Winter Vivern 通过 Roundcube 缺陷瞄准 80 多个组织

首页 > 清静研究 > 清静转达 > 清静简讯

Winter Vivern 通过 Roundcube 缺陷瞄准 80 多个组织

宣布时间 2024-02-20

1. Winter Vivern 通过 Roundcube 缺陷瞄准 80 多个组织

2月19日，与白俄罗斯和俄罗斯利益一致的威胁行为者与一项新的网络特工运动有关，该运动可能使用 Roundcube 网络邮件服务器中的跨站剧本 (XSS) 误差来针对 80 多个组织。据 Recorded Future 称，这些实体主要位于格鲁吉亚、波兰和乌克兰，该公司将这次入侵归因于名为 Winter Vivern 的威胁行为者，该威胁者也被称为 TA473 和 UAC0114。该网络清静公司正在追踪名为“威胁运动组织 70”(TAG-70) 的黑客组织。Recorded Future 发明的这场运动从 2023 年 10 月最先一直一连到本月中旬，目的是网络有关欧洲政治和军事运动的情报。这些攻击与 2023 年 3 月检测到的针对乌兹别克斯坦政府邮件服务器的其他 TAG-70 运动重叠。Recorded Future体现，还发明了TAG-70针对伊朗驻俄罗斯和荷兰大使馆以及格鲁吉亚驻瑞典大使馆的证据。

https://thehackernews.com/2024/02/russian-linked-hackers-breach-80.html

2.伊朗黑客使用新的 BASICSTAR 后门瞄准中东政策专家

2月19日，名为 Charming Kitten 的伊朗裔威胁行为者通过建设一个虚伪的网络钻研会门户，通过名为BASICSTAR的新后门，与一系列针对中东政策专家的新攻击有关。Charming Kitten，也称为 APT35、CharmingCypress、Mint Sandstorm、TA453 和 Yellow Garuda，有着策划种种社会工程运动的历史，这些运动在其目的上撒下了普遍的网络，通常专门针对智库、非政府组织和记者。该组织被评估为隶属于伊朗伊斯兰革命卫队 (IRGC)，在已往一年中还分发了其他几个后门，例如PowerLess、BellaCiao、POWERSTAR（又名 GorjolEcho）和NokNok ，强调其继续举行网络攻击的刻意只管果真曝光，但仍调解其战略和要领。2023 年 9 月至 10 月时代视察到的网络垂纶攻击涉及 Charming Kitten 运营商冒充 Rasanah 国际伊朗研究所 (IIIS) 提倡攻击并与目的建设信托。攻击链通常使用包括 LNK 文件的 RAR 存档作为分发恶意软件的起点，并通过新闻鞭策潜在目的加入有关他们感兴趣的主题的虚伪网络钻研会。已视察到安排 BASICSTAR 和 KORKULOADER（一种 PowerShell 下载器剧本）的此类多阶段熏染序列。

https://thehackernews.com/2024/02/iranian-hackers-target-middle-east.html

3.黑客声称人力资源巨头 Robert Half 数据泄露并出售敏感数据

2月18日，这些污名昭著的黑客划分是 IntelBroker 和 Sanggiero，他们声称拥有 Robert Half 的大宗数据，这些数据正在以门罗币 (XMR) 加密钱币的价钱出售，售价为 20,000 美元。2022 年 6 月，全球人力资源和商业咨询服务公司 Robert Half International Inc. 向缅因州总审查长办公室提交了数据泄露通知。通知称，该公司遭遇数据泄露，黑客针对 1000 多名客户，乐成获取了他们的姓名、地点、社会清静号码和税务信息。黑客还分享了据称显示被盗数据、Git 存储库和 AWS 相关系统设置的屏幕截图。一张屏幕截图似乎显示了一份客户列表，“帐户名称”下列出了公司，并附有全名、主要职能角色、头衔和电话号码。

https://www.hackread.com/hackers-claim-robert-half-data-breach/

4.Turla APT 使用TinyTurla-NG旨在窃取登录凭证

2月19日，俄罗斯网络特工威胁组织“Turla APT 组织”被发明使用新的后门举行恶意操作。这个新的后门被称为“TinyTurla-NG”（TTNG），它与之前披露的植入程序TinyTurla在编码气概和功效实现方面有相似之处。然而，这个新的后门自 2023 年 12 月以来一直在撒播，目的是在俄罗斯入侵时代支持乌克兰的波兰非政府组织。别的，该后门还使用PowerShell 剧本举行渗透。他们的目的包括美国、欧盟、乌克兰和亚洲。别的，该威胁行为者此前曾针对乌克兰国防军使用过 CAPIBAR 和 KAZUAR 恶意软件系列。研究职员照旧发明了三个差别的 TinyTurla-NG 样本，其中最早的妥协是在 2023 年 12 月 18 日发明的，并且一直活跃到 2024 年 1 月 27 日。最新的运动使用基于 WordPress 的网站作为下令和控制 (C2) 端点TTNG后门。

https://gbhackers.com/turla-aptc-new-tool/

5.ESET 修复 WINDOWS 产品中的严重性外地权限升级误差

2月18日，ESET 解决了其 Windows 产品中的一个高严重性误差，编号为 CVE-2024-0353（CVSS 评分 7.8）。该误差是一个外地权限升级问题，由零日妄想 (ZDI) 提交给该公司。凭证该转达，攻击者可以滥用 ESET 的文件操作（由实时文件系统�；ぶ葱校�，在没有适当权限的情形下删除文件。由 Windows 操作系统上的实时文件系统�；すπе葱械奈募僮鞔χ贸头Ｖ械奈蟛�，可能允许能够在目的系统上执行低特权代码的攻击者删除 NT AUTHORITY\SYSTEM 下的恣意文件，提升他们的特权。ESET 尚未发明使用此误差举行的野外攻击运动。

https://securityaffairs.com/159280/breaking-news/eset-local-privilege-escalation-windows.html

6. SOLARWINDS 修复 ACCESS RIGHTS MANAGER 中的要害 RCE

2月19日，SolarWinds 解决了其会见权限治理器 (ARM) 解决计划中的三个要害误差，其中包括两个 RCE 过失。会见权限治理器 (ARM) 是一款软件解决计划，旨在资助组织治理和监控其 IT 基础设施内的会见权限和权限。此类工具关于维护用户对种种资源、系统和数据的会见的清静性、合规性和高效治理至关主要。三个严重的远程代码执行缺陷是：CVE-2023-40057（CVSS 评分 9.0）：不受信托数据的反序列化问题。经由身份验证的用户可以使用此误差滥用 SolarWinds 服务，从而导致远程代码执行。CVE-2024-23479（CVSS 评分 9.6）：目录遍历远程代码执行误差。未经身份验证的用户可以使用此问题实现远程代码执行。CVE-2024-23476（CVSS 评分 9.6）目录遍历远程代码执行误差。若是被使用，未经身份验证的用户可以实现远程执行代码。

https://securityaffairs.com/159294/security/solarwinds-access-rights-manager-flaws.html

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究