Cuckoo macOS恶意软件可控制Mac并窃取密码
发布时间 2024-05-085月7日,黑客正在使用新的 Mac 恶意软件对运行 Apple Silicon 的新型 Mac 以及基于 Intel 的旧 Mac 发起攻击。据《黑客新闻》报道,Kandji 的安全研究人员将这种恶意软件称为 Cuckoo。除了针对较新和较旧的 Mac 电脑外,Cuckoo 的与众不同之处还在于它的行为类似于信息窃取恶意软件和间谍软件的混合体。在一篇博客文章中,Kandji 的 Adam Kohler 和 Christopher Lopez 解释说,他们在恶意软件跟踪网站 VirusTotal 上发现了一个以前未检测到的恶意 Mach-O 二进制文件,其名称为“DumpMedia Spotify Music Converter”。然后,他们在网上查找该程序的名称,发现该程序是从一个名为 dumpmedia[.]com 的网站分发的,该网站提供多个应用程序,可以帮助用户将流媒体服务中的音乐转换为 MP3 文件。
https://news.hitb.org/content/new-cuckoo-macos-malware-can-take-over-all-macs-and-steals-your-passwords-too
2. 研究团队演示针对所有VPN程序的攻击TunnelVision
5月7日,研究人员设计了一种针对几乎所有虚拟专用网络应用程序的攻击,迫使它们在加密隧道之外发送和接收部分或全部流量,旨在保护其免遭窥探或篡改。研究人员将其攻击命名为 TunnelVision,将传入和传出的互联网流量封装在加密隧道中并隐藏用户的 IP 地址。研究人员认为,当所有 VPN 应用程序连接到恶意网络时,它都会影响它们,并且除了当用户的 VPN 在 Linux 或 Android 上运行时之外,没有其他方法可以防止此类攻击。他们还表示,他们的攻击技术可能自 2002 年以来就已成为可能,并且从那时起就已经被发现并在野外使用。一段视频演示解释道,TunnelVision 的效果是“受害者的流量现在已被揭开并直接通过攻击者进行路由”。“攻击者可以读取、删除或修改泄露的流量,而受害者则保持与 VPN 和互联网的连接。”
https://news.hitb.org/content/novel-attack-against-virtually-all-vpn-apps-neuters-their-entire-purpose
3. 伪装成证书的 LNK 文件分发 RokRAT 恶意软件
5月7日,AhnLab安全情报中心(ASEC)已确认持续传播异常大小的快捷方式文件(*.LNK),用于传播后门类型的恶意软件。最近确认的快捷方式文件(*.LNK)被发现是针对韩国用户,特别是与朝鲜有关的用户。确认的LNK文件名如下:国家信息学院第八期综合课程证书(最终).lnk、门禁名册2024.lnk、东北项目(美国国会研究服务处(CRS 报告).lnk和设施清单.lnk。已确认的LNK文件包含通过CMD执行PowerShell的命令,其类型与去年发布的“RokRAT Malware Distributed Through LNK Files (*.lnk): RedEyes (ScarCruft)” [1]中发现的类型类似。关于这种类型的一个值得注意的事实是,它在 LNK 文件中包含合法文档文件、脚本代码和恶意 PE 数据。
https://asec.ahnlab.com/en/65076/
4. 2023年第三方造成的数据泄露增加了68%
5月7日,近年来供应链违规事件一直呈上升趋势。根据 Verizon 最新的数据泄露调查报告 (DBIR),近几个月来这一增长尤为急剧。2023 年所有违规行为中约有 15% 涉及第三方,比 2022 年的 9% 显着增加。不过,这些数字与会计和攻击的关系同样重要。事实上,被利用的漏洞是 DBIR 供应链指标中最常见的事件记录和事件共享 (VERIS) 行为词汇,其次是后门/命令与控制 (C2) 和勒索。Verizon 威胁情报副总监 Alex Pinto 表示:去年,在勒索软件领域,我们看到,无论是自己研究还是购买,[威胁行为者]已经掌握了如此多的零日漏洞。对于 DBIR 团队来说,解决错误不仅仅是在错误出现时进行修补。这是关于组织如何选择供应商并与其合作的问题。没有组织可以阻止他们使用的软件中的每个潜在漏洞,但供应商确实“泄漏”了某些可能表明其价值的信号。
https://www.darkreading.com/cyber-risk/supply-chain-breaches-up-68-yoy-according-to-dbir
5. Tinyproxy严重漏洞导致超过5万台主机可执行远程代码
5月6日,90310 台主机中超过 50% 被发现在互联网上暴露了Tinyproxy 服务,该服务容易受到 HTTP/HTTPS 代理工具中未修补的严重安全漏洞的影响。根据 Cisco Talos ,该问题的编号为CVE-2023-49606,CVSS 评分为 9.8 分(满分 10 分),该问题将其描述为影响版本 1.10.0 和 1.11.1 的释放后使用错误。Talos在一份公告中表示:特制的 HTTP 标头可能会触发先前释放的内存的重用,从而导致内存损坏并可能导致远程代码执行。攻击者需要发出未经身份验证的 HTTP 请求才能触发此漏洞。换句话说,未经身份验证的威胁参与者可以发送特制的HTTP 连接标头来触发内存损坏,从而导致远程代码执行。根据攻击面管理公司 Censys 共享的数据,截至 2024 年 5 月 3 日,在向公共互联网公开 Tinyproxy 服务的 90,310 台主机中,其中 52,000 台(约 57%)运行着存在漏洞的 Tinyproxy 版本。大多数可公开访问的主机位于美国(32,846)、韩国(18,358)、中国(7,808)、法国(5,208)和德国(3,680)。
https://thehackernews.com/2024/05/critical-tinyproxy-flaw-opens-over.html
6. 俄罗斯 BTC-e 加密货币交易所运营商承认洗钱罪
5月6日,根据美国司法部的一份声明,曾经是世界上最大的虚拟货币交易所之一的俄罗斯运营商 BTC-e 承认参与洗钱计划。44 岁的亚历山大·文尼克 (Alexander Vinnik) 在 2011 年至 2017 年期间运营 BTC-e,后来该服务被执法部门关闭。在此期间,该交易所处理了超过 90 亿美元的交易,并为全球超过 100 万用户提供服务,其中包括众多美国客户。根据法庭文件,作为非法活动的一部分,Vinnik 通过 BTC-e 造成了至少 1.21 亿美元的损失。他还在全球范围内设立了众多空壳公司和金融账户,以允许 BTC-e 无需将该平台注册为货币服务业务即可运营。应美国要求,文尼克最初于 2017 年在希腊被捕。2020 年,他被引渡到法国,当地法院指控他入侵数千个电子邮件帐户并向其所有者勒索钱财。随后,他被遣返回希腊,然后被引渡到美国。与此同时,俄罗斯还要求希腊当局将文尼克遣送回国,以指控他犯有较小的欺诈罪。
https://therecord.media/btce-cryptocurrency-exchange-alexander-vinnik-money-laundering-guilty-plea
京公网安备11010802024551号