企业金融与风险顾问公司Kroll旗下的威胁情报团队指出,他们看到北韩骇客组织Kimsuky近期也开始利用SlashAndGrab,对方先是透过曝露的ScreenConnect安装程式存取受害电脑,并借由手动输入的方式,利用cmd.exe执行mshta.exe,取得以Visual Basic打造的恶意程式ToddlerShark并执行,然后窜改Windows电脑的登录机码,从而允许Office软体执行位于网际网路的巨集档,此恶意程式会定期收集受害电脑的系统资讯,并传送到攻击者的C2基础设施。
研究人员指出,此恶意程式是后门程式BabyShark、ReconShark的变种,并具备多态属性的特性,采用随机字串及功能程式码定位,而能够改变其结构,导致防毒软体的特征码可能无法将其视为有害。
研究人员从2023年下半,看到骇客将其用于攻击美国联邦通讯委员会(FCC)员工,也针对币安(Binance)、Coinbase、Gemini加密货币业者员工或用户而来,此外,他们也看到攻击者针对AOL、Gmail、Okta等电子邮件服务及单一签入服务的情况。特别的是,这些骇客策画了复杂的网路钓鱼及社交工程攻击,运用的手法涵盖电子邮件、简讯,甚至也有使用语音网路钓鱼。
在其中一起攻击行动里,受害者接到佯称公司IT人员的电话,对方声称受害者的帐号遭到入侵,将会引导他们夺回帐号。接著,受害者就会收到带有连结的简讯,一旦点选就会被导向钓鱼网页。而对于攻击者的身分,研究人员指出手法与骇客组织Scattered Spider相似,但尚未有足够证据证明就是这组人马所为。
3月4日开发工具供应商JetBrains针对CI/CD软体平台TeamCity宣布推出2023.11.4版更新,并表示本次更新的内容包含对于重要的安全性漏洞修补,以及数项软体错误。而对于本次JetBrains修补的漏洞类型,皆为身分验证绕过漏洞,影响所有本地建置版本TeamCity。
其中,CVE-2024-27198存在于网页元件,原因与替代路径有关,CVSS风险评分为9.8;另一个漏洞是CVE-2024-27199,则是网页元件的路径穿越弱点,CVSS风险评分为7.3。一旦上述漏洞遭到利用,未经身分验证的攻击者就有机会控制TeamCity伺服器。
值得留意的是本次漏洞的处理流程,出现通报者与软体开发者认知不一致的情况。这些漏洞是资安业者Rapid7于2月通报,但起初JetBrains回应,希望在公开揭露前私下向客户发布修补程式,以便让客户有较为充裕的时间进行处置,而Rapid7则认为这种「静默修补(silent patching)」的行为,不仅违反他们的漏洞揭露政策,更认为这种做法是姑息恶意行为,让大众曝险。
资料来源
1.
3.
3月5日VMware发布资安公告,指出旗下的虚拟化平台ESXi、Workstation、Fusion、Cloud Foundation存在4项高风险漏洞,其中较为严重的是记忆体释放后滥用(UAF)漏洞CVE-2024-22252、CVE-2024-22253,这两项漏洞分别存在于XHCI及UHCI的USB控制器,一旦攻击者取得虚拟化主机的本机管理员权限,就有可能利用虚拟机器配置档案(VMX)执行程式码。
值得留意的是,这两个漏洞在不同虚拟化平台带来的危险也有所差异,在VMware Workstation、Fusion的CVSS风险评为9.3分,而在ESXi的CVSS风险评分则是8.4。
【资安防御措施】
2.
【其他新闻】