的一部分,因为它是用Go语言编写的,使用:::trim:::来分割与C2服务器通信的数据。研究人员发现恶意PyPI包冒充SentinelOneSDK窃取数据
网络安全研究人员在PythonPackageIndex(PyPI)存储库中发现了一个新的恶意软件包,该软件包冒充大型网络安全公司SentinelOne的软件开发工具包(SDK),这是一场名为哨兵潜行的活动。
ReversingLabs威胁研究员KarloZanki表示:"SentinelOne冒名顶替软件包只是利用PyPI存储库的最新威胁,并凸显了对软件供应链日益增长的威胁,因为攻击者使用域名仿冒等策略来利用开发人员的困惑,并将恶意代码推入开发管道和合法应用程序。"黑客使用Impacket、CovalentStealer从美国国防组织窃取数据
美国政府今天发布了一项警报,称国家支持的黑客使用定制的CovalentStealer恶意软件和Impacket框架从国防工业基地(DIB)部门的美国组织窃取敏感数据。
入侵持续了大约10个月,很可能多个高级持续威胁(APT)组可能会入侵该组织,其中一些组织在去年1月通过受害者的MicrosoftExchangeServer获得了初始访问权限。Facebook严厉打击美国间谍软件供应商中国、俄罗斯、以色列和印度
梅塔平台披露,自年以来,它采取了不少于次秘密影响行动,跨越约70个国家,涵盖42种语言。这家社交媒体集团还采取措施,禁用了中国、俄罗斯、以色列、美国和印度等国间谍软件供应商运营的账户,并屏蔽了这些供应商针对约个国家个人的基础设施。
该公司表示:“全球雇佣监视行业继续增长,不分青红皂白地针对包括记者、活动人士、诉讼当事人和政治反对派在内的人,通过互联网收集情报、操纵和破坏他们的设备和账户。”注明在上周发表的一份报告中。黑客入侵Okta的GitHub存储库,窃取源代码
奥克塔是一家提供身份和访问管理服务的公司,该公司周三披露,本月早些时候,其部分源代码库被以未经授权的方式访问。
这家基于云计算的身份管理平台指出,年12月初,微软旗下的GitHub向其发出了这一事件的警报。它还强调,这一漏洞并没有导致未经授权访问客户数据或Okta服务。Facebook将支付7.25亿美元和解剑桥分析公司数据泄露诉讼
Facebook、Instagram和WhatsApp的母公司梅塔Platforms已同意支付7.25亿美元,以了结年提起的一场旷日持久的集体诉讼。
这起法律的纠纷的起因是,有消息披露,这家社交媒体巨头允许包括剑桥Analytica)在内的第三方应用程序未经用户同意访问用户的个人信息,用于政治广告。ViceSociety勒索软件攻击者采用稳健的加密方法
ViceSociety勒索软件参与者在最近针对多个部门的攻击中转向了另一种定制勒索软件有效载荷。
“这个勒索软件变种,被称为”波利维采,“实现了一个健壮的加密方案,使用NTRU加密以及ChaCha20-聚算法,”哨兵研究员安东尼奥·科科马齐说在分析中。ViceSociety是微软追踪的代号为DEV-的黑客组织,是一个入侵、渗透和勒索的黑客组织,于年5月首次出现在威胁领域。网络安全最新漏洞追踪微软12月多个安全漏洞漏洞概述年12月1日,微软发布了12月安全更新,本次更新修复了包括2个0day漏洞在内的49个安全漏洞(不包括之前修复的MicrosoftEdge漏洞),其中有6个漏洞评级为“严重”。
漏洞详情本次发布的安全更新涉及.NETFramework、MicrosoftDynamics、MicrosoftBluetoothDriver、MicrosoftOffice、MicrosoftWindowsCodecsLibrary、WindowsKernel、WindowsPowerShell、WindowsSecureSocketTunnelingProtocol(SSTP)、WindowsTerminal等多个产品和组件。
本次修复的漏洞(不包括MicrosoftEdge漏洞)中,19个为提取漏洞,2个为远程代码执行漏洞,个为信息泄露漏洞,个为拒绝服务漏洞,2个为安全功能绕过漏洞,以及1个欺骗漏洞。
微软本次共修复了2个0day漏洞,其中CVE--已被积极利用,CVE--已经公开披露:
CVE--:WindowsSmartScreen安全功能绕过漏洞
该漏洞的CVSSv评分为5.4,利用该漏洞需与用户交互。可以通过恶意文件来绕过MarkoftheWeb(MOTW)防御,并在某些情况下导致SmartScreen错误并且不显示Web安全警告标记,从而导致MicrosoftOffice中的受保护视图等依赖MOTW标记的安全功能受到影响。成功利用该漏洞可能导致恶意脚本自动运行并安装恶意软件,目前该漏洞已检测到漏洞利用。
CVE--:DirectXGraphicsKernel特权提升漏洞
该漏洞的CVSSv评分为7.8,利用该漏洞需要赢得竞争条件,成功利用该漏洞可以获得SYSTEM权限,目前该漏洞已经公开披露。
本次更新中评级为严重的6个漏洞包括:
CVE--:MicrosoftDynamicsNAV和MicrosoftDynamics65BusinessCentral(本地)远程代码执行漏洞
该漏洞的CVSSv评分为8.5,利用该漏洞需经过身份验证,成功利用DynamicsNAV中的漏洞可以在已配置使用Dynamics服务帐户的上下文中执行恶意代码。
CVE--/CVE--:MicrosoftSharePointServer远程代码执行漏洞
这些漏洞的CVSSv评分均为8.8,经过身份验证并具有管理列表权限的恶意用户可以在SharePointServer上远程执行代码。
CVE--:PowerShell远程代码执行漏洞
该漏洞的CVSSv评分为8.5,经过身份验证的用户可以逃避PowerShell远程会话配置并在目标系统上运行未经授权的命令。
CVE--/CVE--:WindowsSecureSocketTunnelingProtocol(SSTP)远程代码执行漏洞
这些漏洞的CVSSv评分均为8.1,成功利用漏洞需要赢得竞争条件。可以在未经身份验证的情况下向RAS服务器发送特制连接请求,这可能导致RAS服务器计算机上的远程代码执行(RCE)。
安全建议目前微软已发布相关安全更新,建议受影响的用户尽快修复。
(一)Windowsupdate更新
自动更新:
MicrosoftUpdate默认启用,当系统检测到可用更新时,将会自动下载更新并在下一次启动时安装。
手动更新:
1、点击“开始菜单”或按Windows快捷键,点击进入“设置”
2、选择“更新和安全”,进入“Windows更新”(Windows8、Windows8.1、WindowsServer以及WindowsServerR2可通过控制面板进入“Windows更新”,具体步骤为“控制面板”-“系统和安全”-“Windows更新”)
、选择“检查更新”,等待系统将自动检查并下载可用更新。
4、更新完成后重启计算机,可通过进入“Windows更新”-“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
(二)手动安装更新
Microsoft官方下载相应补丁进行更新。
12月安全更新下载链接: