关键词:Apple;微软;GitHub;Dos;软件供应链攻击;DarkBeatC2;
1. 苹果更新间谍软件警报系统,以警告雇佣攻击受害者
苹果周三修改了其关于雇佣间谍软件威胁通知系统的文件,指出当用户可能受到此类攻击的单独针对时,系统会向用户发出警告。它还特别指出了像NSO集团这样的公司,这些公司开发了诸如Pegasus之类的商业监控工具,这些工具被国家机构用于实施“高成本、复杂的单独针对性攻击”。
“虽然只针对极少数人(通常是记者、活动家、政治家和外交官)进行雇佣间谍软件攻击,但这些攻击是持续不断的,且是全球性的,”苹果表示。
“雇佣间谍软件攻击的极高成本、复杂性和全球性使其成为当今存在的一些最先进的数字威胁。”
此次更新标志着措辞的改变,之前这些“威胁通知”旨在通知并协助可能受到国家资助的攻击者攻击的用户。
据TechCrunch报道,苹果在周三太平洋时间中午12点向92个国家的iPhone用户发送了威胁通知,与此同时,支持页面也进行了修订。
来源:https://thehackernews.com/2024/04/apple-expands-spyware-alert-system-to.html
2.伊朗MuddyWater黑客在最新活动中采用新的C2工具“DarkBeatC2”
被称为MuddyWater的伊朗黑客已被归因于一个新的命令和控制(C2)基础设施,称为DarkBeatC2,这是继SimpleHarm、MuddyC3、PhonyC2和MuddyC2Go之后,其武器库中的最新工具。
“虽然MuddyWater偶尔会切换到新的远程管理工具或更改其C2框架,但其方法始终如一,”Deep Instinct安全研究员西蒙·凯宁在上周发布的一份技术报告中说。
MuddyWater也被称为Boggy Serpens、Mango Sandstorm和TA450,据评估与伊朗情报和安全部(MOIS)有关联。据悉,该组织至少从2017年开始就异常活跃,策划了一系列网络钓鱼攻击,这些攻击导致在受损系统上部署了各种合法的远程监控和管理(RMM)解决方案。
微软之前的调查结果表明,该组织与另一个被追踪为Storm-1084(又名DarkBit)的伊朗威胁活动集群有联系,后者利用访问权限策划了对以色列实体的破坏性清除攻击。
来源:https://thehackernews.com/2024/04/iranian-muddywater-hackers-adopt-new-c2.html
3.警惕:GitHub的虚假流行度骗局诱骗开发人员下载恶意软件
黑客现在正在利用GitHub的搜索功能,诱骗毫无戒心的用户寻找热门仓库,让他们下载包含恶意软件的虚假对应程序。Checkmarx在分享的一份报告中表示,对开源软件供应链的最新攻击涉及在Microsoft Visual Code项目文件中隐藏恶意代码,这些代码旨在从远程URL下载下一阶段的有效载荷。
安全研究员叶胡达·盖尔布(Yehuda Gelb)表示:“攻击者会使用流行的名称和主题创建恶意仓库,并利用诸如自动更新和虚假星标等技术来提高搜索排名并欺骗用户。”
其目的是操纵GitHub的搜索排名,以便在用户根据最近的更新过滤和排序结果时,将黑客控制的仓库置于顶部,并通过虚假账户添加的虚假星标来提高流行度。
来源:https://thehackernews.com/2024/04/beware-githubs-fake-popularity-scam.html
4. 研究人员发现首个针对Linux内核的本地Spectre v2漏洞
网络安全研究人员披露了他们所说的针对英特尔系统上Linux内核的“首个本地Spectre v2漏洞”,该漏洞可被利用来从内存中读取敏感数据。阿姆斯特丹自由大学系统与网络安全小组(VUSec)的研究人员在一项新研究中表示,该漏洞名为本地分支历史注入(BHI),可以通过绕过现有的Spectre v2/BHI缓解措施,以3.5 kB/s的速度泄露任意内核内存。
该缺陷被追踪为CVE-2024-2201。
BHI首次由VUSec于2022年3月披露,描述为一种可以绕过英特尔、AMD和ARM等现代处理器中的Spectre v2保护的技术。
虽然该攻击利用了扩展的伯克利包过滤器(eBPFs),但英特尔针对该问题的建议之一,除其他事项外,是禁用Linux的非特权eBPFs。
来源:https://thehackernews.com/2024/04/researchers-uncover-first-native.html
5. 微软在4月大型补丁发布中修复149个漏洞,包括零日漏洞
微软发布了2024年4月的安全更新,以修复创纪录的149个漏洞,其中两个漏洞已在野外被积极利用。
在这149个漏洞中,3个被评为“严重”,142个被评为“重要”,3个被评为“中等”,1个漏洞的严重性被评为“低”。此次更新除了修复了这些漏洞之外,还解决了该公司在2024年3月发布星期二补丁后,在其基于Chromium的Edge浏览器中发现的另外21个漏洞。
以下是两个已被积极利用的漏洞:
- CVE-2024-26234(CVSS评分:6.7) - 代理驱动程序欺骗漏洞
- CVE-2024-29988(CVSS评分:8.8) - SmartScreen提示安全功能绕过漏洞
尽管微软自己的咨询没有提供关于CVE-2024-26234的信息,但网络安全公司Sophos表示,它在2023年12月发现了一个由有效的微软Windows硬件兼容性发布者(WHCP)证书签名的恶意可执行文件(“Catalog.exe”或“目录身份验证客户端服务”)。
对该二进制的Authenticode分析显示,原始请求发布者为海南优虎科技有限公司,该公司也是另一款名为LaiXi Android Screen Mirroring的工具的发布者。
后者被描述为“一种营销软件…可以连接数百部手机并批量控制它们,并可以自动化执行批量关注、点赞和评论等任务。”
在这个所谓的身份验证服务中,存在一个名为3proxy的组件,该组件旨在监视和拦截受感染系统上的网络流量,实际上充当了一个后门。
Sophos研究员安德烈亚斯·克洛普施(Andreas Klopsch)说:“我们没有证据表明LaiXi的开发者故意将恶意文件嵌入到他们的产品中,也没有证据表明黑客进行了供应链攻击,以将其插入到LaiXi应用程序的编译/构建过程中。”
这家网络安全公司还表示,它在野外发现了该后门的多个其他变体,最早可以追溯到2023年1月5日,这表明该活动至少从那时起就已经开始了。微软已将相关文件添加到其撤销列表中。
来源:https://thehackernews.com/2024/04/microsoft-fixes-149-flaws-in-huge-april.html
288
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
