f38d0fb4f1ac3571f07006fb85130a0d
cb1ae1de9487edd65c2201f1f4a36e3c
martin27.xyz
jinjinpig.co.kr
83.171.237.173
123.160.223.69
进行批量威胁情报自动化查询
所需要的行业、类目标签,一键订阅
背后的关联关系,溯源定位威胁
快速同源扩线相似样本
自动化深度分析恶意软件
实时获取最新威胁攻击
自动化综合检测多种类别恶意邮件
精准判定恶意代码家族
安恒信息研究院安全数据部基于部门数据能力,与安恒信息各大实验室联合,每月推出《安恒信息网络安全月报》,希望能帮助大家及时了解每月网络安全相关信息,为网络安全规划与建设提供决策依据。每月梳理的主要信息如下:(1)当月APT情报:APT的攻击地域,高活跃的APT组织画像;(2)当月勒索攻击:勒索软件影响的行业以及勒索组织画像;(3)当月暗链情报:植入暗链的地区排行、暗链分布占比图;(4)当月漏洞情报:漏洞态势、高关注漏洞及该漏洞全球资产分布;(5)当月黑灰产情报:每月新增黑灰产数量等。更多精彩请查看完整版,感谢您的支持! 完整版可以咨询您所在地区安恒销售,或致电:400 6059 110 转 4 扫码或者下载文末附件均可收获精简版~
概要: 最近,Rapid7的事件响应团队报告了一起严重的Microsoft SharePoint服务器漏洞事件,攻击者通过利用CVE-2024-38094漏洞获得了整个域的访问权限,影响了关键系统。这一事件凸显了对本地SharePoint服务器漏洞进行快速检测和响应的重要性。 主要内容: 调查始于Rapid7注意到涉及具有域管理员权限的Microsoft Exchange服务账户的可疑活动。攻击者利用CVE-2024-38094漏洞,成功执行远程代码,从而在网络中横向移动,持续了两周而未被发现。攻击者利用被攻陷的Exchange服务账户安装了Horoung Antivirus,这一杀毒软件干扰了系统的安全措施,导致现有安全解决方案崩溃,攻击者得以自由追求其目标。Rapid7指出,Horoung的安装与现有安全产品发生冲突,导致这些服务崩溃,攻击者因此能够安装和运行恶意工具,包括Impacket,以进行横向移动。攻击者从被攻陷的SharePoint服务器部署了Mimikatz以提取凭证,并篡改系统日志以掩盖其踪迹,报告显示“系统日志的大部分功能被禁用”,使得检测变得困难。此外,攻击者利用名为ghostfile93.aspx的webshell建立持久访问,并从单一外部IP生成大量HTTP POST请求。这一webshell及其他恶意可执行文件的存在,使攻击者能够绘制网络图、收集凭证并建立外部连接。Rapid7的分析强调了强大日志记录和早期检测措施的必要性,建议审查安全策略、加强日志监控,并及时应用最新补丁,以防止类似的安全漏洞。
概要: 2024年9月17日,黎巴嫩境内同时发生数千台真主党使用的传呼机爆炸事件,造成至少8人死亡,超过2700人受伤。网络安全专家普遍认为此事件并非网络攻击,而是以色列情报部门通过物理手段进行的精心策划的针对性袭击。这一事件的发生进一步加剧了以色列与真主党之间的紧张关系,成为当前中东局势中的又一冲突焦点。 主要内容: 在9月17日下午15:30,黎巴嫩多地的真主党传呼机发生爆炸,造成大量人员伤亡。社交媒体上流传的视频记录了爆炸瞬间,许多人在爆炸中倒地,现场一片混乱。黎巴嫩政府迅速将责任归咎于以色列,并指责其实施“侵略行为”,称此次事件是对黎巴嫩主权的侵犯。真主党则在声明中将以色列视为“敌人”,誓言进行报复。 根据多家媒体的报道,事件的起因并非网络攻击,而是以色列情报部门对真主党传呼机的供应链进行了干预。以色列情报机构被指控在传呼机交付之前,已将其修改并植入炸药。专家指出,真主党近年来为避免被追踪,增加了传呼机的使用。这一事件暴露出其通信安全的脆弱性。 网络安全专家表示,事件的可能触发原因是传呼机接收到了一条消息,导致内置的炸药引爆。Bitdefender的威胁研究主任指出,这些传呼机并不具备锂离子电池的设计,爆炸很可能是由于人为的物理改装而非技术故障。此外,专家认为这是历史上最广泛的物理供应链攻击之一,显示出对以色列网络战能力的高度关注。 国际社会对此事件反应强烈。美国国务院发言人声明,美国并未参与此次事件,也未提前获知相关信息。以色列军方对此未作回应,但局势的不断加剧,可能会导致双方在未来的冲突中升级。 此次事件不仅凸显了中东地区安全局势的复杂性,也反映了新兴网络安全威胁与传统安全威胁之间的交织。各方对这一事件的后续发展保持高度关注。
概要: 英国秘密情报局(MI6)和美国中央情报局(CIA)首次联合发表意见文章,揭示他们的机构已采用生成式人工智能(AI)来增强和改进情报活动。两位情报首脑强调,技术的进步带来了前所未有的挑战,国际秩序正面临冷战以来最大的威胁。 主要内容: 英国秘密情报局局长理查德·摩尔和美国中央情报局局长比尔·伯恩斯在《金融时报》上发表联合文章,首次公开他们的机构已采用生成式AI技术。摩尔和伯恩斯表示,他们正在利用AI技术,包括生成式AI,从数据总结到创意生成,再到在海量数据中识别关键信息,以提升情报活动的效率。摩尔透露,MI6使用大型语言模型来导航互联网上的大量极端内容,并解读最新的犯罪术语,使其情报人员能够更可信地与这些社区互动。此外,他们还利用云技术,使数据科学家能够最大限度地利用数据,并与全球最具创新力的公司合作。两位情报首脑指出,技术的进步使国际秩序面临冷战以来最大的威胁。乌克兰战争展示了技术与传统武器结合如何改变战争进程,包括卫星图像、无人机技术、高低技术水平的网络战、社交媒体、开源软件和情报、无人驾驶的空中和海上载具以及信息操作的结合。除了乌克兰,CIA和MI6还在合作打击俄罗斯的虚假信息活动及其在欧洲的破坏行动。
安恒信息研究院安全数据部基于部门数据能力,与安恒信息各大实验室联合,每月推出《安恒信息网络安全月报》,希望能帮助大家及时了解每月网络安全相关信息,为网络安全规划与建设提供决策依据。每月梳理的主要信息如下:(1)当月APT情报:APT的攻击地域,高活跃的APT组织画像;(2)当月勒索攻击:勒索软件影响的行业以及勒索组织画像;(3)当月暗链情报:植入暗链的地区排行、暗链分布占比图;(4)当月漏洞情报:漏洞态势、高关注漏洞及该漏洞全球资产分布;(5)当月黑灰产情报:每月新增黑灰产数量等。更多精彩请查看完整版,感谢您的支持! 完整版可以咨询您所在地区安恒销售,或致电:400 6059 110 转 4 扫码或者下载文末附件均可收获精简版~
安全通告 近日,安恒信息CERT监测到GitLab存在身份验证绕过漏洞,目前技术细节及PoC未公开,该漏洞允许攻击者在某些情况下以其他用户的身份触发pipeline。 该产品主要使用客户行业分布广泛,漏洞危害性极高,建议客户尽快做好自查及防护。 漏洞信息 ----------------------------披露时间2024年06月26日--------------------------- GitLab 是一个开源的代码协作平台,它提供了一整套工具,支持软件开发的整个生命周期。GitLab 主要特点包括版本控制、代码审查、持续部署、测试、项目管理等功能。 漏洞标题 GitLab存在身份验证绕过漏洞 漏洞处置等级 1级 漏洞类型 访问控制错误 影响目标 影响厂商 GitLab 影响产品 GitLab 影响版本 15.8 <= GitLab CE/EE < 16.11.5 17.0 <= GitLab CE/EE < 17.0.3 17.1 <= GitLab CE/EE < 17.1.1 安全版本 GitLab CE/EE >= 16.11.5 GitLab CE/EE >= 17.0.3 GitLab CE/EE >= 17.1.1 漏洞编号 CVE编号 CVE-2024-5655 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT编号 DM-202406-000366 CVSS3.1评分 9.6 危害等级 严重 CVSS向量 访问途径(AV) 网络 攻击复杂度(AC) 低 所需权限(PR) 低 用户交互(UI) 不需要用户交互 影响范围(S) 改变 机密性影响(C) 高 完整性影响(I) 高 可用性影响(A) 无 威胁状态 Poc情况 未发现 Exp情况 未发现 在野利用 未发现 研究情况 分析中 修复方案 官方修复方案: 官方已发布修复方案,受影响的用户建议更新至安全版本。 https://packages.gitlab.com/gitlab/gitlab-ee?page=6 网络空间资产测绘 根据安恒Sumap全球网络空间资产测绘近三个月数据显示,相关资产主要分布在德国、俄罗斯和中国等国家,其中国内资产68903。建议客户尽快做好资产排查。 参考资料 https://about.gitlab.com/releases/2024/06/26/patch-release-gitlab-17-1-1-released/#run-pipelines-as-any-user 技术支持 如有漏洞相关需求支持请联系400-6059-110获取相关能力支撑。