Google修复已被利用的Chrome漏洞CVE-2023-5217
发布时间 2023-09-281、Google修复已被利用的Chrome漏洞CVE-2023-5217
据媒体9月27日报道,Google发布紧急安全更新,修复了今年第5个被利用的Chrome漏洞(CVE-2023-5217)。该漏洞源于开源libvpx视频编解码器库的VP8编码中的堆缓冲区溢出漏洞,可能导致应用程序崩溃和任意代码执行。Google TAG透露,该漏洞被利用来安装间谍软件。虽然Google称,修复版本可能需要几天或几周才能覆盖整个用户群,但研究人员检查更新时发现立即可用,而且浏览器还将自动检查新更新并在下次启动后自动安装它们。
https://www.bleepingcomputer.com/news/security/google-fixes-fifth-actively-exploited-chrome-zero-day-of-2023/
2、加拿大Flair航空公司的数据库已公开至少7个月
据9月26日报道,Cybernews发现加拿大Flair航空公司的数据库和电子邮件地址的凭据已公开至少7个月。该事件泄露了Flyflair.com网站上托管的环境文件,该.env文件包含数据库和电子邮件配置详细信息。数据库配置显示,其中一个数据库暴露在互联网上,任何人都可能使用这些凭据来访问存储在该数据库中的敏感信息。目前无法确定泄露数据是否已被利用,但公开的.env文件于2022年8月首次被发现并编入索引,这意味着它们在近7个月的时间里可以被访问。
https://securityaffairs.com/151512/data-breach/canadian-flair-airlines-data-leak.html
3、英国公司KNP Logistics因6月遭到的攻击宣告破产
9月27日称,KNP Logistics在本周一宣布破产,并将原因归结于6月份遭到的勒索攻击。这是英国最大的私营物流公司之一。据其管理员称,勒索攻击影响了关键的系统、业务流程和财务,这对集团的财务状况以及最终获得额外投资和资金的能力产生了不利影响。该公司于6月份被添加到Akira团伙的网站列表中,Avast在7月份发布了Akira勒索软件的解密器。目前尚不清楚KLP Logistics是否使用了解密器。
https://therecord.media/knp-logistics-ransomware-insolvency-uk
4、AtlasCross以红十字会为诱饵分发后门恶意软件
媒体9月26日称,黑客团伙AtlasCross以美国红十字会为诱饵攻击目标,以分发后门恶意软件。AtlassCross冒充来自美国红十字会发送钓鱼邮件,邀请收件人参加2023年9月的献血活动。这些邮件包含启用宏的Word文档(.docm)附件,启用后首先会在Windows设备上下载ZIP存档,来分发KB4495667.pkg,这是DangerAds系统分析器和恶意软件加载程序。最终,DangerAds会加载x64.dll,这是最终AtlasAgent木马,也是此次攻击中的最终payload。
https://www.bleepingcomputer.com/news/security/new-atlascross-hackers-use-american-red-cross-as-phishing-lure/
5、新恶意软件ZenRAT通过假的Bitwarden安装包传播
Proofpoint在9月26日披露了新恶意软件ZenRAT通过虚假密码管理器Bitwarden安装包进行分发的活动。该RAT主要针对Windows系统,旨在窃取信息。恶意安装程序于7月28日首次在VirusTotal上报告,已经以两个不同的名称在接近的位置出现过两次。安装程序自称是Piriform's Speccy,并假装带有Tim Kosse的签名。目前,尚不清楚恶意软件是如何传播的。此外,仅当目标通过Windows主机访问该恶意网站时,才会显示虚假的Bitwarden安装包。
https://www.proofpoint.com/us/blog/threat-insight/zenrat-malware-brings-more-chaos-calm
6、Group-IB发布关于ShadowSyndicate的分析报告
9月26日,Group-IB发布了关于ShadowSyndicate的分析报告。ShadowSyndicate在许多服务器上使用了相同的Secure Shell(SSH)指纹(截至目前有85个),至少52台具有此SSH的服务器被用作Cobalt Strike C2框架。它自2022年7月16日开始一直活跃,与Quantum、Nokoyawa、BlackCat、Royal、Cl0p、Cactus和Play相关的勒索活动有关,同时还使用了“现成的”工具包,例如Cobalt Strike、Sliver、IcedID和Matanbuchus等。研究人员还发现了ShadowSyndicate的基础设施和Cl0p/Truebot之间的联系。
https://www.group-ib.com/blog/shadowsyndicate-raas/
京公网安备11010802024551号