Bumblebee恶意软件疑似卷土重来，新攻击链被曝光

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Bumblebee恶意软件疑似卷土重来，新攻击链被曝光

宣布时间 2024-10-23

1. Bumblebee恶意软件疑似卷土重来，新攻击链被曝光

10月21日，Bumblebee恶意软件在寂静数月后，近期被网络宁静公司Netskope发现又有新活动迹象，可能预示着该病毒将卷土重来。Bumblebee是由TrickBot开发人员创作的，自2022年泛起以来，便作为BazarLoader后门的替代品，为勒索软件威胁行为者提供对受害者网络的访问权限。它通常通过网络钓鱼、恶意广告和SEO投毒等方式熏染，通报的有效载荷包罗Cobalt Strike信标、窃取信息的恶意软件以及种种勒索软件。今年5月，欧洲刑警组织的“终局行动”查获了多台支持Bumblebee等恶意软件加载法式操作的服务器，今后Bumblebee一度销声匿迹。然而，最新的Bumblebee攻击链始于一封网络钓鱼电子邮件，诱骗受害者下载恶意ZIP存档，随后通过一系列操作在内存中部署Bumblebee。Netskope警告称，这是对Bumblebee可能苏醒的早期迹象的警告，但并未提供有关其投放的有效载荷或攻击规模的信息。

https://www.bleepingcomputer.com/news/security/bumblebee-malware-returns-after-recent-law-enforcement-disruption/

2. 数百万用户使用的E2EE云存储平台存在严重漏洞

10月20日，苏黎世联邦理工学院的研究人员Jonas Hofmann和Kien Tuong Turong发现，端到端加密（E2EE）云存储平台存在宁静问题，可能会使用户数据袒露给恶意行为者。他们分析了Sync、pCloud、Icedrive、Seafile和Tresorit等服务，这些服务配合被凌驾2200万人使用，发现这些服务存在严重漏洞，包罗允许恶意行为者注入文件、改动数据或访问用户文件的实现。其中，Sync存在未认证的密钥质料和缺乏公钥认证的问题；pCloud的私钥和公钥也未认证，存在注入文件和利用元数据等漏洞；Icedrive使用未认证的CBC加密，容易受到文件改动攻击；Seafile容易受到协议降级和密码暴力破解的影响，同时文件名和位置也不宁静；而Tresorit体现相对较好，但存在公钥认证依赖服务器控制的证书和元数据易受改动的问题。对于研究人员陈诉的问题，Sync已经迅速接纳行动解决，并体现没有证据表明漏洞已被利用。Tresorit则体现其设计和密码学选择使其系统基本上不受这些攻击的影响，并致力于连续革新平台宁静。

https://www.bleepingcomputer.com/news/security/severe-flaws-in-e2ee-cloud-storage-platforms-used-by-millions/

3. 数百万Android和iOS应用中发现AWS、Azure身份验证密钥

10月23日，赛门铁克的软件工程师发现，Google Play和Apple App Store上广泛使用的移动应用法式中存在硬编码和未加密的云服务凭证，这导致数百万用户面临重大宁静风险。这些凭证的袒露源于懒惰的编码习惯，使得任何能够访问应用法式二进制文件或源代码的人都能访问后端基础设施，进而可能窃取用户数据。在赛门铁克的研究中，多款热门应用如Pic Stitch、Crumbl、Eureka、Videoshop、Meru Cabs、Sulekha Business、ReSound Tinnitus Relief以及Beltone Tinnitus Calmer和EatSleepRIDE摩托车GPS等均被发现存在此类问题。这些应用分别袒露了AWS、Azure和Twilio等云服务提供商的凭证，使得攻击者能够获取生产凭证、访问存储桶、窃取数据并破坏后端基础设施。建议用户安装第三方宁静系统来阻止这些编码错误造成的后果，并警惕应用法式所要求的权限，只安装来自可信来源的应用。同时，开发人员也应编写更好的代码，使用旨在将敏感信息生存在宁静位置的服务，并对所有内容进行加密和定期进行代码审查及宁静扫描。

https://www.theregister.com/2024/10/23/android_ios_security/

4. 三星零日漏洞CVE-2024-44068被积极利用

10月23日，三星移动处置器中发现了一个编号为CVE-2024-44068的零日漏洞，该漏洞在漏洞链中可被利用以执行任意代码，其CVSS评分为8.1，属于高危漏洞。该漏洞存在于三星Exynos 9820、9825、980、990、850和W920移动处置器及可穿着处置器的m2m缩放驱动法式中，可能导致特权升级。该漏洞由谷歌研究员Xingyu Jin在今年早些时候陈诉，谷歌TAG研究员Clement Lecigne警告称该漏洞已在野外存在。Jin和Lecigne指出，该零日漏洞是EoP（特权提升）链的一部门，攻击者能够通过特权相机服务器进程执行任意代码，并将进程名称重命名为“vendor.samsung.hardware.camera.provider@3.0-service”，可能是为了反取证目的。三星已在10月份的宁静修复法式中对该漏洞进行了修补。

https://www.darkreading.com/endpoint-security/samsung-zero-day-vuln-under-active-exploit-google-warns

5. Latrodectus恶意软件在金融、汽车与医疗领域肆虐

10月22日，Forcepoint的分析揭示，Latrodectus（又称BlackWidow）恶意软件正被网络犯罪分子频繁利用，尤其在金融、汽车和医疗保健领域。该下载法式首次发现于2023年10月，据传由开发了IcedID（又名BokBot）的LunarSpider创建，且与WizardSpider有关联。Latrodectus主要通过电子邮件附件流传，附件伪装成PDF或HTML格式，内含可导致熏染的JavaScript。一旦乐成安装，将引发个人信息泄露、经济损失及敏感信息外泄等后果。PDF和HTML的攻击方式有所差异，前者利用JavaScript下载MSI安装法式，后者则实验通过PowerShell直接安装DLL。JavaScript中的恶意代码被混淆，且包罗大量垃圾注释。PDF攻击中，JavaScript会创建一个ActiveXObject并下载.msi文件，释放恶意DLL后由rundll32.exe运行。HTML攻击则显示伪造的Windows弹出窗口，诱导用户点击“解决方案”按钮，进而下载并执行Latrodectus。Forcepoint指出，攻击者还利用URL缩短器重定向至知名的storage[.]googleapis[.]com托管恶意负载。

https://www.securityweek.com/latrodectus-malware-increasingly-used-by-cybercriminals/

6. CISA将ScienceLogic SL1漏洞列为已知被利用漏洞

10月22日，美国网络宁静和基础设施宁静局（CISA）已将ScienceLogic SL1的漏洞CVE-2024-9537（CVSS v4评分高达9.3）列入其已知被利用漏洞（KEV）目录中。该漏洞与SL1中包罗的未指定第三方组件相关，已在SL1版本12.1.3+、12.2.3+和12.3+中得到修复，并为10.1.x及之前版本提供了补丁。此前，云托管提供商Rackspace陈诉了其使用的ScienceLogic EM7监控工具存在宁静问题，一名威胁行为者利用了与ScienceLogic应用法式捆绑的非Rackspace实用法式中的零日漏洞，导致低敏感度性能监控数据泄露。经Rackspace与ScienceLogic合作，已开发补丁并向所有客户提供，同时通知了受影响的客户。据ArticWolf宣布的陈诉，该零日漏洞实为第三方实用法式中的远程代码执行漏洞，但ScienceLogic选择不透露实用法式名称。CISA已要求联邦机构在2024年11月11日前修复此漏洞，并建议私人组织审查KEV目录并解决其基础设施中的相关漏洞。

https://securityaffairs.com/170104/security/u-s-cisa-adds-sciencelogic-sl1-flaw-to-its-known-exploited-vulnerabilities-catalog.html

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究