Bumblebee恶意软件疑似卷土沉来，新攻击链被曝光

首页 > 安全钻研 > 安全传递 > 安全简讯

Bumblebee恶意软件疑似卷土沉来，新攻击链被曝光

颁布功夫 2024-10-23

1. Bumblebee恶意软件疑似卷土沉来，新攻击链被曝光

10月21日，Bumblebee恶意软件在僻静数月后，近期被网络安全公司Netskope发现又有新活动迹象，可能预示着该病毒将卷土沉来。Bumblebee是由TrickBot开发人员创作的，自2022年出现以来，便作为BazarLoader后门的代替品，为勒索软件威胁行为者提供对受害者网络的接见权限。它通常通过网络垂钓、恶意告白和SEO投毒等方式习染，传递的有效载荷蕴含Cobalt Strike信标、窃守信息的恶意软件以及各类勒索软件。今年5月，欧洲刑警组织的“终局行动”查获了多台支持Bumblebee等恶意软件加载法式操作的服务器，尔后Bumblebee一度偃旗息鼓。然而，最新的Bumblebee攻击链始于一封网络垂钓电子邮件，诱骗受害者下载恶意ZIP存档，随后通过一系列操作在内存中部署Bumblebee。Netskope忠告称，这是对Bumblebee可能复苏的早期迹象的忠告，但并未提供有关其投放的有效载荷或攻击规模的信息。

https://www.bleepingcomputer.com/news/security/bumblebee-malware-returns-after-recent-law-enforcement-disruption/

2. 数百万用户使用的E2EE云存储平台存在严沉缝隙

10月20日，苏黎世联国理工学院的钻研人员Jonas Hofmann和Kien Tuong Turong发现，端到端加密（E2EE）云存储平台存在安全问题，可能会使用户数据露出给恶意行为者。他们分析了Sync、pCloud、Icedrive、Seafile和Tresorit等服务，这些服务共同被超过2200万人使用，发现这些服务存在严沉缝隙，蕴含允许恶意行为者注入文件、篡改数据或接见用户文件的实现。其中，Sync存在未认证的密钥资料和不足公钥认证的问题；pCloud的私钥和公钥也未认证，存在注入文件和把持元数据等缝隙；Icedrive使用未认证的CBC加密，容易受到文件篡改攻击；Seafile容易受到和谈降级和密码暴力破解的影响，同时文件名和地位也不安全；而Tresorit阐发相对较好，但存在公钥认证依赖服务器节造的证书和元数据易受篡改的问题。对于钻研人员汇报的问题，Sync已经迅快采取行动解决，并暗示没有证据批注缝隙已被利用。Tresorit则暗示其设计和密码学选择使其系统根基上不受这些攻击的影响，并致力于持续改进平台安全。

https://www.bleepingcomputer.com/news/security/severe-flaws-in-e2ee-cloud-storage-platforms-used-by-millions/

3. 数百万Android和iOS利用中发现AWS、Azure身份验证密钥

10月23日，赛门铁克的软件工程师发现，Google Play和Apple App Store上宽泛使用的移动利用法式中存在硬编码和未加密的云服务凭证，这导致数百万用户面对沉大安全风险。这些凭证的露出源于懈怠的编码习惯，使得任何可能接见利用法式二进造文件或源代码的人都能接见后端基础设施，进而可能窃取用户数据。在赛门铁克的钻研中，多款热点利用如Pic Stitch、Crumbl、Eureka、Videoshop、Meru Cabs、Sulekha Business、ReSound Tinnitus Relief以及Beltone Tinnitus Calmer和EatSleepRIDE摩托车GPS等均被发现存在此类问题。这些利用别离露出了AWS、Azure和Twilio等云服务提供商的凭证，使得攻击者可能获取出产凭证、接见存储桶、窃取数据并粉碎后端基础设施。建议用户装置第三方安整系统来阻止这些编码谬误造成的后果，并警惕利用法式所要求的权限，只装置来自可信起源的利用。同时，开发人员也应编写更好的代码，使用旨在将敏感信息保留在安全地位的服务，并对所有内容进行加密和定期进行代码审查及安全扫描。

https://www.theregister.com/2024/10/23/android_ios_security/

4. 三星零日缝隙CVE-2024-44068被积极利用

10月23日，三星移动处置器中发现了一个编号为CVE-2024-44068的零日缝隙，该缝隙在缝隙链中可被利用以执行肆意代码，其CVSS评分为8.1，属于高危缝隙。该缝隙存在于三星Exynos 9820、9825、980、990、850和W920移动处置器及可穿戴处置器的m2m缩放驱动法式中，可能导致特权升级。该缝隙由谷歌钻研员Xingyu Jin在今年早些时辰汇报，谷歌TAG钻研员Clement Lecigne忠告称该缝隙已在野表存在。Jin和Lecigne指出，该零日缝隙是EoP（特权提升）链的一部门，攻击者可能通过特权相机服务器过程执行肆意代码，并将过程名称沉定名为“vendor.samsung.hardware.camera.provider@3.0-service”，可能是为了反取证主张。三星已在10月份的安全建复法式中对该缝隙进行了建补。

https://www.darkreading.com/endpoint-security/samsung-zero-day-vuln-under-active-exploit-google-warns

5. Latrodectus恶意软件在金融、汽车与医疗领域肆虐

10月22日，Forcepoint的分析揭示，Latrodectus（又称BlackWidow）恶意软件正被网络犯罪分子频仍利用，尤其在金融、汽车和医疗保健领域。该下载法式初次发现于2023年10月，据传由开发了IcedID（别名BokBot）的LunarSpider创建，且与WizardSpider有关联。Latrodectus重要通过电子邮件附件传布，附件假装成PDF或HTML体式，内含可导致习染的JavaScript。一旦成功装置，将引发幼我信息泄露、经济损失及敏感信息表泄等后果。PDF和HTML的攻击方式有所分歧，前者利用JavaScript下载MSI装置法式，后者则尝试通过PowerShell直接装置DLL。JavaScript中的恶意代码被混合，且蕴含大量垃圾注解。PDF攻击中，JavaScript会创建一个ActiveXObject并下载.msi文件，开释恶意DLL后由rundll32.exe运行。HTML攻击则显示伪造的Windows弹出窗口，诱导用户点击“解决规划”按钮，进而下载并执行Latrodectus。Forcepoint指出，攻击者还利用URL缩短器沉定向至驰名的storage[.]googleapis[.]com托管恶意负载。

https://www.securityweek.com/latrodectus-malware-increasingly-used-by-cybercriminals/

6. CISA将ScienceLogic SL1缝隙列为已知被利用缝隙

10月22日，美国网络安全和基础设施安全局（CISA）已将ScienceLogic SL1的缝隙CVE-2024-9537（CVSS v4评分高达9.3）列入其已知被利用缝隙（KEV）目录中。该缝隙与SL1中蕴含的未指定第三方组件有关，已在SL1版本12.1.3+、12.2.3+和12.3+中得到建复，并为10.1.x及之前版本提供了补丁。此前，云托管提供商Rackspace汇报了其使用的ScienceLogic EM7监控工具存在安全问题，一名威胁行为者利用了与ScienceLogic利用法式绑缚的非Rackspace实用法式中的零日缝隙，导致低敏感度机能监控数据泄露。经Rackspace与ScienceLogic合作，已开发补丁并向所有客户提供，同时通知了受影响的客户。据ArticWolf颁布的汇报，该零日缝隙实为第三方实用法式中的远程代码执行缝隙，但ScienceLogic选择不泄漏实用法式名称。CISA已要求联国机构在2024年11月11日前建复此缝隙，并建议个人组织审查KEV目录并解决其基础设施中的有关缝隙。

https://securityaffairs.com/170104/security/u-s-cisa-adds-sciencelogic-sl1-flaw-to-its-known-exploited-vulnerabilities-catalog.html

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研