“幽灵“再临!新型攻击瞄准英特尔CPU;微软Outlook漏洞被俄利用,网络间谍攻击捷克德国实体 | 安全周报0510

1. 微软Outlook漏洞被俄罗斯APT28利用,捷克德国实体遭网络间谍攻击!

捷克和德国于周五透露,他们成为与俄罗斯有关的APT28组织进行的长期网络间谍活动的目标,此举遭到欧洲联盟(E.U.)、北大西洋公约组织(NATO)、英国和美国的谴责。

捷克外交部(MFA)在一份声明中表示,该国一些未具名的实体因微软Outlook的一个安全漏洞而受到攻击,该漏洞于去年年初被发现。

外交部表示:"针对政治实体、国家机构和关键基础设施的网络攻击不仅对国家安全构成威胁,而且还会破坏我们自由社会所基于的民主进程。"

上述安全漏洞为CVE-2023-23397,这是Outlook中一个现已修补的关键权限提升漏洞,可能允许对手访问Net-NTLMv2哈希,然后通过中继攻击使用它们进行身份验证。

德国联邦政府(Bundesregierung)将此次威胁归因于一场网络攻击,该攻击针对社会民主党执行委员会,利用相同的Outlook漏洞进行了"相对较长的时间",从而"损害了众多电子邮件帐户"。

作为此次活动的一部分,一些行业垂直领域成为攻击目标,包括位于德国、乌克兰和欧洲的物流、军备、航空航天、IT服务、基金会和协会,同时,德国联邦政府还暗示该组织与2015年对德国联邦议会(Bundestag)的攻击有关。

关键词:Microsoft Outlook、APT28、网络间谍活动、CVE-2023-23397、权限提升漏洞、Net-NTLMv2哈希、中继攻击

来源:https://thehackernews.com/2024/05/microsoft-outlook-flaw-exploited-by.html

2. "幽灵"再临!新型攻击瞄准英特尔CPU,你的加密密钥危在旦夕!

研究人员发现了两种新型攻击方法,它们针对高性能英特尔CPU,可能被利用来对高级加密标准(AES)算法进行密钥恢复攻击。

加利福尼亚大学圣地亚哥分校、普渡大学、北卡罗来纳大学教堂山分校、佐治亚理工学院和谷歌的一组学者将这两种技术统称为"探路者"。

该论文的主要作者侯赛因·亚瓦尔扎德(Hosein Yavarzadeh)在与黑客新闻分享的一份声明中说:"探路者允许攻击者读取并操纵分支预测器的关键组件,从而发动两种主要类型的攻击:重建程序控制流历史和发动高分辨率的幽灵攻击。"

关键词:Spectre-Style 'Pathfinder' Attack(幽灵式"探路者"攻击)、Intel CPU(英特尔CPU)、Advanced Encryption Standard (AES) algorithm(高级加密标准(AES)算法)、branch predictor(分支预测器)、high-resolution Spectre attacks(高分辨率的幽灵攻击)

厂商名称:Intel、Google

来源:https://thehackernews.com/2024/05/new-spectre-style-pathfinder-attack.html

3. WordPress网站遭黑客全面控制,LiteSpeed缓存插件漏洞成突破口!

一个影响 WordPress LiteSpeed 缓存插件的高危漏洞正被黑客积极利用,以在易受攻击的网站上创建恶意的管理员账户。

这一发现来自 WPScan,该组织表示,此漏洞(CVE-2023-40000,CVSS 评分:8.3)已被利用来创建名为 wpsupp‑user 和 wp‑configuser 的虚假管理员用户。

CVE-2023-40000 是由 Patchstack 于 2024 年 2 月披露的一个存储型跨站脚本 (XSS) 漏洞,它可能允许未经验证的用户通过特制的 HTTP 请求提升权限。

关键词:LiteSpeed Cache、WordPress、跨站脚本 (XSS) 漏洞、特权提升

厂商名称:WordPress、LiteSpeed、WPScan、Patchstack

来源:https://thehackernews.com/2024/05/hackers-exploiting-litespeed-cache-bug.html

4. Tinyproxy惊爆严重漏洞!5万主机面临远程代码执行危机!

在90,310个主机中,有超过50%的主机被发现暴露了一个Tinyproxy服务在互联网上,而这个服务存在一个关键的未修补安全漏洞,这个漏洞存在于HTTP/HTTPS代理工具中。

这个问题被追踪为CVE-2023-49606,根据思科Talos的说法,该问题的CVSS评分为9.8(满分为10)。

思科Talos将其描述为影响1.10.0和1.11.1版本(后者是最新版本)的使用后释放漏洞。

"一个特制的HTTP头可以触发以前释放的内存的重复使用,这会导致内存损坏,并可能导致远程代码执行,"Talos在上周的一份咨询报告中说。"攻击者只需要发出一个未经身份验证的HTTP请求,就可以触发这个漏洞。"

技术关键词:Tinyproxy、远程代码执行、HTTP/HTTPS代理、使用后释放漏洞、内存损坏、未经身份验证的HTTP请求

厂商名称:思科Talos

来源:https://thehackernews.com/2024/05/critical-tinyproxy-flaw-opens-over.html

5. 俄支持的 APT28 发动大规模恶意软件攻击,瞄准波兰机构

波兰政府机构已成为与俄罗斯有关联的APT28组织的大规模恶意软件活动的一部分。

该活动通过发送电子邮件,内容旨在引起收件人的兴趣并说服其点击链接。点击链接后,受害者将被重定向到run.mocky[.]io域,该域进而重定向到另一个名为webhook[.]site的合法网站,这是一个允许开发人员检查通过webhook发送的数据的免费服务,旨在逃避检测。

接下来,会从webhook[.]site下载一个ZIP压缩文件,其中包含伪装成JPG图像文件的Windows计算器二进制文件(名为"IMG-238279780.jpg.exe")、一个隐藏的批处理脚本文件以及另一个隐藏的DLL文件("WindowsCodecs.dll")。如果受害者运行该应用程序,则恶意的DLL文件将通过一种称为DLL侧加载的技术来最终运行批处理脚本,同时在Web浏览器中显示"穿着泳衣的真实女性以及她在社交媒体平台上的真实帐户链接"的图片,以保持伪装。

关键词:APT28、恶意软件、DLL side-loading(DLL侧加载技术)

注:该文本主要描述了APT28针对波兰政府机构进行的大规模恶意软件活动,没有提及具体的厂商名称。
来源https://thehackernews.com/2024/05/kremlin-backed-apt28-targets-polish.html

相关推荐
落樱坠入星野35 分钟前
拿下阿里云之后如何在本地运行镜像进行分析
经验分享·安全·网络安全·阿里云·云计算
不爱学习的YY酱1 小时前
【计网不挂科】计算机网络期末考试——【选择题&填空题&判断题&简述题】试卷(4)
网络·计算机网络
装睡的小5郎1 小时前
家庭宽带如何开启公网ipv4和ipv6
网络
iSee8571 小时前
ArcGIS地理空间平台 manager 任意文件读取漏洞复现
安全
yfs10241 小时前
压缩Minio桶中的文件为ZIP,并通过 HTTP 响应输出
网络·网络协议·http
有谁看见我的剑了?1 小时前
Ubuntu 22.04.5 配置vlan子接口和网桥
服务器·网络·ubuntu
hgdlip1 小时前
有什么办法换网络ip动态
网络·tcp/ip·智能路由器
超栈1 小时前
HCIP(11)-期中综合实验(BGP、Peer、OSPF、VLAN、IP、Route-Policy)
运维·网络·网络协议·计算机网络·web安全·网络安全·信息与通信
Wh1teR0se1 小时前
XSS漏洞--常用payload及绕过
web安全·网络安全·xss
დ旧言~1 小时前
【网络】应用层——HTTP协议
开发语言·网络·网络协议·http·php