时代终结，微软宣布淘汰VBScript；Flink漏洞被广泛利用；Grandoreiro银行木马强势回归，1500多家银行成攻击目标 | 安全周报0524_cisa 警告 apache flink 安全漏洞可能被利用

揭秘SolarMarker恶意软件：多层次基础设施让清除工作陷入困境

Recorded Future的新发现表明，SolarMarker信息窃取恶意软件背后的持续威胁行为者已经建立了一个多层次的基础设施，以使执法部门的清除工作变得复杂。

该公司在上周发布的一份报告中表示：“SolarMarker运营的核心是其分层基础设施，该基础设施至少包括两个集群：一个主要用于积极运营，另一个可能用于测试新策略或针对特定地区或行业。”

“这种分离增强了恶意软件适应和应对反制措施的能力，使其特别难以根除。”

SolarMarker，也被称为Deimos、Jupyter Infostealer、Polazert和Yellow Cockatoo，是一种复杂的威胁，自2020年9月出现以来一直在不断发展。它能够从多个网络浏览器和加密货币钱包中窃取数据，并且还能够针对VPN和RDP配置。

关键词：SolarMarker、信息窃取、多层次基础设施、数据窃取、加密货币钱包、VPN配置、RDP配置

来源：https://thehackernews.com/2024/05/solarmarker-malware-evolves-to-resist.html

勒索软件新战术曝光：利用VMware ESXi漏洞发动攻击

新研究发现，无论部署何种文件加密恶意软件，针对VMware ESXi基础设施的勒索软件攻击都遵循一个既定的模式。

网络安全公司Sygnia在与The Hacker News分享的一份报告中表示：“虚拟化平台是组织IT基础设施的核心组件，然而它们经常存在固有的配置错误和漏洞，这使得它们成为威胁行为者滥用的有利且高效的目标。”

这家以色列公司通过应对涉及LockBit、HelloKitty、BlackMatter、RedAlert (N13V)、Scattered Spider、Akira、Cactus、BlackCat和Cheerscrypt等各种勒索软件家族的事件，发现对虚拟化环境的攻击遵循类似的行动序列。

这包括以下步骤：

• 通过网络钓鱼攻击、恶意文件下载和利用面向互联网的资产的已知漏洞来获得初始访问权限
• 使用暴力攻击或其他方法提升权限，以获取ESXi主机或vCenter的凭据
• 验证他们对虚拟化基础设施的访问权限并部署勒索软件
• 删除或加密备份系统，或在某些情况下更改密码，以使恢复工作复杂化
• 将数据外泄到外部位置，如Mega.io、Dropbox或他们自己的托管服务
• 启动勒索软件的执行，以加密ESXi文件系统的“/vmfs/volumes”文件夹
• 将勒索软件传播到非虚拟化的服务器和工作站，以扩大攻击范围

为了减轻此类威胁带来的风险，建议组织确保实施适当的监控和日志记录，建立强大的备份机制，实施强大的身份验证措施，加强环境安全，并实施网络限制以防止横向移动。

关键词：VMware ESXi、勒索软件攻击、虚拟化平台、文件加密恶意软件、配置错误、网络钓鱼攻击

来源：https://thehackernews.com/2024/05/ransomware-attacks-exploit-vmware-esxi.html

Grandoreiro银行木马强势回归，全球1500多家银行成攻击目标

自2024年3月以来，继1月份执法部门的一次打击行动之后，基于Windows的Grandoreiro银行木马的幕后威胁行为者又在全球范围内卷土重来。

IBM X-Force表示，这些大规模的网络钓鱼攻击可能是由其他网络犯罪分子通过恶意软件即服务（MaaS）模式推动的，目标是全球1500多家银行，遍布中美洲、南美洲、非洲、欧洲和印度洋-太平洋地区的60多个国家。

虽然Grandoreiro主要以拉丁美洲、西班牙和葡萄牙为中心，但此次扩张可能是巴西当局试图关闭其基础设施后的战略转变。

与更广泛的目标范围相辅相成的是，恶意软件本身也有了显著的改进，这表明它正在积极发展。

关键词：Grandoreiro银行木马;恶意软件即服务（MaaS）;网络钓鱼攻击;基础设施;恶意软件

来源：https://thehackernews.com/2024/05/grandoreiro-banking-trojan-resurfaces.html

警报！GitHub Enterprise Server严重漏洞可致身份验证被绕过

GitHub已推出修复程序，以解决GitHub Enterprise Server（GHES）中的一个最大严重程度漏洞，该漏洞可能允许攻击者绕过身份验证保护。

该问题被追踪为CVE-2024-4985（CVSS评分：10.0），它可能允许未经授权的访问实例，而无需事先进行身份验证。

该公司在一份咨询报告中表示：“在使用SAML单点登录（SSO）身份验证以及可选的加密断言功能的实例中，攻击者可以伪造SAML响应来配置和/或获取具有管理员权限的用户访问权限。”
GHES是一个用于软件开发的自托管平台，允许组织使用Git版本控制存储和构建软件，并自动化部署管道。

关键词：GitHub Enterprise Server (GHES);身份验证绕过;CVE-2024-4985;SAML单点登录（SSO）;加密断言;管理员权限;Git版本控制;自动化部署管道

来源：https://thehackernews.com/2024/05/critical-github-enterprise-server-flaw.html

CISA紧急警告：Apache Flink安全漏洞正遭到活跃利用

美国网络安全和基础设施安全局（CISA）发出警告，开源的统一流处理和批处理框架Apache Flink存在一个正在被积极利用的安全漏洞。该机构周四将这一安全漏洞添加到已知被利用漏洞（KEV）目录中，并引用了该漏洞正被积极利用的证据。

该漏洞被标记为CVE-2020-17519，与不当的访问控制有关，可能允许攻击者通过JobManager的REST接口读取其本地文件系统上的任何文件。

这也意味着一个远程的未经验证的攻击者可以发送一个特制的目录遍历请求，从而允许未经授权的访问敏感信息。

该漏洞影响Flink的1.11.0、1.11.1和1.11.2版本。2021年1月，在1.11.3或1.12.0版本中已解决此漏洞。

关键词：Apache Flink;统一流处理;批处理框架;已知被利用漏洞（KEV）;REST接口;访问控制;敏感信息

来源：https://thehackernews.com/2024/05/cisa-warns-of-actively-exploited-apache.html

微软宣布逐步淘汰VBScript，JavaScript和PowerShell将接过大旗

微软周三概述了其计划，将在2024年下半年逐步淘汰Visual Basic Script（VBScript），以支持更先进的替代方案，如JavaScript和PowerShell。

微软项目经理纳文·尚卡尔（Naveen Shankar）说：“多年来，技术不断进步，催生了更强大、更多功能的脚本语言，如JavaScript和PowerShell。这些语言提供了更广泛的功能，更适合现代Web开发和自动化任务。”

这家科技巨头最初在2023年10月宣布了逐步淘汰VBScript的计划。

这种脚本语言也被称为Visual Basic Scripting Edition，由微软于1996年首次推出，作为Windows系统的一个组件，使用户能够使用Internet Explorer和Edge（在Internet Explorer模式下）自动化任务和开发交互式网页。

宣布的淘汰计划分为三个阶段，第一阶段将于2024年下半年开始，届时VBScript将在Windows 11 24H2中作为按需功能提供。

第二阶段预计将于2027年左右开始，届时该功能仍将按需提供，但不再默认启用。VBScript预计将在未来某个不确定的日期从Windows操作系统中完全退役并删除。

关键词：VBScript（Visual Basic Script）;JavaScript;PowerShell;Windows系统组件

来源：https://thehackernews.com/2024/05/the-end-of-era-microsoft-phases-out.html