本周安全资讯涵盖开源软件在英国科技产业的价值,黑客利用Windows策略漏洞伪造驱动签名,FIN8团伙使用定制后门实施BlackCat勒索软件攻击,LokiBot恶意软件通过Office文档瞄准Windows用户,以及Adobe警告ColdFusion的严重远程代码执行漏洞正被活跃利用。
网安周报是棱镜七彩推出的安全资讯专栏,旨在通过展示一周内发生的与开源安全、软件供应链安全相关攻击事件,让用户了解开源及软件供应链威胁,提高对安全的重视,做好防御措施。
1、英国科技总增值 27% 来自开源,价值达 135.9 亿英镑
英国开源非营利组织 OpenUK 最新发布的 “State of Open: The UK in 2023” 报告指出,开源软件的生产能力占 2022 年英国科技行业总增加值(GVA)的四分之一以上(27%)。OpenUK 认为,这可能是世界上第一份开源软件的 GVA 贡献分析;该报告揭示了开源产品和信息给英国带来的经济和社会效益。OpenUK 基于数字、文化、媒体和体育部的数据估计,2022 年英国科技行业的 GVA 为 507.1 亿英镑。然后根据 2022 年英国科技行业公司从开源软件中获得的平均收入确定,开源相关产品和服务产生的价值为 135.9 亿英镑。
参考链接:https://weibo.com/ttarticle/p/show?id=2309404924923415233005
2、黑客利用 Windows 策略漏洞伪造内核模式驱动程序签名
一个Microsoft Windows 策略漏洞主要被母语为中文的威胁参与者利用,他们通过多种开源工具来更改伪造内核模式驱动程序的签名日期,以加载使用过期证书签名的恶意和未经验证的驱动程序,Microsoft表示已采取措施阻止所有证书以减轻威胁,并进一步表示,其调查发现“该活动仅限于滥用几个开发人员计划账户,并且没有发现Microsoft账户泄露。
参考链接:https://thehackernews.com/2023/07/hackers-exploit-windows-policy-loophole.htm
3、FIN8 组使用修改的后门进行 BlackCat 勒索软件攻击
据观察,被称为FIN8的出于经济动机的威胁行为者使用名为Sardonic的后门的“改进”版本来提供BlackCat勒索软件。Sardonic被嵌入到PowerShell脚本中,该脚本在获得初始访问权限后部署到目标系统中,旨在启动 .NET 加载程序,然后解密并执行注入器模块以最终运行植入程序。后门的其他一些功能包括能够删除任意文件并将文件内容从受感染的计算机泄露到参与者控制的基础架构。
参考链接:https://thehackernews.com/2023/07/fin8-group-using-modified-sardonic.html
4、LokiBot恶意软件针对Office文档攻击中的Windows用户
Windows用户再次成为LokiBot复杂恶意软件的目标,该恶意软件正在通过恶意Office文档传播。攻击者利用已知的漏洞(如 CVE-2021-40444 和 CVE-2022-30190)在Office 文档中嵌入恶意宏Microsoft。调查显示,恶意文档采用了各种技术,包括使用外部链接和VBA脚本来启动攻击链。一旦执行,这些宏会将 LokiBot 恶意软件投放到受害者的系统上,允许攻击者控制和收集敏感信息。
参考链接:https://www.infosecurity-magazine.com/news/lokibot-malware-targets-windows/
5、Adobe 警告客户 ColdFusion RCE 漏洞已被攻击者利用
Adobe 警告客户存在一个严重的 ColdFusion 预身份验证远程代码执行漏洞,该漏洞被跟踪为 CVE-2023-29300(CVSS 分数 9.8),该漏洞在野外攻击中被积极利用。未经身份验证的访问者可以利用此漏洞在易受攻击的 Coldfusion 2018、2021 和 2023 服务器上远程执行命令。
参考链接:https://securityaffairs.com/148542/hacking/coldfusion-rce-attacks.html
扫一扫
800
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
