Winter Vivern 通过 Roundcube 缺点对准 80 多个组织

首页 > 安全钻研 > 安全传递 > 安全简讯

Winter Vivern 通过 Roundcube 缺点对准 80 多个组织

颁布功夫 2024-02-20

1. Winter Vivern 通过 Roundcube 缺点对准 80 多个组织

2月19日，与白俄罗斯和俄罗斯利益一致的威胁行为者与一项新的网络间谍活动有关，该活动可能利用 Roundcube 网络邮件服务器中的跨站剧本 (XSS) 缝隙来针对 80 多个组织。据 Recorded Future 称，这些实体重要位于格鲁吉亚、波兰和乌克兰，该公司将这次入侵归因于名为 Winter Vivern 的威胁行为者，该威胁者也被称为 TA473 和 UAC0114。该网络安全公司在追踪名为“威胁活动组织 70”(TAG-70) 的黑客组织。Recorded Future 发现的这场活动从 2023 年 10 月起头一向持续到本月中旬，主张是网络有关欧洲政治和军事活动的谍报。这些攻击与 2023 年 3 月检测到的针对乌兹别克斯坦当局邮件服务器的其他 TAG-70 活动沉叠。Recorded Future暗示，还发现了TAG-70针对伊朗驻俄罗斯和荷兰大使馆以合格鲁吉亚驻瑞典大使馆的证据。

https://thehackernews.com/2024/02/russian-linked-hackers-breach-80.html

2.伊朗黑客利用新的 BASICSTAR 后门对准中东政策专家

2月19日，名为 Charming Kitten 的伊朗裔威胁行为者通过创建一个虚伪的网络钻研会门户，通过名为BASICSTAR的新后门，与一系列针对中东政策专家的新攻击有关。Charming Kitten，也称为 APT35、CharmingCypress、Mint Sandstorm、TA453 和 Yellow Garuda，有着策动各类社会工程活动的汗青，这些活动在其指标上撒下了宽泛的网络，通常专门针对智库、非当局组织和记者。该组织被评估为从属于伊朗伊斯兰革命卫队 (IRGC)，在从前一年中还分发了其他几个后门，例如PowerLess、BellaCiao、POWERSTAR（别名 GorjolEcho）和NokNok ，强调其持续进行网络攻击的刻意只管公开曝光，但仍调整其战术和步骤。2023 年 9 月至 10 月期间观察到的网络垂钓攻击涉及 Charming Kitten 运营商假意 Rasanah 国际伊朗钻研所 (IIIS) 提议攻击并与指标成立信赖。攻击链通常使用蕴含 LNK 文件的 RAR 存档作为分发恶意软件的起点，并通过新闻督促潜在指标参与有关他们感兴致的主题的虚伪网络钻研会。已观察到部署 BASICSTAR 和 KORKULOADER（一种 PowerShell 下载器剧本）的此类多阶段习染序列。

https://thehackernews.com/2024/02/iranian-hackers-target-middle-east.html

3.黑客宣称人力资源巨头 Robert Half 数据泄露并销售敏感数据

2月18日，这些臭名远扬的黑客别离是 IntelBroker 和 Sanggiero，他们宣称占有 Robert Half 的大量数据，这些数据在以门罗币 (XMR) 加密钱币的价值销售，售价为 20,000 美元。2022 年 6 月，全球人力资源和贸易征询服务公司 Robert Half International Inc. 向缅因州总检察长办公室提交了数据泄露通知。通知称，该公司遭逢数据泄露，黑客针对 1000 多名客户，成功获取了他们的姓名、地址、社会安全号码和税务信息。黑客还分享了据称显示被盗数据、Git 存储库和 AWS 有关系统设置的屏幕截图。一张屏幕截图似乎显示了一份客户列表，“帐户名称”下列出了公司，并附有全名、重要职能角色、头衔和电话号码。

https://www.hackread.com/hackers-claim-robert-half-data-breach/

4.Turla APT 使用TinyTurla-NG旨在窃取登录痛处

2月19日，俄罗斯网络间谍威胁组织“Turla APT 组织”被发现使用新的后门进行恶意操作。这个新的后门被称为“TinyTurla-NG”（TTNG），它与之前披露的植入法式TinyTurla在编码风格和职能实现方面有类似之处。然而，这个新的后门自 2023 年 12 月以来一向在传布，指标是在俄罗斯入窃熠间支持乌克兰的波兰非当局组织。此表，该后门还使用PowerShell 剧本进行渗入。他们的指标蕴含美国、欧盟、乌克兰和亚洲。此表，该威胁行为者此前曾针对乌克兰国防军使用过 CAPIBAR 和 KAZUAR 恶意软件系列。钻研人员还是发现了三个分歧的 TinyTurla-NG 样本，其中最早的妥协是在 2023 年 12 月 18 日发现的，并且一向活跃到 2024 年 1 月 27 日。最新的活动使用基于 WordPress 的网站作为号令和节造 (C2) 端点TTNG后门。

https://gbhackers.com/turla-aptc-new-tool/

5.ESET 建复 WINDOWS 产品中的严沉性本地权限升级缝隙

2月18日，ESET 解决了其 Windows 产品中的一个高严沉性缝隙，编号为 CVE-2024-0353（CVSS 评分 7.8）。该缝隙是一个本地权限升级问题，由零日打算 (ZDI) 提交给该公司。凭据该传递，攻击者能够滥用 ESET 的文件操作（由实时文件系统�；ぶ葱校�，在没有适当权限的情况下删除文件。由 Windows 操作系统上的实时文件系统�；ぶ澳苤葱械奈募僮鞔χ弥械姆煜�，可能允许可能在指标系统上执行低特权代码的攻击者删除 NT AUTHORITY\SYSTEM 下的肆意文件，提升他们的特权。ESET 尚未发现利用此缝隙进行的野表攻击活动。

https://securityaffairs.com/159280/breaking-news/eset-local-privilege-escalation-windows.html

6. SOLARWINDS 建复 ACCESS RIGHTS MANAGER 中的关键 RCE

2月19日，SolarWinds 解决了其接见权限治理器 (ARM) 解决规划中的三个关键缝隙，其中蕴含两个 RCE 谬误。接见权限治理器 (ARM) 是一款软件解决规划，旨在援手组织治理和监控其 IT 基础设施内的接见权限和权限。此类工具对于守护用户对各类资源、系统和数据的接见的安全性、合规性和高效治理至关沉要。三个严沉的远程代码执行缺点是：CVE-2023-40057（CVSS 评分 9.0）：不受信赖数据的反序列化问题。经过身份验证的用户能够利用此缝隙滥用 SolarWinds 服务，从而导致远程代码执行。CVE-2024-23479（CVSS 评分 9.6）：目录遍历远程代码执行缝隙。未经身份验证的用户能够利用此问题实现远程代码执行。CVE-2024-23476（CVSS 评分 9.6）目录遍历远程代码执行缝隙。若是被利用，未经身份验证的用户能够实现远程执行代码。

https://securityaffairs.com/159294/security/solarwinds-access-rights-manager-flaws.html

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研