Winter Vivern 通过 Roundcube 缺陷瞄准 80 多个组织

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Winter Vivern 通过 Roundcube 缺陷瞄准 80 多个组织

宣布时间 2024-02-20

1. Winter Vivern 通过 Roundcube 缺陷瞄准 80 多个组织

2月19日，与白俄罗斯和俄罗斯利益一致的威胁行为者与一项新的网络间谍活动有关，该活动可能利用 Roundcube 网络邮件服务器中的跨站脚本 (XSS) 漏洞来针对 80 多个组织。据 Recorded Future 称，这些实体主要位于格鲁吉亚、波兰和乌克兰，该公司将这次入侵归因于名为 Winter Vivern 的威胁行为者，该威胁者也被称为 TA473 和 UAC0114。该网络宁静公司正在追踪名为“威胁活动组织 70”(TAG-70) 的黑客组织。Recorded Future 发现的这场活动从 2023 年 10 月开始一直连续到本月中旬，目的是收集有关欧洲政治和军事活动的情报。这些攻击与 2023 年 3 月检测到的针对乌兹别克斯坦政府邮件服务器的其他 TAG-70 活动重叠。Recorded Future体现，还发现了TAG-70针对伊朗驻俄罗斯和荷兰大使馆以及格鲁吉亚驻瑞典大使馆的证据。

https://thehackernews.com/2024/02/russian-linked-hackers-breach-80.html

2.伊朗黑客利用新的 BASICSTAR 后门瞄准中东政策专家

2月19日，名为 Charming Kitten 的伊朗裔威胁行为者通过创建一个虚假的网络研讨会门户，通过名为BASICSTAR的新后门，与一系列针对中东政策专家的新攻击有关。Charming Kitten，也称为 APT35、CharmingCypress、Mint Sandstorm、TA453 和 Yellow Garuda，有着筹谋种种社会工程活动的历史，这些活动在其目标上撒下了广泛的网络，通常专门针对智库、非政府组织和记者。该组织被评估为隶属于伊朗伊斯兰革命卫队 (IRGC)，在过去一年中还分发了其他几个后门，例如PowerLess、BellaCiao、POWERSTAR（又名 GorjolEcho）和NokNok ，强调其继续进行网络攻击的决心尽管果然曝光，但仍调整其计谋和要领。2023 年 9 月至 10 月期间视察到的网络钓鱼攻击涉及 Charming Kitten 运营商冒充 Rasanah 国际伊朗研究所 (IIIS) 提倡攻击并与目标建立信任。攻击链通常使用包罗 LNK 文件的 RAR 存档作为分发恶意软件的起点，并通过消息敦促潜在目标加入有关他们感兴趣的主题的虚假网络研讨会。已视察到部署 BASICSTAR 和 KORKULOADER（一种 PowerShell 下载器脚本）的此类多阶段熏染序列。

https://thehackernews.com/2024/02/iranian-hackers-target-middle-east.html

3.黑客声称人力资源巨头 Robert Half 数据泄露并出售敏感数据

2月18日，这些污名昭著的黑客分别是 IntelBroker 和 Sanggiero，他们声称拥有 Robert Half 的大量数据，这些数据正在以门罗币 (XMR) 加密货币的价格出售，售价为 20,000 美元。2022 年 6 月，全球人力资源和商业咨询服务公司 Robert Half International Inc. 向缅因州总检察长办公室提交了数据泄露通知。通知称，该公司遭遇数据泄露，黑客针对 1000 多名客户，乐成获取了他们的姓名、地址、社会宁静号码和税务信息。黑客还分享了据称显示被盗数据、Git 存储库和 AWS 相关系统设置的屏幕截图。一张屏幕截图似乎显示了一份客户列表，“帐户名称”下列出了公司，并附有全名、主要职能角色、头衔和电话号码。

https://www.hackread.com/hackers-claim-robert-half-data-breach/

4.Turla APT 使用TinyTurla-NG旨在窃取登录凭据

2月19日，俄罗斯网络间谍威胁组织“Turla APT 组织”被发现使用新的后门进行恶意操作。这个新的后门被称为“TinyTurla-NG”（TTNG），它与之前披露的植入法式TinyTurla在编码风格和功效实现方面有相似之处。然而，这个新的后门自 2023 年 12 月以来一直在流传，目标是在俄罗斯入侵期间支持乌克兰的波兰非政府组织。此外，该后门还使用PowerShell 脚本进行渗透。他们的目标包罗美国、欧盟、乌克兰和亚洲。此外，该威胁行为者此前曾针对乌克兰国防军使用过 CAPIBAR 和 KAZUAR 恶意软件系列。研究人员还是发现了三个差异的 TinyTurla-NG 样本，其中最早的妥协是在 2023 年 12 月 18 日发现的，而且一直活跃到 2024 年 1 月 27 日。最新的活动使用基于 WordPress 的网站作为命令和控制 (C2) 端点TTNG后门。

https://gbhackers.com/turla-aptc-new-tool/

5.ESET 修复 WINDOWS 产物中的严重性当地权限升级漏洞

2月18日，ESET 解决了其 Windows 产物中的一个高严重性漏洞，编号为 CVE-2024-0353（CVSS 评分 7.8）。该漏洞是一个当地权限升级问题，由零日计划 (ZDI) 提交给该公司。凭据该通报，攻击者可以滥用 ESET 的文件操作（由实时文件系统�；ぶ葱校�，在没有适当权限的情况下删除文件。由 Windows 操作系统上的实时文件系统�；すπе葱械奈募僮鞔χ弥械穆┒�，可能允许能够在目标系统上执行低特权代码的攻击者删除 NT AUTHORITY\SYSTEM 下的任意文件，提升他们的特权。ESET 尚未发现利用此漏洞进行的野外攻击活动。

https://securityaffairs.com/159280/breaking-news/eset-local-privilege-escalation-windows.html

6. SOLARWINDS 修复 ACCESS RIGHTS MANAGER 中的要害 RCE

2月19日，SolarWinds 解决了其访问权限管理器 (ARM) 解决方案中的三个要害漏洞，其中包罗两个 RCE 错误。访问权限管理器 (ARM) 是一款软件解决方案，旨在资助组织管理和监控其 IT 基础设施内的访问权限和权限。此类工具对于维护用户对种种资源、系统和数据的访问的宁静性、合规性和高效管理至关重要。三个严重的远程代码执行缺陷是：CVE-2023-40057（CVSS 评分 9.0）：不受信任数据的反序列化问题。经过身份验证的用户可以利用此漏洞滥用 SolarWinds 服务，从而导致远程代码执行。CVE-2024-23479（CVSS 评分 9.6）：目录遍历远程代码执行漏洞。未经身份验证的用户可以利用此问题实现远程代码执行。CVE-2024-23476（CVSS 评分 9.6）目录遍历远程代码执行漏洞。如果被利用，未经身份验证的用户可以实现远程执行代码。

https://securityaffairs.com/159294/security/solarwinds-access-rights-manager-flaws.html

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究