点击上方蓝色文字关注我们

今日全球网安资讯摘要

特别关注

土耳其黑客向全球 MS SQL 服务器发起

RE#TURGENCE 攻击行动

CISA 警告联邦机构关注“三角测量行动”的第四个漏洞威胁

Android 2024 年 1 月安全更新修补了 58 个漏洞

‍‍

特别关注

土耳其黑客向全球 MS SQL 服务器发起 RE#TURGENCE 攻击行动

标签：安全工具

近日，美国、欧盟和拉美（LATAM）地区的微软 SQL（MS SQL）服务器安全状况不佳，因而被土耳其黑客盯上，成为了其正在进行的以获取初始访问权限为目的的金融活动的攻击目标。

Securonix 研究人员 Den Iuzvyk、Tim Peck 和 Oleg Kolesnikov 在与《黑客新闻》共享的一份技术报告中提到：威胁活动一般会以以下两种方式结束：要么是出售被入侵主机的访问权，要么是最终交付勒索软件有效载荷。

Securonix 网络安全公司将此次土耳其黑客发起的攻击行动命名为 “RE#TURGENCE”。此次行动与 2023 年 9 月曝光的名为 DB#JAMMER 的活动如出一辙。都是先对服务器的初始访问需要进行暴力破解攻击，然后使用 xp_cmdshell 配置选项在被入侵主机上运行 shell 命令，以便从远程服务器检索 PowerShell 脚本打好基础，然后由该脚本负责获取经过混淆的 Cobalt Strike beacon 有效载荷。最后，黑客会利用后剥削工具包从挂载的网络共享中下载 AnyDesk 远程桌面应用程序，以访问机器并下载其他工具，如 Mimikatz 以获取凭据，以及高级端口扫描器以进行侦查。

横向移动是通过一种名为 PsExec 的合法系统管理实用程序完成的，它可以在远程 Windows 主机上执行程序。

该攻击链最终以部署 Mimic 勒索软件而达到高潮，DB#JAMMER 活动中也使用了该勒索软件的变种。

Kolesnikov告诉《黑客新闻》：”这两个活动中使用的指标和恶意TTP完全不同，因此很有可能是两个不同的活动。也就是说，虽然最初的渗透方法类似，但 DB#JAMMER 更复杂一些，使用了隧道技术。相比之下RE#TURGENCE 更有针对性，倾向于使用合法工具以及 AnyDesk 等远程监控和管理工具，试图混入正常活动中。

Securonix表示，它发现了威胁行为者的操作安全（OPSEC）失误，由于AnyDesk的剪贴板共享功能已启用，因此它可以监控剪贴板活动。这样就有机会收集到他们的在线别名 atseverse，该名称还与 Steam 和土耳其一个名为 SpyHack 的黑客论坛上的个人资料相对应。

研究人员提醒说：一定要避免将关键服务器直接暴露在互联网上。在 RE#TURGENCE 的情况下，攻击者可以直接从主网络外部强行进入服务器。

信源：https://www.freebuf.com/news/389295.html

安全资讯

CISA 警告联邦机构关注“三角测量行动”的

第四个漏洞威胁

标签：漏洞

HackerNews 编译，转载请注明出处：

美国网络安全和基础设施安全局在其 “已知被利用漏洞目录”中增加了六个漏洞，这些漏洞影响了苹果、Adobe、Apache、D-Link 和 Joomla 的产品。

已知被利用漏洞目录（简称 KEV）记录了在野攻击中被利用的安全问题，为全球组织在漏洞管理和处理优先级提供了重要参考。

CISA指出：“这些漏洞类型经常被黑客用作攻击手段，对联邦机构构成了重要威胁。”

CISA 已经要求联邦机构在 1 月 29 日之前修补这六个正在被积极利用的漏洞，否则将停止使用这些存在漏洞的产品。

这次重点发现的六个漏洞如下：

• CVE-2023-27524：Apache Superset 2.0.1 版本及以下的不安全默认资源初始化问题，可能导致未经授权的访问。（评分：8.9 “高危”）
• CVE-2023-23752：Joomla! 4.0.0 至 4.2.7 版本中的不当访问检查可能导致未授权访问。（评分：5.3 “中危”）
• CVE-2023-41990：处理 iMessage 附件的字体文件中存在的远程代码执行漏洞，可能导致 iOS 16.2 及更早版本的 Apple iPhone 设备受到攻击。（评分：7.8 “高危”）
• CVE-2023-38203 和 CVE-2023-29300：Adobe ColdFusion 中的不受信任数据反序列化问题可能导致任意代码执行，无需用户交互。（评分：9.8 “关键危险”）
• CVE-2016-20017：D-Link DSL-2750B 1.05 版本之前的设备存在远程未认证命令注入漏洞，从 2016 年至 2022 年被活跃利用。（评分：9.8 “关键危险”）

其中一些列出的漏洞最近才被披露。

例如，CVE-2023-41990 早在 2019 年的 “三角测量行动” 中使用，一直到 2023 年 6 月 Kaspersky 的一些研究人员的设备受到感染时才被发现。

该漏洞是四个漏洞集合中的最后一个，黑客正在利用它来规避全球多个目标的安全防护措施，其中包括欧洲地区的 iPhone。

CVE-2023-38203 和 CVE-2023-29300 从 2023 年中期开始受到黑客利用，因为安全研究人员发现供应商的修复措施可以被绕过。

针对诸如 CVE-2023-27524 等漏洞，其 PoC 利用在去年 9 月已经公开，这可能加剧了黑客的利用活动。

建议所有组织和联邦机构检查其上述漏洞及 KEV 目录中的其他安全问题，并及时采取安全更新或其他必要的防护措施。

消息来源：bleepingcomputer，译者：Claire；  

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文

信源：https://hackernews.cc/archives/48939

Android 2024 年 1 月安全更新修补了 58 个漏洞

     标签：漏洞，补丁

谷歌发布了针对 Android 平台 58 个漏洞的补丁，并修复了 Pixel 设备中的 3 个安全漏洞，拉开了 2024 年的序幕。

Android 2024 年 1 月更新的第一部分以 2024 年 1 月 1 日安全补丁级别发布在设备上，解决了框架和系统组件中的 10 个安全漏洞，所有漏洞均被评为“高严重性”。

谷歌在其公告中指出：“这些问题中最严重的是框架组件中的一个高安全漏洞，可能会导致本地权限升级，而无需额外的执行权限。”

该安全更新解决了框架组件中的五个缺陷，包括四个权限提升和一个信息泄露错误。系统组件中还解决了其他五个问题，包括一项特权提升和四项信息泄露缺陷。

更新的第二部分，即 2024 年 1 月 5 日安全补丁级别，包括针对 Arm、Imagination Technologies、MediaTek、Unisoc 和 Qualcomm 组件中的 48 个漏洞的补丁。

虽然大多数已解决的错误的严重性评级为“高”，但高通组件中的三个问题被评级为“严重”。

所有运行安全补丁级别为 2024 年 1 月 5 日的设备都已针对所有这些缺陷以及之前的 Android 安全更新解决的漏洞进行了修补。

本月，谷歌修复了影响 Pixel 设备的三个安全缺陷，所有缺陷均由高通组件构成，且全部被评为“中等严重性”。

运行安全补丁级别为 2024 年 1 月 5 日的 Pixel 设备已针对这些缺陷以及 Android 2024 年 1 月安全公告中详细介绍的所有错误进行了修补。

谷歌还宣布修复了 Wear OS 中的一个高严重性漏洞，该漏洞作为更新的一部分得到解决，该更新还包括 Android 2024 年 1 月安全更新的补丁。

所有这些缺陷也通过 Pixel Watch 设备的 2024-01-05 补丁级别更新得到解决。

这家互联网巨头没有提及任何这些漏洞在攻击中被利用。不过，建议用户尽快更新他们的设备。

信源：https://www.anquanke.com/post/id/292568

声 明

资讯来自全球范围内媒体报道

版权归作者所有
文章内容仅代表作者独立观点

不代表网络盾牌立场
转载目的在于传递更多信息

如有侵权，请公众号后台联系 

一键四连

原文始发于微信公众号（网络盾牌）：0112-土耳其黑客向全球 MS SQL 服务器发起 RE#TURGENCE 攻击行动