報告編號:B6-2022-092601
報告來源:360CERT
報告作者:360CERT
更新日期:2022-09-26
本周收錄安全熱點52項,話題集中在惡意程序、網絡攻擊方面,涉及的黑客組織有:Metador、UAC-0113、Guacamaya、Anonymous等。對此,360CERT建議使用360安全衛士進行病毒檢測、使用360安全分析響應平台進行威脅流量檢測,使用360城市級網絡安全監測服務QUAKE進行資產測繪,做好資產自查以及預防工作,以免遭受黑客攻擊。
卡巴斯基發現了一種流行的惡意軟件,稱為 Trojan Subscribers。它通過在用戶不知情的情況下註冊付費服務來影響用戶。該惡意軟件與 Jocker Trojan 訂閱者有相似之處,專家推測兩者具有共同的起源。特洛伊木馬是一種偽裝成授權應用程序的惡意代碼或軟件,它被下載到系統中。近 3 年,在 Google Play 商店中發現了 190 多個應用程序感染了 Harly Trojan,此類應用程序的下載量超過 480 萬次。為避免成為此類應用程序的受害者,反病毒專家建議在下載應用程序之前先查看應用程序的評論。Google 已收到有關此類應用程序的通知,並被要求從平台和受木馬感染的設備中刪除所有受木馬感染的應用程序。
詳情
http://urlqh.cn/mZV4K
新黑客組織「Metador」潛伏在 ISP 網絡中數月日期: 2022-09-25標籤: 中國, 伊朗, 信息技術, Metador, Moshen Dragon, MuddyWater, Singularity,研究人員將其命名為「Metador」的一個先前未知的威脅行為者已經破壞了電信、互聯網服務提供商 (ISP) 和大學。Metador 針對中東和非洲的組織,其目的似乎是長期從事間諜活動。該組織使用兩種基於 Windows 的惡意軟件,這些惡意軟件被描述為「極其複雜」,但也有跡象表明 Linux 惡意軟件。SentinelLabs的研究人員在中東的一家電信公司中發現了 Metador,該公司已經被來自中國和伊朗的大約十個其他威脅參與者入侵,其中包括 Moshen Dragon 和 MuddyWater。對惡意軟件和基礎設施的分析並沒有揭示出對 Metador 有足夠信心的線索,該組織的一個特徵是它「高度關注運營安全」。在 Metador 破壞其網絡數月後,受害者組織部署 Singularity,SentinelOne 的擴展檢測和響應 (XDR) 解決方案後,研究人員發現了新的威脅組。這兩個基於 Windows 的惡意軟件框架,稱為「metaMain」和「Mafalda」,僅在系統內存中運行,不會在受感染主機上留下未加密的痕跡。
詳情
http://urlqh.cn/n1Dfz
關於俄羅斯UAC-0113組織冒充烏克蘭電信公司傳播惡意軟件的分析報告日期: 2022-09-20標籤: 俄羅斯, 烏克蘭, 信息技術, 俄烏戰爭,Insikt Group已經確定了UAC-0113使用的新基礎設施,CERT-UA認為該組織疑似與Sandworm有關。已確定的基礎設施偽裝成在烏克蘭境內運營的電信提供商,並通過HTML攜帶技術部署Colibri加載程序和Warzone RAT惡意軟件。雖然尚不清楚與此活動有關的誘餌文件的意圖,但它很可能被部署到烏克蘭的目標,以支持該地區的軍事行動。從DarkCrystal RAT到Colibri加載器和Warzone RAT的過渡表明UAC-0113不斷擴大並繼續使用公開可用的商業惡意軟件。
詳情
http://urlqh.cn/n3D2v
俄羅斯黑客組織Sandworm冒充烏克蘭電信公司投放惡意軟件日期: 2022-09-19標籤: 俄羅斯, 烏克蘭, 信息技術, Sandworm, 網絡犯罪, 俄烏戰爭,據觀察,俄羅斯國家資助的黑客組織 Sandworm 偽裝成電信提供商,以惡意軟件攻擊烏克蘭實體。Sandworm 是國家支持的黑客組織,美國政府將其歸為俄羅斯 GRU 外國軍事情報部門的一部分。據信,黑客組織Sandworm在2022年發起了多次攻擊,包括對烏克蘭能源基礎設施的攻擊以及名為「Cyclops Blink」的持久殭屍網絡的部署。從 2022 年 8 月開始,Recorded Future的研究人員觀察到使用偽裝成烏克蘭電信服務提供商的動態 DNS 域的 Sandworm 命令和控制 (C2) 基礎設施有所增加。2022年9月中旬的活動旨在將 Colibri Loader 和 Warzone RAT(遠程訪問木馬)等商品惡意軟件部署到烏克蘭系統上。CERT-UA於 2022 年 6 月發現的域「datagroup[.]ddns[.]net」,偽裝成烏克蘭電信運營商 Datagroup 的在線門戶。另一個被模仿的烏克蘭電信服務提供商是 Kyivstar,Sandworm 使用了「kyiv-star[.]ddns[.]net」和「kievstar[.]online」的外觀。2022年9月的案例是「ett[.]ddns[.]net」和「ett[.]hopto[.]org」,很可能是為了模仿另一家烏克蘭電信運營商 EuroTransTelecom LLC 的在線平台。
詳情
http://urlqh.cn/n2Gi0
VMware、Microsoft警告Chromeloader惡意軟件攻擊升級日期: 2022-09-19標籤: 美國, 信息技術, 微軟(Microsoft), VMware, DEV-0796, ChromeLoader,2022年9月16日,微軟警告稱,「正在進行的廣泛的點擊欺詐活動」歸因於被追蹤為 DEV-0796 的黑客組織,該組織使用 Chromeloader 感染各種惡意軟件的受害者。2022年9月19日,VMware的分析師發布了一份技術報告,描述了2022年8月和9月使用的 Chromeloader 的不同變體,其中一些正在丟棄更有效的有效負載。ChromeLoader 惡意軟件以 ISO 文件的形式交付,這些文件通過惡意廣告、瀏覽器重定向和 YouTube 視頻評論進行分發。Chromeloader 感染在 2022 年第一季度激增,當時,該惡意軟件使用惡意擴展程序感染了 Chrome,該擴展程序將用戶流量重定向到廣告網站,以執行點擊欺詐並為黑客創造收入。2022年7月12日,Palo Alto Network 的 Unit 42 注意到 Chromeloader 正在演變為信息竊取者,試圖在保留其廣告軟件功能的同時竊取存儲在瀏覽器上的數據。由於廣告軟件不會對受害者的系統造成顯着損害,除了占用一些帶寬外,它通常是分析師忽略或淡化的威脅。但是,每個嵌入系統而未被檢測到的軟件都可能帶來更大的麻煩,因為黑客可能會進行應用修改進而進行攻擊。
詳情
http://urlqh.cn/n08Es
相關安全建議1. 在網絡邊界部署安全設備,如防火牆、IDS、郵件網關等
2. 做好資產收集整理工作,關閉不必要且有風險的外網端口和服務,及時發現外網問題
3. 及時對系統及各個服務組件進行版本升級和補丁更新
4. 包括瀏覽器、郵件客戶端、vpn、遠程桌面等在內的個人應用程序,應及時更新到最新版本
5. 各主機安裝EDR產品,及時檢測威脅
6. 注重內部員工安全培訓
7. 不輕信網絡消息,不瀏覽不良網站、不隨意打開郵件附件,不隨意運行可執行程序
8. 勒索中招後,應及時斷網,並第一時間聯繫安全部門或公司進行應急處理
在遭受網絡攻擊之後,Optus 正在調查可能未經授權訪問當前和以前客戶信息的情況。 Optus 與澳大利亞網絡安全中心合作,以減輕對客戶的任何風險。 Optus 還通知了澳大利亞聯邦警察、澳大利亞信息專員辦公室和主要監管機構。Optus 服務,包括移動和家庭互聯網,沒有受到影響,消息和語音通話也沒有受到影響。 Optus 服務仍然可以安全使用和正常運行。可能已經暴露的信息包括客戶的姓名、出生日期、電話號碼、電子郵件地址,對於一部分客戶,還包括地址、身份證件號碼,例如駕照或護照號碼。付款詳細信息和帳戶密碼尚未泄露。
詳情
http://urlqh.cn/n10QH
Ask.FM 的3.5億條用戶數據在網上被出售日期: 2022-09-20標籤: 信息技術,一位名為「Data」的賣家在網上售賣Ask.fm 和 ask.com 的用戶數據庫,包括607個存儲庫以及他們的Gitlab,Jira,融合數據庫。數據庫中大約有 3.5 億條記錄,其中約 4500 萬條使用單一登錄登錄。用戶數據庫中的字段包括:user_id, username, mail, hash, salt, fbid, twitterid, vkid, fbuid, iguid」 and the hashes are reportedly crackable。Data表示於2019年首次訪問其服務器,數據庫於2020-03-14獲得。目前,該公司沒有做任何回應。
詳情
http://urlqh.cn/n1HiV
美國航空公司披露數據泄露事件日期: 2022-09-19標籤: 美國, 信息技術, 交通運輸, 數據泄露,美國航空公司在攻擊者入侵了數量未公開的員工電子郵件帳戶並獲得了對敏感個人信息的訪問權限後,通知客戶最近的數據泄露事件。在9月16日星期五發出的通知信中,該航空公司解釋說,它沒有證據表明暴露的數據被濫用。美國航空公司於7月5日發現了該漏洞,立即保護了受影響的電子郵件帳戶,並聘請了一家網絡安全取證公司來調查安全事件。在攻擊中暴露的以及威脅行為者可能訪問的個人信息可能包括員工和客戶的姓名,出生日期,郵寄地址,電話號碼,電子郵件地址,駕駛執照號碼,護照號碼和/或某些醫療信息。該公司尚未披露受影響客戶的數量以及事件中有多少電子郵件帳戶被破壞。
詳情
http://urlqh.cn/n0FpR
黑客組織Guacamaya泄漏中美洲多個國家10GB的軍事數據日期: 2022-09-19標籤: 智利, 墨西哥, 薩爾瓦多, 哥倫比亞, 秘魯, 政府部門, 能源業, 軍事數據,2022年9月19日,一個主要關注中美洲目標的黑客組織發布了來自智利、墨西哥、薩爾瓦多、哥倫比亞和秘魯的軍事和警察機構的大約 10 GB 的電子郵件和其他材料。該黑客組織以一種原產於中美洲和南美洲的鳥類為名,自稱Guacamaya。該組織自 2022 年 3 月以來一直專注於滲透採礦和石油公司、警察和幾個拉丁美洲監管機構。具體目標涉及智利武裝部隊參謀長聯席會議、墨西哥國防部、薩爾瓦多國家民警和薩爾瓦多武裝部隊總司令部哥倫比亞軍隊、秘魯武裝部隊聯合司令部和秘魯軍隊。
詳情
http://urlqh.cn/n1caS
Revolut黑客攻擊暴露了5萬名用戶的數據日期: 2022-09-19標籤: 立陶宛, 金融業, 社會工程學, 網絡犯罪,Revolut遭受了網絡攻擊,未經授權的第三方可以訪問數萬名客戶的個人信息。該事件發生在9月11日晚上,被描述為「高度針對性」。Revolut成立於2015年,是一家快速增長的金融科技公司,現在為世界各地的客戶提供銀行,資金管理和投資服務。根據向立陶宛國家數據保護監察局披露的違規行為,Revolut擁有銀行牌照,有50,150名客戶受到影響。
根據Revolut的信息,該機構表示,歐洲經濟區受影響的客戶數量為20687,只有379名立陶宛公民可能受到這一事件的影響。有關威脅參與者如何獲得數據庫訪問權限的詳細信息尚未披露,但攻擊者似乎依賴於社會工程。立陶宛數據保護機構指出,可能暴露的信息包括:電郵地址、全名、郵政地址、電話號碼、支付卡數據有限、賬戶數據。
詳情
http://urlqh.cn/n1egl
相關安全建議1. 及時備份數據並確保數據安全
2. 合理設置服務器端各種文件的訪問權限
3. 嚴格控制數據訪問權限
4. 及時檢查並刪除外泄敏感數據
5. 發生數據泄漏事件後,及時進行密碼更改等相關安全措施
6. 強烈建議數據庫等服務放置在外網無法訪問的位置,若必須放在公網,務必實施嚴格的訪問控制措施
2022年9月下旬,在伊朗政府對異議進行鎮壓之後,國際黑客組織Anonymous發起了一項針對該國在線基礎設施的新行動。該項活動被Anonymous稱為OpIran(伊朗行動)。在此次活動中,Anonymous已經關閉了一些頂級政府網站,併入侵了該國不同地區的 300 多個安全攝像頭。據 Anonymous 稱,OpIran 的作案手法涉及 DDoS 攻擊(分布式拒絕服務攻擊)、數據泄露、社會工程攻擊、如何使用 Tor 瀏覽器克服國家審查的快速教程以及逃避警方逮捕等。Anonymous攻擊了伊朗法醫研究中心,入侵了伊朗300 個安全攝像頭,還關閉了伊朗國家政府門戶網站 (Iran.gov.ir)、伊朗中央銀行官方網站(Cbi.ir)、政府發言人辦公室官方網站(Dolat.ir)、伊朗最高領袖阿里·哈梅內伊的官方網站(Khamenei.ir)、伊朗國家媒體機構IRIB通訊社官方網站(Iribnews.ir)。
詳情
http://urlqh.cn/n1fDp
微軟Exchang服務器被黑客入侵以進行網絡釣魚日期: 2022-09-22標籤: 信息技術, 微軟(Microsoft), 網絡釣魚,微軟表示,一名威脅行為者在撞庫攻擊中獲得了託管微軟Exchange服務器的雲租戶的訪問權限,最終目標是部署惡意OAuth應用程序和發送網絡釣魚電子郵件。調查顯示,威脅參與者對未啟用多重身份驗證(MFA)的高風險帳戶發起了撞庫攻擊,並利用不安全的管理員帳戶獲得初始訪問權限。
對雲租戶的未經授權的訪問使參與者能夠創建一個惡意的OAuth應用程序,該應用程序在電子郵件服務器中添加了惡意的入站連接器。攻擊者使用此旨在幫助逃避檢測的入站連接器和傳輸規則,通過受感染的 Exchange 服務器傳遞網絡釣魚電子郵件。
詳情
http://urlqh.cn/n10Cn
黑客使用虛假CircleCI通知竊取GitHub帳戶日期: 2022-09-22標籤: 信息技術, GitHub, 網絡釣魚,GitHub警告9月16日開始的持續網絡釣魚活動,並針對其用戶發送冒充CircleCI持續集成和交付平台的電子郵件。虛假消息通知收件人用戶條款和隱私政策已更改,他們需要登錄其GitHub帳戶才能接受修改並繼續使用服務。攻擊者的目標是通過反向代理中繼GitHub帳戶憑據和雙因素身份驗證(2FA)代碼。GitHub在9月21日的一份公告中告知:雖然GitHub本身沒有受到影響,但該活動已經影響了許多受害者組織,CircleCI還在其論壇上發布了一條通知,以提高人們對惡意活動的認識,並解釋說該平台絕不會要求用戶輸入憑據以查看其服務條款的更改。
詳情
http://urlqh.cn/n2OO9
LinkedIn智能鏈接在規避電子郵件釣魚攻擊中被濫用日期: 2022-09-21標籤: 金融業, 教育行業, 居民服務, LinkedIn, 社會工程學, 網絡釣魚, 加密貨幣, 密碼學, 郵政服務,網絡釣魚行為者正在濫用LinkedIn智能鏈接功能來繞過電子郵件安全產品,並成功將目標用戶重定向到竊取付款信息的網絡釣魚頁面。智能鏈接是為LinkedIn銷售導航器和企業用戶保留的一項功能,允許他們使用單個可跟蹤鏈接發送最多包含 15 個文檔的包。發送給目標的網絡釣魚電子郵件據稱來自斯洛伐克國有郵政服務提供商Slovenská pošta,通知收件人需要支付待裝運包裹的費用。使用電子郵件標題欺騙,地址對收件人來說似乎是合法的,但如果仔細檢查,很明顯發件人實際上是「sis.sk@augenlabs.com」,與郵政服務完全無關。嵌入的「確認」按鈕包含一個LinkedIn智能鏈接URL,並在其末尾添加了字母數字變量,以將受害者重定向到網絡釣魚頁面。(「LinkedIn[.]com/slink?code=g4zmg2B6「),智能鏈接中的重定向功能通常用於推廣營銷頁面,廣告等,但威脅參與者會濫用它來覆蓋安全檢查。
詳情
http://urlqh.cn/mZHVB
Imperva 緩解了超253億請求的長時間DDoS 攻擊日期: 2022-09-20標籤: 中國, 美國, 巴西, 印度尼西亞, 信息技術, DDoS, 殭屍網絡, 雲安全,2022年9月20日,互聯網安全公司 Imperva 宣布其 DDoS(分布式拒絕服務)緩解解決方案打破了新記錄,抵禦向其客戶發送超過 253 億次請求的單一攻擊。此次遭受DDoS攻擊的受害者是一家中國電信服務提供商,該服務提供商經常受到數量異常龐大的 DDoS 攻擊。DDoS 攻擊於 2022 年 6 月 27 日展開,峰值為每秒 390 萬次請求 (RPS),平均為 180 萬次 RPS。雖然這與Cloudflare 在 6 月份緩解的創紀錄攻擊(最高 2600 萬 RPS)相比相形見絀,但 Imperva 案例的持續時間異常長。峰值超過 100 萬 RPS 的攻擊通常會持續幾秒到幾分鐘,但 Imperva 緩解的攻擊持續了四個多小時。此次DDoS 攻擊是由遍布 180 個國家/地區的大型殭屍網絡發起的,其中大多數 IP 地址位於美國、巴西和印度尼西亞。殭屍網絡使用了 170,000 個捕獲的設備,包括調製解調器路由器、智能安全攝像頭、易受攻擊的服務器和保護不力的物聯網。Imperva表示,惡意流量源自的一些服務器託管在公共雲和雲安全服務提供商上,表明存在大規模濫用行為。
詳情
http://urlqh.cn/mYGqI
黑客組織Anonymous攻擊伊朗多個實體日期: 2022-09-21標籤: 伊朗, 政府部門, 文化傳播, Anonymous(匿名者),2022年9月21日,黑客組織Anonymous在Twitter上表示,對伊朗政府發起網絡行動。目前,伊朗國家政府門戶網站https://iran.gov.ir/已被關閉,政府發言人辦公室網站也被關閉,尚未恢復。同日,黑客組織Anonymous還表示,攻擊了伊朗最大的媒體,目前相關信息尚未得到證實,相關部門還在調查當中。
詳情
http://urlqh.cn/mZGIv
Game dev 2K站點遭受黑客攻擊日期: 2022-09-20標籤: 美國, 文化傳播, 2K game, NBA 2K, Borderlands, WWE 2K, PGA Tour 2K, Bioshock, Civilization, Xcom, RedLine, 遊戲,黑客已經破壞了美國視頻遊戲發行商2K的票務系統,現在正在向包含RedLine密碼竊取惡意軟件的遊戲玩家發送支持票。
2K是眾多流行遊戲特許經營權背後的發行商,包括NBA 2K,無主之地,WWE 2K,PGA巡迴賽2K,生化奇兵,文明和Xcom。從9月20日開始,2K客戶開始收到電子郵件,指出他們在2K的在線支持票務系統 2ksupport.zendesk.com 上打開了支持票證。雖然用戶確認這些門票已經創建,但Twitter和Reddit上的許多收件人表示他們不是打開門票的人。RedLine Stealer是一種信息竊取惡意軟件,試圖竊取各種數據,包括瀏覽器歷史記錄,瀏覽器cookie,保存的瀏覽器密碼,信用卡,VPN密碼,IM內容,系統信息和加密貨幣錢包。
詳情
http://urlqh.cn/mZSsl
黑客從Wintermute加密市場製造商竊取1.62億美元日期: 2022-09-20標籤: 金融業, Wintermute, 加密貨幣,數字資產交易公司Wintermute公司首席執行官葉夫根尼·蓋沃伊(Evgeny Gaevoy)在2022年9月20日宣布公司已被黑客入侵,並在DeFi運營中損失了1.622億美元。該公司為50多家加密貨幣交易所和交易平台提供流動性,包括幣安,Coinbase,Kraken和Bitfinex。預計在接下來的幾天裡會出現服務中斷,該平台將努力恢復其所有操作。Gaevoy沒有提供有關黑客如何設法竊取資金的詳細信息,但一些加密專家認為,攻擊者可能利用了Profanity中的一個漏洞,這是以太坊的虛榮地址生成器,存在概念驗證(PoC)。安全分析師最近披露了Provanity的漏洞,並聲稱攻擊者已經利用它來竊取330萬美元。他們呼籲每個持有用褻瀆創建的錢包上的資金的人立即將資產轉移到其他地方。
詳情
http://urlqh.cn/n1AIF
用於電子商務網站的Google工具被黑客濫用日期: 2022-09-20標籤: 信息技術, 金融業, 數據濫用,根據Recorded Future的一份新報告,黑客正在濫用谷歌的跟蹤代碼管理器(GTM)容器來安裝惡意電子瀏覽器,這些電子瀏覽器可以竊取電子商務網站上購物者的支付卡數據和購物者的個人身份信息。數以千計的電子商務網站使用 Google 跟蹤代碼管理器容器來獲取有關網站使用指標、客戶跟蹤和營銷目的的數據。但專家發現了三種惡意腳本的重要變體,網絡犯罪分子將其隱藏在GTM容器中,使他們能夠泄露購物者的個人信息。314人被確認被基於GTM的電子撇渣器變體感染,而255人感染了與GTM濫用相關的惡意域名被盜數據。
詳情
http://urlqh.cn/n0QTv
波斯尼亞和黑塞哥維那遭遇大規模網絡攻擊日期: 2022-09-19標籤: 波斯尼亞和黑塞哥維那, 政府部門, 網絡犯罪,波斯尼亞和黑塞哥維那的檢察官正在調查一場範圍廣泛的網絡攻擊,該攻擊已經影響到了該國議會的運作。自2022年9月上旬以來,該國議會的網站一直處於關閉狀態,當地新聞媒體 Nezavisne與幾位立法者進行了交談,他們說他們被告知甚至不要打開電腦,禁止他們訪問他們的電子郵件賬戶和官方文件。相關人員表示,襲擊開始於 9 月 8 日或 9 日左右,涉及勒索軟件。襲擊發生後,議會的主要服務器被關閉,用戶無法訪問服務器,電子郵件地址和官方網站都處於非活動狀態。隨着對塞族共和國的分裂努力的擔憂日益增加,該國正處於政治動盪之中。如果勒索軟件攻擊的傳言得到證實,這將是2022年勒索軟件組織在發動攻擊之前利用政治糾紛的最新事件。
詳情
http://urlqh.cn/n2xnC
Rockstar確認網絡攻擊,泄露機密數據日期: 2022-09-19標籤: 信息技術, Rockstar Game,遊戲巨頭Rockstar9月19日證實,一名黑客闖入其系統並竊取了機密的內部數據,包括其備受期待的俠盜獵車手系列下一期的鏡頭。在發布到Twitter,Facebook和Instagram的聲明中,Rockstar Games表示,它遭受了網絡入侵,允許某人訪問和下載「我們系統中的機密信息,包括下一代俠盜獵車手的早期開發鏡頭。該公司表示,預計實時遊戲服務不會受到任何干擾,也不會對正在進行的項目的開發產生任何長期影響。在下一款俠盜獵車手遊戲上的工作將繼續按計劃進行,將繼續一如既往地致力於為玩家提供真正超出您期望的體驗。
詳情
http://urlqh.cn/n4sDq
相關安全建議1. 積極開展外網滲透測試工作,提前發現系統問題
2. 減少外網資源和不相關的業務,降低被攻擊的風險
3. 做好產品自動告警措施
4. 及時對系統及各個服務組件進行版本升級和補丁更新
5. 包括瀏覽器、郵件客戶端、vpn、遠程桌面等在內的個人應用程序,應及時更新到最新版本
6. 注重內部員工安全培訓
在 Sophos Firewall 的用戶門戶和 Webadmin 中發現了被跟蹤為 CVE-2022-3236 的漏洞,其利用可導致代碼執行 (RCE)。該公司表示,它已針對受此安全漏洞影響的 Sophos Firewall 版本(v19.0 MR1 (19.0.1) 及更早版本)發布了修補程序,這些修補程序將自動推廣到所有實例,因為默認情況下啟用了自動更新。該公司通過發布的防火牆 v19.0 MR1 (19.0.1) 及更早版本修復了該漏洞,並通過建議客戶不要將用戶門戶和 Webadmin 暴露給 WAN 並禁用對用戶門戶和 Webadmin 的 WAN 訪問來提供解決方案.該公司還建議使用 VPN 和/或 Sophos Central(首選)進行遠程訪問和管理。Volexity 研究人員調查了該安全漏洞並披露,他們追蹤的一個名為 DriftingCloud 的APT 組織自 3 月初以來就利用了 CVE-2022-1040。黑客利用零日漏洞來釋放 Web Shell 後門並針對客戶的員工。
詳情
http://urlqh.cn/n20eU
BIND程序中的高嚴重性漏洞日期: 2022-09-25標籤: 信息技術, BIND, 漏洞修補,互聯網系統聯盟 (ISC) 宣布了針對廣泛使用的 BIND DNS 軟件中六個可遠程利用漏洞的補丁程序的可用性。四個已修復的安全漏洞的嚴重性等級為「高」。所有這四個都有可能導致拒絕服務 (DoS) 情況。根據 ISC 的公告,其中一個是 CVE-2022-2906,它會影響「在 Diffie-Hellman 模式下使用 OpenSSL 3.0.0 及更高版本的 TKEY 記錄時的密鑰處理」。遠程攻擊者可以利用該漏洞逐漸耗盡可用內存,從而導致崩潰。根據 ISC 的說法,由於攻擊者可以在重新啟動後再次利用該漏洞,「存在拒絕服務的可能性」。CVE-2022-38178 是影響 EdDSA 算法的 DNSSEC 驗證碼的內存泄漏,可能由格式錯誤的 ECDSA 簽名觸發,是 BIND 9 中解決的第四個高嚴重性錯誤。BIND 9.18(穩定分支)、BIND 9.19(開發版本)和 BIND 9.16 都收到了更新(擴展支持版本)。根據 ISC,沒有已知針對這些漏洞的公開利用。美國網絡安全和基礎設施安全局 (CISA) 敦促用戶和管理員審查 ISC 針對這四個安全漏洞的建議,並儘快應用可用的補丁。
詳情
http://urlqh.cn/mZ2n8
CISA警告攻擊中使用的嚴重管理引擎RCE錯誤日期: 2022-09-22標籤: 信息技術, 漏洞修補,網絡安全和基礎設施安全局(CISA)已將影響多個Zoho管理引擎產品的關鍵嚴重性Java反序列化漏洞添加到其在野外利用的錯誤目錄中。在低複雜性攻擊中可以利用此安全漏洞(CVE-2022-35405),而無需用戶交互,即可在運行未修補的Zoho ManageEngine PAM360和密碼管理器Pro(不帶身份驗證)或訪問管理器升級版(帶身份驗證)軟件的服務器上獲得遠程代碼執行。自 8 月以來,概念驗證 (PoC) 漏洞利用代碼和元掃描模塊(針對此錯誤以獲得 RCE 作為系統用戶)已在線提供。在被添加到CISA的已知漏洞利用(KEV)目錄中後,所有聯邦民事行政部門機構(FCEB)機構現在都必須根據11月發布的具有約束力的操作指令(BOD 22-01)修補其系統,以應對在野外利用的漏洞。
詳情
http://urlqh.cn/n0Vg1
美國胰島素醫療設備Medtronic存在漏洞日期: 2022-09-22標籤: 美國, 製造業, 衛生行業, Medtronic, 物聯網安全, 醫療設備,2022年9月20日,美國食品和藥物管理局就Medtronic公司生產的一些胰島素泵設備的漏洞發出警告。該漏洞使該設備容易受到網絡攻擊,同時也為黑客通過訪問該設備干擾胰島素輸送提供了可能性。美國政府機構FDA已經發布了關於Medtronic MiniMed 600系列胰島素泵系統的建議,其中包括MiniMed 630G和MiniMed 670G設備。FDA指出,包括胰島素泵、持續血糖監測(CGM)發射器、血糖計和CareLink USB設備在內的許多部件都可以無線連接。技術故障可能會讓黑客闖入並觸發泵,給病人注射過多或過少的胰島素。Medtronic公司提醒用戶注意其危險性,並建議其用戶永久禁用泵上的「遠程Bolus」功能,避免向未經授權的個人透露設備序列號,以及避免在公共場合連接或連接設備。
詳情
http://urlqh.cn/n1yz4
研究人員披露 Oracle 雲基礎設施中的關鍵漏洞日期: 2022-09-22標籤: 信息技術, Oracle,研究人員披露了一個新的嚴重 Oracle 雲基礎設施 (OCI) 漏洞,用戶可能會利用該漏洞訪問其他 Oracle 客戶的虛擬磁盤。甲骨文雲中的每個虛擬磁盤都有一個名為OCID的唯一標識符,鑑於受害者磁盤的OCID當前未連接到活動服務器或配置為可共享,攻擊者可以'附加'到它並獲得讀/寫。該漏洞的核心在於,磁盤可能通過 Oracle 雲標識符 (OCID) 附加到另一個賬戶中的計算實例,而無需任何顯式授權。這意味着擁有 OCID 的攻擊者本可以利用 AttachMe 訪問任何存儲卷,從而導致數據泄露、泄露,或者更糟的是,更改引導卷以獲得代碼執行。
詳情
http://urlqh.cn/n15Mo
15年未修補的 Python 漏洞可能影響35萬個開源項目日期: 2022-09-21標籤: 信息技術, 人工智能, Python,Python編程語言中一個被忽視了15年的漏洞現在又回到了聚光燈下,因為它可能會影響超過350,000個開源存儲庫,並可能導致代碼執行。該安全問題於 2007 年披露並標記為 CVE-2007-4559,但從未收到過補丁,唯一提供的緩解措施是文檔更新警告開發人員有關風險的信息。該漏洞位於 Python壓縮文件包中、使用未經清理的tarfile.extract()
函數的代碼中,或者是 tarfile.extractall() 的內置默認值中。這是一個路徑遍歷錯誤,使攻擊者能夠覆蓋任意文件。通過分析影響,Trellix研究人員發現,該漏洞存在於數千個開源和閉源軟件項目中。研究人員抓取了一組257個更有可能包含易受攻擊代碼的存儲庫,並手動檢查了其中的175個,看看它們是否受到影響。這表明其中61%的人是脆弱的。對其餘存儲庫運行自動檢查將受影響的項目數量增加到 65%,這表明存在廣泛的問題。
詳情
http://urlqh.cn/n0S59
Dataprobe的配電單元中的嚴重漏洞日期: 2022-09-21標籤: 美國, 信息技術, Dataprobe,美國網絡安全和基礎設施安全局(CISA)在9月21日發布了一項工業控制系統(ICS)諮詢警告,警告Dataprobe的iBoot-PDU配電單元產品中存在七個安全漏洞,這些產品主要用於工業環境和數據中心。成功利用這些漏洞可能導致在Dataprobe iBoot-PDU設備上執行未經身份驗證的遠程代碼。iBoot-PDU是一種配電單元(PDU),通過Web界面為用戶提供實時監控功能和複雜的警報機制,以控制OT環境中設備和其他設備的電源。根據攻擊面管理平台Censys的2021年報告,考慮到互聯網上可以訪問不少於2,600個PDU的事實,這些漏洞具有新的意義,其中Dataprobe設備占暴露的近三分之一。建議數據探測器 iBoot-PDU 的用戶升級到最新的固件版本(1.42.06162022),並禁用 SNMP、Telnet 和 HTTP(如果未使用),以緩解其中一些漏洞。
詳情
http://urlqh.cn/n1zJn
在 Harbor 開源工件註冊表中發現的高嚴重性漏洞日期: 2022-09-19標籤: 信息技術, 雲安全,Oxeye 安全研究人員在 CNCF 分級項目 Harbor(VMware 的流行開源工件註冊表)中發現了 IDOR(不安全的控制器對象參考)漏洞的幾個新的高嚴重性變體(CVE-2022-31671、CVE-2022-31666、CVE-2022-31667、CVE-2022-31667)。Harbor是一個開源雲原生註冊表項目,用於存儲、簽名和掃描內容。它可以與各種 Docker 註冊表集成,以提供用戶管理、訪問控制和活動審核等安全功能。IDOR 歸類為訪問控制漏洞,當應用程序使用用戶提供的輸入直接訪問對象時,就會發生 IDOR。IDOR 是一種高嚴重性威脅,被認為是最新 OWASP 前 10 名列表中最嚴重的 Web 應用程序安全風險。
詳情
http://urlqh.cn/n40dD
Twitter惡作劇者關閉GPT-3機器人日期: 2022-09-19標籤: 信息技術, 推特(Twitter), 人工智能,9月15日,一些Twitter用戶透露了如何劫持一個專門用於遠程工作的自動推文機器人,該機器人由OpenAI的GPT-3語言模型提供支持。他們使用一種稱為「即時注入攻擊」的新發現的技術將機器人重定向到重複令人尷尬和荒謬的短語。Remoteli.io(聚合遠程工作機會的站點)運行機器人。它將自己描述為「一個OpenAI驅動的機器人,可以幫助您發現遠程工作,讓您能夠在任何地方工作。通常,它會用關於遠程工作好處的一般聲明來回應針對它的推文。該機器人在9月19日晚被關閉,因為漏洞利用病毒式傳播,數百人遭受影響。
詳情
http://urlqh.cn/n1TbG
相關安全建議1. 及時對系統及各個服務組件進行版本升級和補丁更新
2. 包括瀏覽器、郵件客戶端、vpn、遠程桌面等在內的個人應用程序,應及時更新到最新版本
2022年初,Lazarus組織對韓國的國防、金融、媒體和製藥行業進行了APT攻擊。在這些攻擊過程中,Lazarus利用存在缺陷的驅動程序直接讀取和寫入內核內存區域,從而禁用安全軟件。這種技術被稱為「BYOVD」,主要利用硬件供應公司的易受攻擊的驅動程序模塊。在本次行動中,被利用組件是來自於「ENE Technology」 公司的模塊。
詳情
http://urlqh.cn/mZx8w
針對中東和非洲電信公司、ISP和大學的新組織Metador日期: 2022-09-23標籤: 教育行業, 信息技術, Metador, APT輿情,SentinelLabs的研究人員發現了一個名為Metador的新組織,主要針對中東和非洲幾個國家的電信、互聯網服務提供商和大學。Metador的主要動機是間諜活動。惡意軟件的技術複雜性及其積極發展表明該組織是一個資源豐富的團隊。Metador的攻擊鏈旨在繞過原生安全解決方案,同時將惡意軟件平台直接部署到內存中。研究人員發現了兩個長期存在的Windows惡意軟件平台的變種,以及額外的Linux植入物。
詳情
http://urlqh.cn/n3v3J
Erbium Stealer 惡意軟件報告日期: 2022-09-25標籤: 信息技術, Erbium,Erbium 惡意軟件是一種信息竊取器/信息竊取器,它以惡意軟件即服務 (MaaS) 的形式分發。CYFIRMA 研究團隊在 2022 年 8 月進行威脅搜尋活動時觀察到了這個惡意軟件二進制文件。該團隊還觀察到在講俄語的黑客論壇上宣傳的竊取惡意軟件。研究人員分析的惡意軟件樣本是一個 32 位可執行二進制文件。它包含混淆內容以逃避安全產品和防火牆的檢測。惡意可執行文件通過使用 XORing 邏輯解密混淆的內容,然後將 32 位 Erbium 竊取 DLL 二進制文件放在 %temp% 位置,並通過調用 LoadLibraryA API 在當前進程中加載該文件。刪除的 DLL 文件與 Erbium 竊取程序 C2 服務器建立連接。Erbium 惡意軟件建立與 Discord 的內容交付網絡 (CDN) 服務器的連接。Discord 是一個聊天程序,可以通過互聯網實現用戶之間的實時通信,並被威脅行為者濫用以傳播惡意軟件。信息竊取惡意軟件開發人員在地下論壇出售這些類型的惡意軟件,並在地下論壇和犯罪市場出售收穫細節。勒索軟件附屬機構或其他威脅參與者購買此類詳細信息,然後使用這些有效憑證、VPN 等作為初始訪問權限來破壞組織。
詳情
http://urlqh.cn/n1C81
「四邊安全對話」QUAD發布聯合聲明共同打擊網絡犯罪日期: 2022-09-24標籤: 美國, 印度, 日本, 澳大利亞, 政府部門, 勒索軟件防禦,2022年9月24日,印度外交部長 S Jaishankar 與澳大利亞的 Penny Wong、日本的 Hayashi Yoshimasa 和美國國務卿 Tony Blinken 一起發表聲明,敦促各國採取合理措施,解決源自其境內的勒索軟件操作。由印度、美國、日本和澳大利亞組成的四方安全對話於 2017 年成立,旨在對抗中國在印太地區的侵略行為。根據聲明,領導人認為,勒索軟件的跨國性質可能會對其國家安全、金融部門和企業、關鍵基礎設施以及個人數據的保護產生不利影響。加強印太國家網絡能力的重點舉措將確保地區網絡基礎設施的安全性和彈性。
詳情
http://urlqh.cn/n3QE4
Signal聊天應用幫助伊朗公民規避信息審查日期: 2022-09-23標籤: 伊朗, 政府部門, 信息技術, Signal, 信息審查,流行的加密聊天應用 Signal 正試圖幫助伊朗人使用該應用程序,該應用程序在該國被封鎖,要求人們設置代理服務器,幫助伊朗人繞過政府的審查。2022年9月中旬,阿米尼之死引發了伊朗全國性的抗議活動。自那以後,伊朗政府開始限制某些城市和地區的互聯網訪問,例如首都德黑蘭。政府還禁止訪問 Instagram 和 WhatsApp,這是該國唯一可用的西方社交媒體和聊天應用程序。尤其是 Instagram 在過去幾年中非常受歡迎。自2021年以來,該國的Signal應用就一直被封鎖。如今,該應用程序背後的 Signal Foundation 希望通過連接到世界各地的代理來幫助用戶繞過障礙,規避伊朗政府的審查。
詳情
http://urlqh.cn/n1417
英國青少年黑客因攻擊GTA 6 和優步被倫敦警方逮捕日期: 2022-09-25標籤: 英國, 信息技術, 優步(Uber), Rockstar Game, LAPSUS$, 網絡犯罪,2022年9月23日,根據英國倫敦市警方公布的信息,一名 17 歲的牛津郡青少年因涉嫌黑客行為而被拘留。據專家稱,最近 Uber 和 Rockstar Games 的安全事件可能與此次的逮捕有關。2022年9月18日,一個名為「teapotuberhacker」的黑客在 GTAForums.com 上的一篇帖子中聲稱入侵了遊戲俠盜獵車手 (GTA) 特許經營權背後的公司 Rockstar Games,並聲稱獲取了 90 部電影的 alpha 材料和 Grand Theft Auto VI 及其前身 GTA V 的源代碼,該帖子已被刪除。這名青少年在其他黑客在網上發布了他的姓名和地址後被拘留。這個青少年有兩個互聯網別名:「Breachbase」和「White」,並通過數據盜竊賺取了大約 1400 萬美元。
詳情
http://urlqh.cn/mZUAt
研究人員發現勒索團伙或開始轉變新策略日期: 2022-09-25標籤: 信息技術, BlackCat, 網絡犯罪, 勒索軟件,Cyderes 特別行動團隊的惡意軟件分析師在最近一次 BlackCat 勒索軟件攻擊後的事件響應中發現了惡意軟件Exmatter的新樣本,並與 Stairwell 威脅研究團隊共享以進行進一步分析。被稱為 Exmatter 的數據泄露惡意軟件以前與 BlackMatter 勒索軟件組有關聯,現在正在升級數據損壞功能,這可能表明勒索軟件附屬機構將來可能會轉向使用一種新策略。儘管至少自 2021 年 10 月以來,BlackMatter的關聯公司就一直在使用 Exmatter,但這是第一次看到該惡意工具帶有破壞性模塊。過去已知勒索軟件操作會引入漏洞,這些漏洞允許安全研究人員創建解密器,幫助受害者免費恢復文件。發生這種情況時對勒索團伙不利。因此,研究人員認為,這種新的數據損壞功能可能是從傳統勒索軟件攻擊(數據被盜然後加密)到數據被盜然後刪除或損壞的攻擊的新轉變。在這種方法下,勒索團伙可以保留攻擊產生的所有收入,因為他們不需要與加密器開發人員分享一定比例。
詳情
http://urlqh.cn/mYP1f
烏克蘭搗毀了竊取3000萬賬戶的黑客團伙日期: 2022-09-23標籤: 烏克蘭, 信息技術, 網絡犯罪,烏克蘭安全局 (SSU) 的網絡部門擊落了一群黑客,他們竊取了大約 3000 萬人的賬戶並在暗網上出售。黑客使用惡意軟件獲取烏克蘭和歐盟受害者系統上可用的憑據和其他敏感數據。SSU 表示,威脅行為者提供了數據包,這些數據包由親克里姆林宮的宣傳人員大量購買,然後他們使用這些賬戶在社交媒體上傳播假新聞,造成恐慌,並在烏克蘭和其他國家造成不穩定。根據初步數據,黑客出售了大約 3000 萬個賬戶,並獲得了近 1400 萬UAH(380,000 美元)的「利潤。他們使用匿名暗網市場出售這些信息,並通過在烏克蘭被禁止的 YuMoney、Qiwi 和 WebMoney 接收付款。在對烏克蘭利沃夫的犯罪者家進行突擊搜查時,警方發現並沒收了數個裝有被盜個人數據的硬盤以及電腦、SIM卡、手機和閃存驅動器。
詳情
http://urlqh.cn/n0Qck
WhatsApp信息欺詐導致汽車公司損失1億盧比日期: 2022-09-22標籤: 印度, 製造業, JBM, WhatsApp, 網絡詐騙,一家知名的汽車公司JBM集團在一起通過虛假的WhatsApp消息發生的欺詐事件中被騙取了1億盧比。根據警方的說法,欺詐者在給JBM首席財務官的WhatsApp消息中,Vivek Gupta聲稱自己是該公司的副主席,並將錢轉移到銀行賬戶。據官員稱,共有八筆交易與七個不同的銀行賬戶進行。9月7日,發生了一起涉及印度血清研究所(SII)的類似案件,該研究所通過偽裝成其首席執行官阿達爾·普納瓦拉(Adar Poonawalla)的威脅行為者發送的WhatsApp消息以1億盧比的價格被欺騙。隨着通過WhatsApp和其他流行的消息傳遞平台進行網絡欺詐的案件不斷增加,建議用戶保持警惕並謹慎行事,以避免任何可能導致經濟損失的騙局。
詳情
http://urlqh.cn/n0ibn
黑貓勒索軟件的數據過濾工具升級日期: 2022-09-22標籤: 信息技術, 勒索軟件,BlackCat勒索軟件(又名ALPHV)沒有顯示出任何放緩的跡象,其發展的最新例子是該團伙用於雙重勒索攻擊的數據泄露工具的新版本。最近,重點似乎集中在用於從受感染系統中泄露數據的工具上,這是進行雙重勒索攻擊的基本要求。該工具名為「Exmatter」,自2021年11月BlackCat推出以來一直使用,並於2022年8月進行了大量更新,具有以下變化:
• 將要滲透到的文件類型限制為:PDF、文檔、文檔、XLS、PNG、JPG、JPEG、TXT、BMP、RDP、SQL、RTF、IPT 和 DWG等。
• 除了 SFTP 和 WebDav 之外,還要添加 FTP 作為外泄選項。
• 提供用於構建列出所有已處理文件的報告的選項
• 添加「橡皮擦」功能,提供損壞的已處理文件的選項
• 添加「自毀」配置選項,以便在無效環境中執行時退出並刪除自身。
• 為 GPO 部署添加選項
除了擴展的功能外,最新的Exmatter版本還經歷了繁重的代碼重構,更隱蔽地實現了現有功能以逃避檢測。BlackCat信息竊取能力的另一個最新補充是部署了一種名為「Eamfo」的新惡意軟件,該惡意軟件明確針對存儲在Veeam備份中的憑據。
詳情
http://urlqh.cn/mZQSS
針對GitHub的網絡釣魚活動日期: 2022-09-21標籤: 美國, 信息技術, GitHub, 社會工程學, 網絡釣魚, 雙重身份驗證(2FA),2022年9月21日,GitHub的研究團隊發布安全警報表示,發現有新的網絡釣魚活動針對 GitHub 用戶。2022年9月16日,GitHub Security 獲悉黑客通過冒充 CircleCI 來獲取用戶憑據和雙因素代碼,通過網絡釣魚活動瞄準 GitHub 用戶。對於啟用了基於 TOTP 的雙因素身份驗證(2FA) 的用戶,網絡釣魚站點還會將任何 TOTP 代碼實時轉發給黑客和 GitHub,從而允許黑客侵入受基於 TOTP 的 2FA 保護的帳戶。受硬件安全密鑰保護的帳戶不易受到這種攻擊。雖然 GitHub 本身沒有受到影響,但該活動已經影響了許多受害組織。在進行分析後,GitHub Security為受影響的用戶重置密碼並刪除了黑客添加的憑據,並通知了所有已知受影響的用戶和組織。
詳情
http://urlqh.cn/mZA67
CISA和FBI發布伊朗APT攻擊阿爾巴尼亞的詳細分析報告日期: 2022-09-21標籤: 美國, 伊朗, 阿爾巴尼亞, 政府部門, HomeLand Justice,2022年9月21日,美國聯邦調查局(FBI)和美國網絡安全和基礎設施安全局(CISA)發布了聯合網絡安全諮詢報告,以提供近期網絡信息7月和9月對阿爾巴尼亞政府的軍事行動。報告中描述了觀察到的活動時間軸,從初始訪問到執行加密和雨刷攻擊。2022年7月,伊朗APT組織HomeLand Justice發起了一場針對阿爾巴尼亞政府的破壞性行動,網絡攻擊導致其政府的網站和服務不可用。HomeLand Justice大約在發動破壞性網絡攻擊的14個月前,就獲得了進入受害者網絡的初始權限,其中包括勒索軟件式的文件加密和磁盤擦除惡意軟件,並保持着連續的網絡訪問大約一年,定期訪問和導出電子郵件內容。在2022年5月至6月期間,HomeLand Justice進行了橫向移動,從阿爾巴尼亞政府網絡中獲取情報。2022年7月,HomeLand Justice在網絡上發布勒索軟件,留下反聖戰者E-Khalq (MEK)的信息。2022年6月,國土司法部門創建了一個網站和多個社交媒體主頁,發布反mek信息。2022年7月18日,國土司法部聲稱對阿爾巴尼亞人的網絡攻擊負責政府基礎設施。2022年7月23日,國土司法部發布了網絡攻擊的視頻。
詳情
http://urlqh.cn/mZ6LU
「域陰影」在網絡犯罪分子中變得越來越流行日期: 2022-09-21標籤: 信息技術, 域陰影, C2, DNS,2022年9月21日,Palo Alto Networks (Unit 42) 的威脅分析師發現,「域陰影」現象可能比以前想象的更為普遍,在 2022 年 4 月至 2022 年 6 月期間掃描網絡時發現了 12,197 起案件。域陰影是 DNS 劫持的一個子類別,其中黑客破壞合法域的 DNS 以託管自己的子域以用於惡意活動,但不修改已經存在的合法 DNS 條目。然後,這些子域被用來在網絡犯罪分子的服務器上創建惡意頁面,而域所有者的網站的網頁和 DNS 記錄保持不變,並且所有者沒有意識到他們已被破壞。與此同時,黑客可以自由地託管 C2(命令和控制)地址、網絡釣魚站點和惡意軟件投放點,濫用被劫持域的良好聲譽來繞過安全檢查。理論上,黑客可以將 DNS 記錄更改為目標用戶和受感染域的所有者,但他們通常更喜歡採用上述隱蔽路徑。
詳情
http://urlqh.cn/mXnYi
LockBit勒索團伙內部人員在線泄露LockBit勒索軟件構建器日期: 2022-09-21標籤: 美國, 信息技術, 網絡犯罪,2022年9月21日,安全研究人員3xp0rt 稱,一位名為「Ali Qushji」的新註冊 Twitter 用戶表示,他們的團隊入侵了 LockBits 服務器並找到了 LockBit 3.0 勒索軟件加密器的構建器。VX-Underground表示,2022年9月10日,一位名為「protonleaks」的用戶聯繫了他們,該用戶還分享了該構建器的副本。然而,LockBit 勒索團伙的公共代表 LockBitSupp 聲稱他們沒有被黑客入侵,而是內部原因。調查發現,這個泄密者是 Lockbit 勒索軟件組織雇用的程序員,他對 Lockbit 的領導層感到不滿,就泄露了勒索軟件加密器的構建器。泄露的 LockBit 3.0 構建器允許任何人快速構建啟動自己的操作所需的可執行文件,包括加密器、解密器和以特定方式啟動解密器的專用工具。而這樣的泄露不僅會對 LockBit 勒索軟件操作造成嚴重打擊,而且也會對企業造成巨大影響,因為會有更多的網絡犯罪分子利用它來發起攻擊。
詳情
http://urlqh.cn/n0ajG
Malwarebytes錯誤更新導致谷歌、YouTube無法訪問日期: 2022-09-21標籤: 美國, 信息技術, 谷歌(Google), YouTube, Malwarebytes,2021年9月21日,Malwarebytes發布了安全更新,導致了一系列錯誤,其實時網絡過濾組件會阻止某些域(包括 http://google.com)。此外,Nebula 控制台本身可能會出現減速,因為其正在處理來自 Web 過濾器的大量警報流量。包括 Google 搜索和 Youtube。受影響的用戶無法訪問任何 Google 網站,並且不斷收到來自 Google 網站的惡意軟件通知,所有這些通知都指向 google.com 子域中標記為包含惡意軟件的各種網站。Malwarebytes 迅速進行調查,並回應在例行更新期間,Malwarebytes Web 過濾數據庫中引入了一個錯誤,導致多個域被無意中阻止。用戶可對Malwarebytes進行更新或通過打開 Malwarebytes 並關閉實時保護卡中的 Web 保護選項來禁用錯誤模塊。
詳情
http://urlqh.cn/n1UAo
在互聯網上發現超過 39,000 個未經身份驗證的 Redis 實例日期: 2022-09-21標籤: 中國, 美國, 德國, 新加坡, 印度, 法國, 日本, 香港, 荷蘭, 愛爾蘭, 信息技術, Redis,一個未知的攻擊者瞄準了互聯網上暴露的數萬個未經身份驗證的Redis服務器,試圖安裝加密貨幣礦工。目前尚不清楚所有這些主機是否都已成功入侵。它是通過一種「鮮為人知的技術」來實現的。這種利用技術背後的一般想法是配置Redis將其基於文件的數據庫寫入包含某些授權用戶的方法的目錄(例如向'.ssh/authorized_keys'添加密鑰),或啟動一個進程(例如將腳本添加到'/etc/cron.d')。Censys的報告顯示,大約有350,675個互聯網可訪問的Redis數據庫服務,跨越260,534個獨特的主機。在觀察到的39,405個未經身份驗證的Redis服務器中,潛在的數據暴露超過300 GB。擁有暴露和未經身份驗證的Redis服務的前10個國家包括中國(20,011),美國(5,108),德國(1,724),新加坡(1,236),印度(876),法國(807),日本(711),香港(512),荷蘭(433)和愛爾蘭(390)。
詳情
http://urlqh.cn/n2SG5
一起涉及美國等180多個國家的大規模DDos攻擊日期: 2022-09-21標籤: 美國, 中國, 印度尼西亞, 巴西, 信息技術, 網絡犯罪,網絡安全公司Imperva透露,它於2022年6月27日緩解了分布式拒絕服務(DDoS)攻擊,總共有超過253億個請求。據稱,針對一家中國電信公司的「強力攻擊」已經持續了四個小時,峰值為每秒390萬次請求(RPS)。攻擊者使用HTTP / 2多路復用,或將多個數據包合併為一個,通過單個連接一次發送多個請求。該攻擊是從殭屍網絡發起的,該殭屍網絡由近170,000個不同的IP地址組成,這些IP地址跨越路由器,安全攝像頭和位於180多個國家/地區的受損服務器,主要是美國,印度尼西亞和巴西。
詳情
http://urlqh.cn/n1zqC
Windows 11 22H2將內核漏洞攻擊保護添加到安全基線日期: 2022-09-20標籤: 美國, 信息技術, 微軟(Microsoft),2022年9月20日,Microsoft 發布 Windows 11 22H2 版安全配置基線設置的最終版本,可使用 Microsoft 安全合規工具包下載。微軟安全顧問 Rick Munck 表示:「此版本包括許多更改,針對硬件和驅動程序安全、憑據盜竊、打印機、DNS 和帳戶鎖定的額外保護都進行了更改。」最新的 Windows 11 安全基線的亮點是增加了內核模式硬件強制堆棧保護,為內核代碼提供額外的硬件級保護,以抵禦惡意軟件威脅。它適用於具有支持硬件影子堆棧的芯片組的系統,例如英特爾的控制流強制技術 (CET) 或 AMD 影子堆棧。新的基線通過為仍然依賴用戶名和密碼 Windows 身份驗證的用戶添加 Windows Defender SmartScreen 增強的網絡釣魚保護來增加對網絡釣魚攻擊的保護。Windows 安全基線使企業安全管理員能夠使用 Microsoft 推薦的組策略對象 (GPO) 基線來減少攻擊面並改善 Windows 企業端點的安全狀況。
詳情
http://urlqh.cn/n2aG6
美國Tift 地區醫療中心遭遇勒索攻擊日期: 2022-09-20標籤: 美國, 衛生行業,2022年9月20日,DataBreaches發布報告,稱美國佐治亞州的Tift 地區醫療中心是 7 月份勒索軟件攻擊的受害者。儘管醫院正在與 Hive 勒索軟件組織進行談判,但談判最近中斷了。此次攻擊始於2022年7月14日,並於8 月8日結束。在此期間,Hive 聲稱他們能夠下載大約 1 TB 的數據,據稱包括:公司私人信息(預算、計劃、稅收、合同、NDA、其他協議等)、醫療記錄(患者姓名、地址、性別、SSN、保險、包括診斷)、員工私人信息(工資單、合同、NDA、SSN 、薪水、地址、護照等)、貴公司與患者/合作夥伴之間的電子郵件。
詳情
http://urlqh.cn/n07er
Hive 勒索軟件攻擊紐約賽車協會日期: 2022-09-19標籤: 美國, 商務服務, 紐約賽車協會 (NYRA),2022年9月19日,Hive 勒索軟件團伙聲稱對紐約賽車協會 (NYRA) 的攻擊負責。NYRA此前披露,2022 年 6 月 30 日的網絡攻擊影響了 IT 運營和網站可用性,並損害了會員數據。NYRA 是紐約三個最大的純種賽馬場的運營商,即 Aqueduct Racetrack、Belmont Park 和 Saratoga Race Course。Hive 勒索軟件團伙還在其勒索網站上發布了一個鏈接,可以免費下載一個 ZIP 檔案,其中包含他們據稱從 NYRA 系統竊取的所有文件。目前其會員的社會安全號碼 (SSN)、駕駛執照識別號碼、健康記錄和健康保險信息可能都已被泄露。從目前的情況來看,賽馬並沒有受到事件的影響,賽馬投注照常進行。但是,該協會的網站仍然無法訪問,這表明攻擊的影響尚未完全減輕。
詳情
http://urlqh.cn/n0cAq
25種最流行的編程語言和趨勢日期: 2022-09-20標籤: 信息技術, CircleCI, 行業趨勢,CircleCI發布了《2022年軟件交付狀況報告》(2022-state-of-software-delivery-report.pdf (circleci.com)),該報告研究了來自全球超過25億個工作流和近50,000個組織的兩年數據,並為工程團隊提供了見解,以了解他們如何才能更好地取得成功。研究結果表明,精英軟件交付團隊正在採用開發人員友好的工具和實踐,使他們能夠在必要時自動化、擴展和成功接受變革。在當今競爭激烈的生態系統中,快速行動的能力至關重要,但同樣重要的是組織吸引和留住人才的能力,以及消除團隊成功障礙的能力。從開發語言到測試框架再到部署方案,高績效者正被鼓勵協作、可重複性和生產力的工具所吸引。
詳情
http://urlqh.cn/n0QiL
Microsoft 365網絡釣魚攻擊模仿美國政府機構日期: 2022-09-19標籤: 美國, 政府部門, 建築業, 商務服務, 能源業, 微軟(Microsoft), 社會工程學, 網絡釣魚,2022年9月19日,Cofense的研究人員發布報告,稱發現有不明黑客正在開展一系列網絡釣魚活動,針對美國政府的多個部門和各行業公司。這些電子郵件聲稱要求對政府項目進行投標,將受害者引導至網絡釣魚頁面。這些活動至少自 2019 年年中以來一直在進行,Cofense於 2019 年 7 月首次進行了報道。這些活動針對各個行業的公司,但主要集中在能源和專業服務行業,包括建築公司。最近,這些電子郵件還針對了美國勞工部、商務部或交通部。而在此次網絡釣魚活動中中,黑客使用的電子郵件、PDF 和網站本質上是來自投標請求和國家投標門戶網站的實際內容的副本,因此可能很難捕捉到欺詐的跡象。防止這種情況的唯一方法是檢查所有詳細信息,如發送地址、登陸 URL,並最終通過搜索引擎訪問投標門戶,而不要通過提供的鏈接。
詳情
http://urlqh.cn/n2TvZ
若想了解更多信息或有相關業務需求,可移步至http://360.net
360城市級網絡安全監測服務360CERT的安全分析人員利用360安全大腦的QUAKE資產測繪平台(quake.360.cn),通過資產測繪技術的方式,對該漏洞進行監測。可聯繫相關產品區域負責人或(quake#360.cn)獲取對應產品。
360安全分析響應平台360安全大腦的安全分析響應平台通過網絡流量檢測、多傳感器數據融合關聯分析手段,對網絡攻擊進行實時檢測和阻斷,請用戶聯繫相關產品區域負責人或(shaoyulong#360.cn)獲取對應產品。
360安全衛士針對以上安全事件,360cert建議廣大用戶使用360安全衛士定期對設備進行安全檢測,以做好資產自查以及防護工作。
360威脅情報平台(TIP)360威脅情報平台(TIP)一款構建全面情報管理、賦能、評價、分享能力的新一代本地化情報平台。可以用來增強對關鍵威脅的檢測;可以自動化識別報警中的重點事件;還可以提供情報分析、外部攻擊面管理、行業威脅情報等高階能力,幫助組織全面應對數字時代的安全風險。
2022-09-26 360CERT發布安全事件周報
一直以來,360CERT對全球重要網絡安全事件進行快速通報、應急響應。為更好地為政企用戶提供最新漏洞以及信息安全事件的安全通告服務,現360CERT推出了安全通告特製版報告訂閱服務,以便用戶做資料留存、傳閱研究與查詢驗證。
今後特製報告將不再提供公開下載,用戶可掃描下方二維碼進行服務訂閱。
https://cert.360.cn/
進入官網查看更多資訊
留言列表