安全事件周报 (05.23-05.29)

 

0x01   事件导览

本周收录安全热点49项,话题集中在恶意程序网络攻击方面,涉及的组织有:VMwareF5GMGitHub等。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

 

0x02   事件目录

恶意程序
EnemyBot恶意软件增加了对关键VMware,F5 BIG-IP漏洞的攻击
Magniber勒索软件的新变种针对Windows 11用户
用于 Linux 恶意软件的新 Windows 子系统窃取浏览器身份验证 cookie
新型恶意软件ChromeLoader激增,威胁着全世界的浏览器
BPFDoor 恶意软件利用 Solaris 漏洞获取 root 权限
数据安全
FBI警告黑客出售美国大学网络证书
GitHub:攻击者窃取了 10 万 npm 用户帐户的登录详细信息
黑客窃取芝加哥50万名学生和员工的个人数据
网络攻击
Clop 勒索软件团伙卷土重来
FBI:美国网络犯罪论坛出售高等教育证书
超过467个应用程序被ERMAC 2.0 Android Banking特洛伊木马攻击
美国奥地利联邦州被BlackCat/ALPHV勒索团伙勒索500万美元
流行的Python和PHP库被劫持以窃取AWS密钥
未知APT组织针对俄罗斯政府实体发起了四次网络钓鱼攻击
印度航空公司SpiceJet的航班受到勒索软件攻击的影响
TURLA在东欧开展网络钓鱼攻击活动
不知名APT组织对俄罗斯政府实体发起多次攻击
通用汽车(GM)遭受恶意攻击并暴露了车主信息
婚礼注册网站Zola遭到网络攻击
俄罗斯联邦储蓄银行:面临大规模DDoS攻击
安全漏洞
微软在大型移动提供商的Android应用程序中发现严重漏洞
OAS平台易受关键RCE和API访问缺陷的影响
Tails操作系统用户建议不要使用Tor浏览器,直到关键的Firefox错误被修补
PayPal漏洞使攻击者能够从用户帐户中窃取现金
新的Zoom漏洞可能让攻击者通过向他们发送消息来攻击受
最近公布的VMware Bug的概念验证漏洞已经被黑客滥用
Fake Windows利用Cobalt Strike攻击目标信息安全社区
安全分析
追踪RedMenshen的攻击活动
其他事件
随着恶意软件分布水平下降,移动木马检测率上升
博通以 610 亿美元收购VMware
报告:探讨50个国家的儿童数据安全立法
谷歌关闭了两家俄罗斯ISP的缓存服务器
18家油气公司接受网络弹性承诺
四分之三的安全专家认为当前的网络安全战略很快就会过时
《2022年网络安全状况报告》将勒索软件和民族国家攻击列为最大威胁
Twitter 因用户数据隐私被罚款 1.5 亿美元
谷歌称俄罗斯黑客泄漏英国政府官员机密
尼日利亚网络犯罪头目被捕
倡导者敦促亚马逊放弃备受争议的国土安全部监视计划
美国总统拜登的电子邮件中有可能“篡改”的迹象
美国、澳大利亚、印度和日本宣布关于软件、供应链的网络安全举措
微软:信用卡窃取呈上升趋势
美国参议院报告:美国政府缺乏有关勒索软件的全面数据
流行的 PyPI 包“ctx”和 PHP 库“phpass”被劫持以窃取 AWS 密钥
马克·扎克伯格因剑桥Analytica的数据泄露而被起诉
账户预劫持攻击:黑客可以在用户注册之前就入侵其的在线帐户
新勒索之家集团成立敲诈勒索市场,新增首批受害者
英国数据管理局罚款Clearview AI超过750万英镑,命令英国数据删除
俄罗斯在被占领的乌克兰境内利用超本地Telegram网络散布虚假信息

 

0x03   恶意程序

EnemyBot恶意软件增加了对关键VMware,F5 BIG-IP漏洞的攻击

日期: 2022-05-29
标签: 信息技术, VMware, F5, AT&T Alien Labs, Keksec, EnemyBot, Tsunami, Gafgyt, DarkHTTP, DarkIRC, Necro, DDoS, CVE-2022-27226, CVE-2022-25075, CVE-2022-22954, CVE-2022-22947, CVE-2022-1388, 路由器, 物联网设备, 

EnemyBot是一个基于来自多个恶意软件的代码的僵尸网络,它通过快速添加针对Web服务器,内容管理系统,物联网和Android设备中最近披露的关键漏洞来扩大其覆盖范围。Securonix的研究人员在三月份首次发现了僵尸网络,到四月份,对新样本的分析时,EnemyBot已经集成了十几种处理器架构的缺陷。AT&T Alien Labs的一份新报告指出,EnemyBot的最新变体包含了针对24个漏洞的攻击。四月份大多数缺陷与路由器和物联网设备有关,CVE-2022-27226(iRZ)和CVE-2022-25075(TOTOLINK)是最新的缺陷之一,Log4Shell是最值得注意的。以及其他漏洞:CVE-2022-22954、CVE-2022-22947、CVE-2022-1388。EnemyBot背后的组织Keksec正在积极开发恶意软件,并拥有其他恶意项目:Tsunami,Gafgyt,DarkHTTP,DarkIRC和Necro。目前,EnemyBot的主要目的是DDoS攻击,但也需要考虑其他可能性(例如加密采矿,访问),特别是因为恶意软件现在针对更强大的设备。

详情

https://t.co/Y8UMUBz1j4

Magniber勒索软件的新变种针对Windows 11用户

日期: 2022-05-29
标签: 信息技术, 微软(Microsoft), Magniber, Windows 11, 

360安全中心的安全分析师发现了一种针对 Windows 11 系统的新型 Magniber 勒索软件。自5月25日起,Magniber的攻击量大幅飙升,其主传输包名也进行了升级,如:win10-11_system_upgrade_software.msi、covid.warning.readme.xxxxxxxx.msi等。该勒索软件通过多个网络平台、破解软件网站、假色情网站等进行传播,用户访问这些虚假网站时,会被诱骗到第三方网盘下载。据研究人员称,勒索软件本身并没有太大变化,并且可以针对 Windows 操作系统的多个变体。该勒索软件采用 RSA+AES 加密方法来加密文件。使用的 RSA 长达 2048 位,目前技术上难以破解。 被勒索软件加密后,文件后缀为随机后缀,每个受害者都会有一个单独的支付页面。如果无法在规定时间内支付赎金,链接将失效。如果受害者可以在 5 天内支付赎金,他只需要支付 0.09 比特币,否则 5 天后赎金将翻倍。该恶意活动于 2022 年 4 月 8 日开始,此后在全球范围内大规模传播。与此同时,目前尚不清楚假冒的 Windows 10 更新是如何从假冒的warez 和破解网站推广和分发的。

详情

https://t.co/1k4ggfEQRs

用于 Linux 恶意软件的新 Windows 子系统窃取浏览器身份验证 cookie

日期: 2022-05-28
标签: 信息技术, 微软(Microsoft), Windows, Linux, WSL, 

黑客在构建新的恶意软件时,对 Linux 的 Windows 子系统 (WSL) 作为攻击面表现出越来越大的兴趣,更高级的样本适用于间谍活动和下载额外的恶意模块。WSL 允许在模拟 Linux 内核的环境中运行本机 Linux 二进制文件以在 Windows 上运行。基于 WSL 的恶意软件样本依赖于开源代码,该代码通过 Telegram 消息服务路由通信,并让威胁参与者远程访问受感染的系统。用于 WSL 的恶意 Linux 二进制文件于一年多前首次被发现,从那时起,它们的数量不断增长,尽管基于公开可用的代码,但所有变体的检测率都很低。最近发现的第二个基于 WSL 的恶意软件样本是为了在受感染的机器上设置反向 TCP 外壳与攻击者通信。查看代码,研究人员注意到它使用了来自亚马逊网络服务的 IP 地址,该地址之前已被多个实体使用。防御基于 WSL 的威胁的一般建议是密切关注系统活动(例如SysMon)以确定可疑活动并调查命令。

详情

https://t.co/WMIbInsiCP

新型恶意软件ChromeLoader激增,威胁着全世界的浏览器

日期: 2022-05-25
标签: 信息技术, 谷歌(Google), ChromeLoader, 

2022年5月25日,安全研究团队红金丝雀(Red Canary)发布了一份关于ChromeLoader的报告,ChromeLoader 是一种普遍且持久的浏览器劫持程序,它会修改受害者的浏览器设置并将用户流量重定向到广告网站。该恶意软件是通过一个 ISO 文件引入的,该文件通过伪装成破解的视频游戏或盗版电影或电视节目来诱使用户执行它。它最终表现为浏览器扩展。ChromeLoader 似乎通过按安装付费的网站和 Twitter 等社交媒体平台传播。

详情

https://t.co/FtUmn1mVlP

BPFDoor 恶意软件利用 Solaris 漏洞获取 root 权限

日期: 2022-05-25
标签: 中国, 政府部门, 教育行业, 居民服务, 普华永道, Red Menshen, BPFDoor, SysVinit, CVE-2019-3010, Solaris, 

对Linux和Solaris的隐形BPFdoor恶意软件内部运作的新研究表明,其背后的威胁参与者利用旧漏洞在目标系统上实现持久性。BPFDoor是一种定制的后门,在针对电信,政府,教育和后勤组织的攻击中,它已被广泛使用至少五年而未被发现。该恶意软件是最近才被发现的,并且首先由普华永道(PwC)的研究人员报告,他们将其归因于他们跟踪的中国威胁行为者Red Menshen。在一份报告中,研究人员提供了有关防御者如何检测BPFDoor植入物的详细信息,并突出显示了Solaris系统中使用的技术。他们指出,一旦Depositect获得对Solaris系统的访问权限,它就会通过利用CVE-2019-3010(Solaris操作系统(版本11.x)的XScreenSaver组件中的漏洞)获得根级权限。该漏洞的漏洞利用代码公开了三年,似乎DepositalArchitect没有做出任何努力来修改它。

详情

https://t.co/G9KtbU3Dpt

相关安全建议

1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

5. 各主机安装EDR产品,及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序

8. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理

 

0x04   数据安全

FBI警告黑客出售美国大学网络证书

日期: 2022-05-27
标签: 美国, 教育行业, 美国联邦调查局 (FBI), 

网络犯罪分子愿意以数千美元的价格出售美国高等教育机构的网络访问凭据。这种类型的广告既出现在公开可用的网络犯罪在线论坛上,也出现在暗网上的市场上。联邦调查局(FBI)已发出警报,说明可以访问美国学院和大学的用户名和密码可在俄罗斯网络犯罪论坛上出售。敏感信息包括网络凭据和虚拟专用网络(VPN)访问美国众多“高等教育组织。联邦调查局指出,去年5月,一个可能参与贩运登录凭据的组织发布了超过36,000封电子邮件和密码组合,这表明了这一点。该机构建议学术实体采取缓解策略,以降低妥协风险。在更新可用时应用更新并检查生命周期结束通知位于列表顶部。FBI 还建议通过限制帐户的使用位置和启用本地设备凭据保护机制来减少凭据暴露。

详情

https://t.co/pagsuHVrAR

GitHub:攻击者窃取了 10 万 npm 用户帐户的登录详细信息

日期: 2022-05-27
标签: 信息技术, GitHub, 

2022年5月27日,GitHub透露,在4月中旬,攻击者在向Heroku和Travis-CI发放的被盗OAuth应用程序令牌的帮助下窃取了大约100,000个npm帐户的登录详细信息。威胁行为者成功地从属于数十个组织的私有仓库中破坏并泄露了数据。该公司在调查期间发现,未知的威胁行为者从npm云存储中窃取了以下数据:

• 大约 10 万个 npm 用户名、密码哈希和电子邮件地址,来自 2015 年的用户信息存档。

• 截至 2021 年 4 月 7 日的所有私有程序包清单和元数据。

• 截至 2022 年 4 月 10 日的所有私有软件包的已发布版本的名称和 semVer。

• 来自两个组织的私有包。

详情

https://t.co/UNNgJrWBAg

黑客窃取芝加哥50万名学生和员工的个人数据

日期: 2022-05-23
标签: 芝加哥, Battelle for Kids, 勒索攻击, 

去年12月,超过50万芝加哥公立学校学生和教职员工的个人信息在勒索软件攻击中被泄露,尽管直到4月份才报告这一违规行为。该地区5月20日表示,技术供应商Battelle for Kids于4月25日通知CPS这一违规行为。CPS在一份声明中表示,用于存储学生和教职员工信息的服务器遭到破坏,并访问了四年的记录。CPS表示,从2015-16年到2018-2019学年,访问了495,448名学生和56,138名员工记录。涉及违规行为的学生信息包括学生的姓名,学校,出生日期,性别,CPS识别号码,州学生身份证号码,课程表信息和课程特定评估的分数。员工信息包括姓名、员工识别号、学校和课程信息、电子邮件和用户名。

详情

https://t.co/dgjWKWyRUZ

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后,及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施

 

0x05   网络攻击

Clop 勒索软件团伙卷土重来

日期: 2022-05-28
标签: 美国, 信息技术, Clop, 勒索团伙, 

2022年5月28日,据 NCC 集团研究人员称,Clop 勒索软件在2021年11月至2022年2月期间被有效关闭几个月后,现又卷土重来。Clop 最具针对性的领域是工业部门,45% 的 Clop 勒索软件攻击针对工业组织,27% 针对科技公司。NCC Group 表示:“CL0P 以爆炸性和意外的方式重返勒索软件威胁领域的前沿,从 3 月份最不活跃的威胁参与者跃升至 4 月份第四活跃的威胁参与者。”4 月份威胁攻击者的目标出现了显着波动。虽然 Lockbit 2.0(103 名受害者)和 Conti(45 名受害者)仍然是最多产的威胁攻击者,但 CL0P 的受害者大幅增加,从 1 人增加到 21 人。Clop 最具针对性的领域是工业部门,45% 的 Clop 勒索软件攻击针对工业组织,27% 针对科技公司。

详情

https://t.co/wIJdC3P1lj

FBI:美国网络犯罪论坛出售高等教育证书

日期: 2022-05-26
标签: 美国, 教育行业, 

2022年5月26日,美国联邦调查局发布警报,通知高等教育部门有关可能允许威胁参与者访问用户帐户或组织网络的凭据的暴露。根据 FBI 的说法,网络犯罪分子一直在各种公共和暗网论坛上出售用户名和密码。用户名和密码的暴露可能导致暴力凭据填充计算机网络攻击,攻击者试图通过各种互联网站点登录或利用它们进行后续网络攻击,因为犯罪分子利用用户在多个帐户、互联网站点上回收相同的凭据和服务。该机构提供了一些例子。例如,从 2022 年 1 月开始,涉及在俄罗斯网络犯罪论坛上出售属于美国大学和学院的网络和 VPN 访问凭证。在某些情况下,卖家以数千美元的价格提供信息。如果攻击者成功入侵受害者账户,他们可能会尝试耗尽账户的储值、利用或转售信用卡号码和其他个人身份信息、提交欺诈交易、利用针对账户持有人的其他犯罪活动,或用于随后对附属组织的攻击。

详情

https://t.co/i0O3C9fpru

超过467个应用程序被ERMAC 2.0 Android Banking特洛伊木马攻击

日期: 2022-05-28
标签: 信息技术, 金融业, ERMAC Android, Cerberus, 

ERMAC Android银行病毒已更新到2.0版本,将目标应用程序数量从378个增加到467个,允许攻击者从更多应用程序中窃取帐户密码和加密钱包。Threatfabric研究人员在2021年7月发现了ERMAC,特别是它基于着名的银行木马Cerberus。Cerberus的源代码于2020年9月在其运营商未能通过拍卖后在地下黑客论坛上发布。该木马的目标是将被盗的登录凭据发送给威胁行为者,然后威胁行为者使用它们来访问其他人的银行和加密货币帐户并犯下金融或其他罪行。

详情

https://t.co/FnJNo9ZYpL

美国奥地利联邦州被BlackCat/ALPHV勒索团伙勒索500万美元

日期: 2022-05-27
标签: 美国, 政府部门, 美国奥地利联邦州 Carinthia, BlackCat (ALPHV), 

美国奥地利联邦州 Carinthia 遭到 BlackCat 勒索软件团伙(也称为 ALPHV)的袭击,该团伙要求 500 万美元来解锁加密的计算机系统。ALPHV/BlackCat 勒索软件团伙于 2021 年 11 月出现,是2021年进行殖民管道攻击的 DarkSide/BlackMatter 黑客组织的更名。袭击发生在2022年5月24日,并导致政府服务的运营严重中断,据称数千个工作站已被威胁者锁定。Carinthia 的网站和电子邮件服务目前处于离线状态,政府无法签发新护照或罚款。此外,网络攻击还破坏了通过该地区行政办公室进行的 COVID-19 测试处理和接触者追踪。黑客提出以 500 万美元的价格提供一个有效的解密工具。不过,美国奥地利联邦州发言人 Gerd Kurath表示攻击者的要求不会得到满足。目前没有证据表明 BlackCat 实际上设法从该州的系统中窃取任何数据,并且计划是从可用备份中恢复机器。Kurath 还表示,在受影响的 3,000 个系统中,预计第一个系统将在2022年5月27日再次可用。

详情

https://t.co/mAUN0zntQg

流行的Python和PHP库被劫持以窃取AWS密钥

日期: 2022-05-27
标签: 信息技术, 

广泛使用的 PyPI 包 ‘ctx’ 2022年5月早些时候遭到黑客攻击,新发布的版本将环境变量泄漏到外部服务器。’ctx’ 是一个小型 Python 模块,它允许程序员以各种方式操作字典(’dict’)对象。软件供应链攻击已经破坏了 PyPI 模块“ctx”,该模块每周下载超过 20,000 次,恶意版本收集开发人员的环境变量。黑客甚至用通过泄露开发人员的环境变量来收集 Amazon AWS 密钥和凭证等机密的代码替换了旧的、安全版本的“ctx”。 此外,发布到 PHP/Composer 包存储库 Packagist 的“phpass”分支版本已以类似的方式进行了修改,以窃取机密。在 PHPass 框架存在的整个过程中,Packagist 存储库的下载量已超过 250 万次。据说 PyPI 包 ‘ctx’ 被劫持是由维护者帐户泄露引起的,但真正的原因尚未发现。攻击者声称拥有一个先前废弃的 GitHub 存储库并将其恢复以将更改的“phpass”版本发布到 Packagist 注册表,这被归因于 hautepass/phpass 的黑客攻击。

详情

https://t.co/j4NexkNtGy

未知APT组织针对俄罗斯政府实体发起了四次网络钓鱼攻击

日期: 2022-05-25
标签: 俄罗斯, 政府部门, 网络钓鱼, 俄乌战争, 

自2022年2月下旬以来,一个未知的APT组织已经针对俄罗斯政府实体,至少进行了四次单独的网络钓鱼攻击行动,目的是植入远程访问木马(RAT),用于监视其感染的计算机,并远程执行命令。该恶意软件使用许多高级技术来隐藏它的工作方式,但是分析师已经能够对恶意软件进行逆向分析,揭示其内部运作,以及有关其来源的一些线索。但暂时无法将该攻击行动归因于已知APT组织。

详情

https://blog.malwarebytes.com/malwarebytes-news/2022/05/unknown-apt-group-has-targeted-russia-repeatedly-since-ukraine-invasion/

印度航空公司SpiceJet的航班受到勒索软件攻击的影响

日期: 2022-05-25
标签: 印度, 交通运输, SpiceJet, 勒索攻击, 

2022年5月25日,印度航空公司SpiceJet通知其客户,一次勒索软件攻击试图影响了其一些系统,并导致航班起飞延误。根据该航空公司社交媒体渠道上发布的公告,其IT团队设法挫败了攻击,因此一切都恢复了正常的运营状态。然而,Twitter和Facebook上的多份客户报告仍然反映了持续存在的问题,突出了航班延误,称无法通过电话提供客户服务,并且预订系统仍然不可用。2020年1月,SpiceJet证实了一起数据泄露事件,该事件允许未经授权的个人访问该航空公司保护不力的服务器上的数据库备份文件。2021年,SpiceJet因COVID-19限制而停飞其机队而陷入严重的财务困境

,报告年收入损失28%,直接威胁到其业务的可持续性。

详情

https://t.co/OFf1vwW3Kk

TURLA在东欧开展网络钓鱼攻击活动

日期: 2022-05-24
标签: 东欧, 政府部门, Turla(Venomous Bear), 网络钓鱼, APT舆情, C2, 

SEKOIA.IO威胁与检测研究团队对谷歌TAG博客中披露的TURLA组织的基础设施进行了调查。它揭露了TURLA针对波罗的海军事学院、在政府决策中发挥作用的奥地利经济商会、北约联合高级分布式学习平台的侦察和间谍活动,这些目标显示出俄罗斯情报机构对东欧国防部门和俄罗斯联邦经济制裁相关的话题感兴趣。

详情

https://blog.sekoia.io/turla-new-phishing-campaign-eastern-europe/

不知名APT组织对俄罗斯政府实体发起多次攻击

日期: 2022-05-24
标签: 俄罗斯, 政府部门, 网络钓鱼, 俄乌战争, 

2022年5月24日,Malwarebytes 威胁情报团队发现,自 2022 年 2 月下旬以来,一个未知的高级持续威胁 (APT) 组织针对俄罗斯政府实体发起了至少四次独立的鱼叉式网络钓鱼活动。这些钓鱼活动旨在植入远程访问木马 (RAT),该木马可用于监视其感染的计算机,并在其上远程运行命令。这四次钓鱼活动的主题分别是:乌克兰互动地图、Log4j补丁、Rostec 国防集团软件、沙特阿美工作职位。

详情

https://t.co/xPpMtWHKAS

通用汽车(GM)遭受恶意攻击并暴露了车主信息

日期: 2022-05-23
标签: 美国, 交通运输, 制造业, 美国汽车制造商通用汽车(GM), 雪佛兰, 别克, GMC, 凯迪拉克, 凭据填充, 

美国汽车制造商通用汽车(GM)透露,它是上个月凭证填充攻击的受害者,该攻击暴露了一些客户的信息,并允许黑客用奖励积分兑换礼品卡。通用汽车GM运营着一个在线平台,帮助雪佛兰,别克,GMC和凯迪拉克车辆的车主管理其账单,服务和兑换奖励积分。车主可以将通用汽车奖励积分兑换为通用汽车、汽车服务、配件以及购买安吉星服务计划。通用汽车透露,他们在2022年4月11日至4月29日之间检测到恶意登录活动,并证实黑客在某些情况下用客户奖励积分兑换礼品卡。目前受影响的客户数量达到五千。

详情

https://t.co/HD5ky9Luza

婚礼注册网站Zola遭到网络攻击

日期: 2022-05-23
标签: 美国, 居民服务, Zola, 

婚礼登记网站 Zola 证实,在数十名客户在社交媒体上抱怨他们的账户被耗尽或遭到破坏后,该网站在2022年5月21日遭到网络攻击。Zola 透露,大约 3,000 个账户“活动受到影响”,不到所有 Zola 夫妇的 0.1%。2022年5月21日,几名 Reddit 用户表示收到了电子邮件,显示收取数百美元的礼品卡或现金礼物费用。一些用户表示连接到他们帐户的电子邮件已更改,导致他们无法登录他们的帐户。

详情

https://t.co/DGVfQyizK9

俄罗斯联邦储蓄银行:面临大规模DDoS攻击

日期: 2022-05-23
标签: 俄罗斯, 乌克兰, 信息技术, 金融业, 俄罗斯联邦储蓄银行(Sberbank), DDoS, 俄乌战争, 

自 2 月危机爆发以来,与乌克兰结盟的黑客一直在瞄准俄罗斯联邦储蓄银行Sberbank进行攻击。2022年5月上旬,该银行遭受了其历史上最大的分布式拒绝服务 (DDoS) 攻击。Sberbank 是俄罗斯最大的金融机构,也是欧洲第三大金融机构,总资产超过 5700 亿美元。在俄罗斯入侵乌克兰之后,该实体是最先受到制裁的实体之一,其在欧洲大陆的业务因此受到严重限制。Sberbank 称已在 2022 年 5 月 6 日以 450GB/秒的速度击退了它所目睹的最严重的 DDoS 攻击。对 Sberbank 主要网站的攻击的恶意流量是由具有 27,000 台受感染设备的僵尸网络生成的。DDoS攻击耗尽资源,使客户无法访问在线服务,造成业务中断和经济损失。只要地缘政治紧张局势造成两极分化的气氛,这种规模的 DDoS 攻击就可能持续存在,并且正如 Sberbank 的声明所得出的结论,它们的数量可能会减少,但威力会增加。

详情

https://t.co/U4BIYQwXgu

相关安全建议

1. 积极开展外网渗透测试工作,提前发现系统问题

2. 减少外网资源和不相关的业务,降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

6. 注重内部员工安全培训

 

0x06   安全漏洞

微软在大型移动提供商的Android应用程序中发现严重漏洞

日期: 2022-05-27
标签: 信息技术, AT&T, TELUS, Rogers Communications, Freedom Mobile, Bell Canada, 谷歌(Google), CVE-2021-42598, CVE-2021-42599, CVE-2021-42600, CVE-2021-42601, Android, 

微软安全研究人员在多个大型国际移动服务提供商的Android应用程序使用的框架中发现了高严重性的漏洞。研究人员在mce Systems拥有的移动框架中发现了这些漏洞(跟踪为CVE-2021-42598,CVE-2021-42599,CVE-2021-42600和CVE-2021-42601),使用户面临命令注入和权限提升攻击。这些易受攻击的应用程序在Google的Play商店上下载了数百万次,并在从受影响的电信运营商购买的设备上预安装了系统应用程序,包括AT&T,TELUS,Rogers Communications,Bell Canada和Freedom Mobile。

详情

https://t.co/8BquTb3UYE

OAS平台易受关键RCE和API访问缺陷的影响

日期: 2022-05-26
标签: 信息技术, OAS, CVE-2022-26833, CVE-2022-26082, CVE-2022-27169, CVE-2022-26077, CVE-2022-26026, CVE-2022-26303, 

威胁分析师已经披露了影响开放自动化软件(OAS)平台的漏洞,导致设备访问,拒绝服务和远程代码执行。OAS平台是一种广泛使用的数据连接解决方案,它将工业设备(PLC,OPC,Modbus),SCADA系统,物联网,网络点,自定义应用程序,自定义API和数据库整合到一个整体系统下。它是一种多功能且灵活的硬件和软件连接解决方案,可促进来自多个供应商的专有设备和应用程序之间的数据传输,并将其连接到公司特定的产品,定制软件等。根据Cisco Talos的一份报告,OAS平台版本16.00.0112及更低版本容易受到一系列高和严重性错误的影响,这些错误可能会造成破坏性攻击。漏洞包括:CVE-2022-26833、CVE-2022-26082、CVE-2022-27169、CVE-2022-26077、CVE-2022-26026、CVE-2022-26303。

详情

https://t.co/PGXmTpAxwa

Tails操作系统用户建议不要使用Tor浏览器,直到关键的Firefox错误被修补

日期: 2022-05-26
标签: 信息技术, Firefox, CVE-2022-1802, CVE-2022-1529, 

Tails项目的维护者已经发出警告,即与操作系统捆绑在一起的Tor浏览器不安全,不能用于访问或输入敏感信息。Tails项目的维护者已经发出警告,即与操作系统捆绑在一起的Tor浏览器不安全,不能用于访问或输入敏感信息。Mozilla 于 2022 年 5 月 20 日推出修复其 Firefox 浏览器中两个关键零日漏洞的补丁,其修改版本是 Tor 浏览器的基础。跟踪为CVE-2022-1802和CVE-2022-1529,这两个漏洞被称为原型污染,可以将其武器化,以便在运行易受攻击版本的Firefox,Firefox ESR,Firefox for Android和Thunderbird的设备上执行JavaScript代码

详情

https://t.co/uGod0zl0dL

PayPal漏洞使攻击者能够从用户帐户中窃取现金

日期: 2022-05-25
标签: 美国, 金融业, 信息技术, PayPal, 点击劫持(Clickjacking), 

一位名叫 h4x0r_dz 的安全研究人员声称,恶意行为者可以利用 PayPal 汇款中的一个新的未修补安全漏洞。该安全漏洞使攻击者能够通过单击来诱骗受害者无意中完成攻击者指示的交易,也称为 Clickjacking。点击劫持,也称为 UI 修复,利用不可见的覆盖页面或显示在可见页面顶部的 HTML 元素,欺骗用户点击看似无害的网页元素,从而安装恶意软件、重定向到恶意网站或泄露私人信息。攻击者可以将“www.paypal[.]com/agreements/approve”端点嵌入到 iframe 中,导致已经登录 Web 浏览器的受害者只需按一下按钮即可将资金转移到攻击者控制的 PayPal 帐户。

详情

https://t.co/beqe2Y4zuG

新的Zoom漏洞可能让攻击者通过向他们发送消息来攻击受

日期: 2022-05-25
标签: 教育行业, Zoom, CVE-2022-22784, CVE-2022-22785, CVE-2022-22786, CVE-2022-22787, 

流行的视频会议服务Zoom已经解决了多达四个安全漏洞,这些漏洞可以通过发送特制的可扩展消息传递和状态协议(XMPP)消息并执行恶意代码来利用这些漏洞在聊天中危害其他用户。漏洞包括:CVE-2022-22784、CVE-2022-22785、CVE-2022-22786、CVE-2022-22787。

详情

https://t.co/5uFqOUqW6V

最近公布的VMware Bug的概念验证漏洞已经被黑客滥用

日期: 2022-05-24
标签: 美国, 信息技术, VMware, GitHub, 漏洞利用, CVE-2022-22954, CVE-2022-22960, 

研究人员表示,最近公布的 VMware 漏洞的 GitHub 概念验证漏洞(CVE-2022-22954和CVE-2022-22960)正在被野外黑客滥用。他们专注于使用它们来传递 Mirai 拒绝服务恶意软件并利用Log4Shell漏洞。VMware 于 2022 年 4 月 6 日发布了一份公告,其中详细介绍了多个安全漏洞。其中最严重的是 CVE-2022-22954,CVSS 得分为 9.8,该漏洞允许具有网络访问权限的攻击者通过 VMware Workspace ONE Access 和 Identity Manager 解决方案上的服务器端模板注入执行远程代码执行。另一个涉及 CVE-2022-22960(CVSS 评分 7.8),是 VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中的一个本地权限提升漏洞,允许具有本地访问权限的攻击者获得 root 权限。在 PoC 发布后,研究人员注意到攻击尝试的激增。大多数利用尝试主要来自僵尸网络运营商,发现的 IP 似乎仍然托管Mirai分布式拒绝服务 (DDoS) 僵尸网络恶意软件的变体,以及一些 Log4Shell 漏洞利用和低级别EnemyBot(一种 DDoS 僵尸网络)尝试。大多数攻击(76%)在地理上起源于美国,其中大部分来自数据中心和云提供商。

详情

https://t.co/wtXuPF3hmN

Fake Windows利用Cobalt Strike攻击目标信息安全社区

日期: 2022-05-23
标签: 朝鲜, 信息技术, SecuriElite, GitHub, Lazarus Group, Lazarus, Cobalt Strike, NukeSped, 漏洞利用, CVE-2022-24500, CVE-2022-26809, 

一个威胁行为者利用伪造的Windows概念验证漏洞针对安全研究人员,这些漏洞利用Cobalt Strike后门感染了设备。这些攻击的幕后黑手,都利用了最近修补的Windows远程执行代码漏洞,这些漏洞被跟踪为CVE-2022-24500和CVE-2022-26809。当 Microsoft 修补漏洞时,安全研究人员通常会分析 GitHub 上的漏洞修复并发布概念验证漏洞。安全研究人员使用这些概念验证漏洞来测试自己的防御措施,并推动管理员应用安全更新。但是,威胁行为者通常使用这些漏洞进行攻击或在网络内横向传播。

详情

https://t.co/Ow5uwPoICb

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

 

0x07   安全分析

追踪RedMenshen的攻击活动

日期: 2022-05-26
标签: 信息技术, CrowdStrike, Linux, Solaris, 

早在2019年,CrowdStrike多次遇到针对全球实体(特别是电信公司)的攻击行动,以获取有针对性的个人用户信息,例如通话详细记录或与特定电话号码有关的信息。该行动与LightBasin的活动集群类似,主要关注Linux和Solaris系统。依靠公开可用的工具,如ldapdomaindump或后渗透框架Impacket,来针对以前入侵的Linux系统到Windows系统。CrowdStrike目前尚未将这种活动归因于特定的国家关系。虽然该组织针对电信公司,但也观察到其他针对物流实体的单独事件。

详情

https://www.crowdstrike.com/blog/how-to-hunt-for-decisivearchitect-and-justforfun-implant/

 

0x08   其他事件

随着恶意软件分布水平下降,移动木马检测率上升

日期: 2022-05-29
标签: 美国, 信息技术, 移动安全, 

安全公司卡巴斯基发布关于移动恶意软件分发的季度报告指出,表明移动恶意软件分发从 2020 年底开始出现下降趋势。尽管恶意软件数量总体下降,但包括通用木马、银行木马和间谍软件在内的木马分发量激增。这一发展凸显了人们越来越关注更复杂和更具破坏性的操作,这些操作逐渐取代了低收益的广告软件和“风险工具”。就分发量而言,广告软件和“风险工具”仍然是最普遍的。预计木马分发将继续取代标记为广告软件和风险软件的威胁。移动设备通常是安全链中的一个薄弱环节,它们在企业环境中的存在不断增加。用户应该让他们的设备保持最新状态,安装最少数量的应用程序并且只能从官方商店安装,审查请求的权限,阅读用户评论,查看开发者的网站,并使用移动安全工具。

详情

https://t.co/BR3uogiXIM

博通以 610 亿美元收购VMware

日期: 2022-05-26
标签: 美国, 信息技术, 制造业, Broadcom Software Group, VMware, 

2022年5月26日(周四),芯片制造商Broadcom Software Group宣布以大约 610 亿美元的现金和股票收购虚拟化巨头 VMware。交易完成后,Broadcom Software Group 将更名为 VMware 并以 VMware 的身份运营,Broadcom 的基础架构和安全软件解决方案将成为 VMware 产品组合的一部分。SecurityWeek 进行的一项研究表明,在去年宣布的 430 多起与网络安全相关的并购中,有 11 起是十亿美元以上的交易。

详情

https://t.co/I1tJJWFdUE

报告:探讨50个国家的儿童数据安全立法

日期: 2022-05-26
标签: 美国, 法国, 俄罗斯, 中国, 英国, 德国, 韩国, 印度, 意大利, 加拿大, 日本, 信息技术, 政府部门, 儿童数据安全, 

Comparitech发布了一份新报告,探讨了按国内生产总值 (GDP) 计算的世界前 50 个国家中有关儿童数据收集的立法。该文件评估了这些政策的 23 个不同方面,以评估是否针对儿童在线数据制定了具体立法。检查的方面包括对隐私政策、父母同意和权限的要求以及对内部访问数据的人员的限制。在名单上的 50 个国家中,有 18 个国家完全缺乏解决在线收集和处理儿童数据的立法。在这个名单中,法国以 34.5 分位居榜首,因为其立法允许儿童在某些情况下与父母/监护人一起参与同意程序。欧盟其他国家(瑞士除外)排名 32.5,主要得益于《通用数据保护条例》(GDPR)对儿童数据的保护。美国得分为 29.5,表明缺乏全面的儿童数据保护。即使一些国家存在处理儿童数据的具体保障措施,但在政府处理儿童数据方面,其法律制度也存在漏洞,例如公共安全。虽然没有一个万全之策可以确保能保护儿童和所有互联网用户的隐私,但对儿童及其父母的教育至关重要,以确保父母了解他们可以在孩子的设备和互联网连接上实施的父母安全控制措施。

详情

https://t.co/8xvWMeXC6q

谷歌关闭了两家俄罗斯ISP的缓存服务器

日期: 2022-05-26
标签: 俄罗斯, 信息技术, Radiosvyaz(Focus Life), МФТИ-Телеком(MIPT Telecom), 谷歌(Google), 俄乌战争, 

两家俄罗斯互联网服务提供商(ISP)已收到谷歌的通知,称其网络上的全球缓存服务器已被禁用。缓存服务器是一个 ISP 绑定节点,用于更快地向互联网用户提供 Google 内容,即使在中断期间也能保持高访问可靠性。缓存对于流行的YouTube内容最为重要,ISP可以将这些内容存储在服务器上并更快地加载,从而为其订阅者提供更好的连接体验。确认受影响的两家ISP(Radiosvyaz(Focus Life)和МФТИ-Телеком(MIPT Telecom))于2022年5月19日关闭了他们的缓存服务器,但仅在该日期后几天就收到了Google的通知。这对两家俄罗斯ISP的影响是巨大的,但这两家公司的市场份额相对较小,这使得这种影响不太可能影响该国的大量互联网用户。

详情

https://t.co/ZrQcl9QQfL

18家油气公司接受网络弹性承诺

日期: 2022-05-26
标签: 欧洲, 美国, 能源业, Aker ASA, Aker BP, Aramco, Check Point Software Technologies, Claroty, Cognite, Dragos, Ecopetrol, Eni, EnQuest, Galp, Global Resilience Federation, Maire Tecnimont, Occidental Petroleum, OT-ISAC, Petronas, Repsol, Suncor, 

在过去两年中,石油和天然气行业的公司经历了重大的安全漏洞,迫使人们迫切需要采取集体应对措施。作为回应,18家能源公司已同意合作开发一个专门的解决方案,以加强整个行业生态系统的基础设施。该承诺是在世界经济论坛(WEF)2022年年会上宣布的。根据其网站,网络弹性承诺旨在“动员全球承诺,加强整个行业生态系统的网络弹性”。那些做出承诺的人将共同打击网络攻击,确保它不是一项独立的努力。协调的方法可以跨越国界和业务,从而对恶意威胁产生协调的弹性。承诺的公司包括Aker ASA,Aker BP,Aramco,Check Point Software Technologies,Claroty,Cognite,Dragos,Ecopetrol,Eni,EnQuest,Galp,Global Resilience Federation,Maire Tecnimont,Occidental Petroleum,OT-ISAC,Petronas,Repsol和Suncor。

详情

https://t.co/XZK20GBQ8K

四分之三的安全专家认为当前的网络安全战略很快就会过时

日期: 2022-05-25
标签: 英国, 信息技术, 网络安全战略, 

2022年5月24日,网络安全解决方案公司Crossword Cybersecurity Plc发布报告 ,表明英国公司越来越担心网络攻击。在对 200 多名 CISO 和高级网络安全专业人士的调查中,40% 的受访者表示,他们目前的网络安全战略可能在短短两年内就会过时。另有 37% 的人表示这将在三年内发生。目前,网络安全专家认为公司主要关注短期优先事项,即软件验证和勒索软件攻击。在接下来的 12 个月中,四分之三的受访者表示软件验证将是一个关键焦点,而 69% 的受访者表示他们将过渡到云。此外,三分之二 (67%) 的参与者表示他们将专注于应对勒索软件攻击的威胁。不断增加的网络攻击数量加上不断的技术创新意味着公司必须不断更新其网络安全战略。为了跟上网络攻击的风险,公司需要在网络安全解决方案上投入更多资金。

详情

https://t.co/zxYYHHgzOB

《2022年网络安全状况报告》将勒索软件和民族国家攻击列为最大威胁

日期: 2022-05-26
标签: 美国, 政府部门, 信息技术, 制造业, 勒索攻击, 供应链, APT, 

2022年5月26日,Infosecurity Group 发布《2022年网络安全状况报告》,称勒索软件是网络安全专业人士最关心的问题。勒索软件被投票选为最大的网络安全趋势 (28%),与 2020 年的报告相比发生了重大变化,当时勒索软件并未突破前三名。2021年,勒索需求和支付显着增长,其中一些攻击还影响了关键行业,例如破坏了美国最大的燃料管道。调查受访者的第二大担忧是地缘政治/民族国家攻击(24%),尤其是敌对行动从俄罗斯-乌克兰冲突转移到网络空间。在今年的报告中,另一个重要性激增的问题是供应链攻击,排名第三(22%)。2021 年 12 月的SolarWinds 攻击证明了日益数字化和复杂的供应链带来的网络安全风险。

详情

https://t.co/2cDwYVTNgh

Twitter 因用户数据隐私被罚款 1.5 亿美元

日期: 2022-05-25
标签: 美国, 政府部门, 文化传播, 推特(Twitter), 

2022年5月25日,美国司法部和联邦贸易委员会通过 Twitter 宣布了和解协议。监管机构指控 Twitter 违反了 2011 年 FTC 的命令,欺骗用户了解其维护和保护其非公开联系信息的隐私和安全的程度。Twitter 将支付 1.5 亿美元的罚款,并采取新的保障措施来解决联邦监管机构关于社交平台在六年内未能保护用户数据隐私的指控。从 2013 年 5 月到 2019 年 9 月,Twitter 告诉用户正在收集他们的电话号码和电子邮件地址以确保帐户安全。但美国政府称,Twitter却没有透露还将使用这些信息使公司能够在平台上向用户发送有针对性的在线广告。

详情

https://t.co/KoFRNoTzIE

谷歌称俄罗斯黑客泄漏英国政府官员机密

日期: 2022-05-25
标签: 俄罗斯, 英国, 政府部门, 

2022年5月25日,据一位谷歌网络安全官员和前英国外国情报局负责人称,一个新网站“Very English Coop d’Etat”发布了英国退出欧盟的几位主要支持者泄露的电子邮件,该网站与俄罗斯黑客有关。该网站声称,他们是一群在英国秘密发号施令的强硬派脱欧人士的一部分。目前尚无法立即验证这些电子邮件的真实性,但2022年5月25日,泄密的两名受害者证实,他们已成为黑客的目标,并指责俄罗斯政府。如果泄露的消息确实属实,这将是三年来俄罗斯间谍第二次窃取英国国家安全高级官员的私人电子邮件并将其发布到网上。

详情

https://t.co/fj9EDzFG1w

尼日利亚网络犯罪头目被捕

日期: 2022-05-25
标签: 尼日利亚, 金融业, 信息技术, SilverTerrier, BEC, 

2022年5月25日,国际刑警组织宣布,一名尼日利亚男子因涉嫌领导一个专门从事网络钓鱼和商业电子邮件泄露 (BEC) 的网络犯罪组织而被捕。2021 年 12 月,尼日利亚警方逮捕了 11 名据信参与 BEC 计划的人。据称,他们是SilverTerrier黑客组织成员,该黑客组织至少自 2014 年以来一直活跃,由数百名参与 BEC 攻击的威胁参与者组成。据称SilverTerrier 黑客组织已针对全球数以万计的公司和个人发送虚假电子邮件,旨在诱骗他们将资金汇入他们控制的银行账户。据网络安全公司Palo Alto Networks表示,这位尼日利亚男子的别名已被用于注册 240 多个域,其中 50 个用于恶意软件命令和控制。并且这名男子似乎与其他已知的BEC犯罪分子关系密切。

详情

https://t.co/JsO5oXV2Fq

倡导者敦促亚马逊放弃备受争议的国土安全部监视计划

日期: 2022-05-24
标签: 美国, 信息技术, 政府部门, 亚马逊(Amazon ), 

数字和人权活动家要求亚马逊网络服务退出托管美国国土安全部下一代生物特征数据托管系统的合同。“国土安全部收集的大量生物特征数据是对隐私的严重侵犯,是对人权的侵犯,并使数亿人面临突袭、拘留、驱逐和家庭分离的风险,”由Access Now、Immigration领导的非营利组织写道表示。“通过托管 DHS 的 HART [国土高级识别技术] 数据库,AWS 直接促进了侵入性生物识别数据库的创建,该数据库将加强监视和驱逐出境,冒着侵犯人权的风险。”美国国土安全部多年来努力更换其已有 28 年历史的生物特征识别系统自动生物特征识别 (IDENT),但因该机构对该项目缺乏透明度而造成代价高昂的延误和批评。

详情

https://t.co/9i1Ot2Mf0Q

美国总统拜登的电子邮件中有可能“篡改”的迹象

日期: 2022-05-24
标签: 美国, 政府部门, 

根据最近的一项分析,在最近泄漏的 128,700 多封电子邮件中,有几封电子邮件据称美国总统拜登 (Hunter Biden) 的笔记本电脑有关。2022年5月15日,前特朗普政府工作人员加勒特·齐格勒 (Garrett Ziegler) 将这些电子邮件发布在一个可搜索的数据库中。研究人员在这些数据集版本中检测到不止一封更改或植入的电子邮件,显示出“篡改迹象”。这些电子邮件的历史可追溯至 2009 年至 2019 年。根据安全公司DDoSecrets 分析,数据收集显示了 145 个不同的“最后修改”日期,从 2018 年 1 月 4 日到 2022 年 5 月 8 日。但DDoSecrets表示这可能反映了许多事情,包括文件被导出或恢复的日期,并不一定表明被篡改。可能的“篡改”是指在 2020 年 8 月 31 日至 2020 年 9 月 2 日之间创建的电子邮件,刚好是美国现总统拜登拥有该笔记本电脑一年多之后。

详情

https://t.co/nZfxNvvUAs

美国、澳大利亚、印度和日本宣布关于软件、供应链的网络安全举措

日期: 2022-05-24
标签: 美国, 澳大利亚, 日本, 印度, 政府部门, 供应链, 

2022年5月24日,美国、澳大利亚、印度和日本正式宣布了一项合作伙伴关系,将在围绕加强软件、供应链和用户数据的几项网络安全举措上展开合作。在会后发表的一份声明中,领导人承诺通过共享威胁信息和识别数字化产品和服务供应链中的潜在风险来改善关键基础设施的集体网络安全。该伙伴关系还将看到各国共同努力“调整政府采购的基线软件安全标准,利用我们的集体购买力来改善更广泛的软件开发生态系统,以便所有用户都能受益。”

详情

https://t.co/FmcGRySt3J

微软:信用卡窃取呈上升趋势

日期: 2022-05-24
标签: 俄罗斯, 金融业, 信息技术, 

近日,微软的安全研究人员观察到信用卡窃取的上升趋势,黑客使用更先进的技术来隐藏他们的恶意信息窃取代码。三种隐藏方法的使用有所增加:在图像中注入脚本、字符串连接和脚本欺骗。支付卡浏览是一种基于 Web 的攻击,黑客通过利用底层平台(Magento、PrestaShop、WordPress 等)上的漏洞或不良的安全实践将恶意 JavaScript 代码注入电子商务网站。当网站访问者到达结帐页面并继续输入他们的信用卡或借记卡详细信息以支付所下订单时,该代码将被激活。在该页面的表格上键入的任何内容都会被撇取器窃取并发送给恶意运营商,然后恶意运营商使用这些详细信息进行在线购买或将数据出售给他人。

详情

https://t.co/6CA2TiSUtr

美国参议院报告:美国政府缺乏有关勒索软件的全面数据

日期: 2022-05-24
标签: 美国, 政府部门, 

根据美国参议院国土安全和政府事务委员会的一份新报告 ,美国政府缺乏关于勒索软件攻击的全面数据,包括支付损失的金额 。该报告介绍了对日益增长的勒索软件威胁进行的为期 10 个月的调查结果。它引用 FBI 的数据显示,该机构已收到3729起勒索软件投诉,调整后的损失超过 4920 万美元。该委员会强调了勒索软件对美国国家安全构成的重大威胁,并称美国在政府层面缺乏关于这种激增的勒索攻击实体的数据,而这些数据将有助于调查和起诉勒索软件威胁行为者。因此,委员会建议优先收集有关勒索软件攻击的数据,作为应对日益严重的国家安全威胁的重要手段。

详情

https://t.co/epMxTCSK3c

流行的 PyPI 包“ctx”和 PHP 库“phpass”被劫持以窃取 AWS 密钥

日期: 2022-05-24
标签: 信息技术, 供应链, 

SANS 互联网风暴中心 (ISC)发现在一个针对开源生态系统的软件供应链攻击实例中,发现了两个木马化的 Python 和 PHP 包。有问题的包之一是“ctx”,这是 PyPi 存储库中可用的 Python 模块。另一个涉及“phpass”,这是一个在 GitHub 上分叉的 PHP 包,用于分发恶意更新。Maven、NPM、Packages、PyPi 和 RubyGems 等开源代码的公共存储库是许多组织开发应用程序所依赖的软件供应链的关键部分。然而研究人员表示,开发人员盲目地信任存储库并从这些来源安装软件包,这将导致广泛的供应链处于风险中。

详情

https://t.co/PUKmk75Dg6

马克·扎克伯格因剑桥Analytica的数据泄露而被起诉

日期: 2022-05-23
标签: 美国, 信息技术, Meta Platforms, 数据泄漏, 

哥伦比亚特区宣布起诉Meta Platforms Inc。Meta的首席执行官马克扎克伯格被认为与 2016 年美国总统大选期间的数据泄露事件有关。该事件使政治咨询公司 Cambridge Analytica 能够获取 Facebook 用户信息。DC 总检察长卡尔·拉辛 (Karl Racine) 表示,“全面调查”发现扎克伯格对用户的监督不严,并制定了误导性的隐私协议,导致剑桥分析公司和其他第三方 获取了 8700 万美国人的个人信息。拉辛称其为“美国历史上最大的消费者隐私丑闻”。

详情

https://t.co/6uIg2LQ5Dn

账户预劫持攻击:黑客可以在用户注册之前就入侵其的在线帐户

日期: 2022-05-23
标签: 信息技术, Instagram, LinkedIn, Zoom, WordPress, Dropbox, 账户预劫持攻击, 

安全研究人员透露,黑客甚至可以在您注册之前劫持您的在线帐户,方法是利用 Instagram、LinkedIn、Zoom、WordPress 和 Dropbox 等流行网站上已经修复的漏洞。微软安全响应中心研究员 Andrew Paverd 和独立安全研究员 Avinash Sudhodanan 分析了 75 种流行的在线服务,发现至少有 35 种容易受到帐户预劫持攻击。这些攻击的类型和严重程度各不相同,但它们都源于网站本身的漏洞。攻击者使用受害者的电子邮件地址创建了一个预劫持帐户,然后将该帐户与攻击者的 IdP 帐户相关联以进行联合身份验证。当受害者重置密码时(如在未过期会话攻击中),攻击者仍然可以访问通过联合身份验证路由帐户。账户预劫持攻击的影响与账户劫持相同。根据目标服务的性质,成功的攻击可能允许攻击者读取/修改与账户相关的敏感信息(例如,消息、计费)声明、使用历史等)或使用受害者的身份执行操作(例如,发送欺骗性消息、使用保存的付款方式进行购买等)。为了应对预劫持账户的风险,用户可以立即在他们的账户上设置 MFA(多因素身份验证),这也可以强制让之前所有的会话失效。

详情

https://t.co/7ENFK9wT1H

新勒索之家集团成立敲诈勒索市场,新增首批受害者

日期: 2022-05-23
标签: 德国, 批发零售, 交通运输, 萨斯喀彻温省酒类和博彩管理局(SLGA), Telegram, LAPSUS, LAPSUS$, White Rabbit, RansomHouse, 

另一个数据勒索网络犯罪行动已经出现在名为“RansomHouse”的暗网上,威胁行为者发布被盗文件的证据并泄漏拒绝支付赎金的组织的数据。新行动声称不使用任何勒索软件,而是专注于通过所谓的漏洞破坏网络以窃取目标的数据。据信,RansomHouse于2021年12月推出,其第一个受害者据称是萨斯喀彻温省酒类和博彩管理局(SLGA),该局现已被列入勒索网站。自本月推出该网站以来,威胁行为者增加了另外三名受害者,最近一名是上周遭到袭击的德国航空公司支持服务提供商。Cyberint在5月23日发布的一份报告中,分析师发现Telegram帖子在Lapsus$帮派Telegram频道上推广RansomHouse。这表明威胁参与者同样有兴趣将数据出售给其他威胁参与者以及受害者。

详情

https://t.co/tdINSbsQCd

英国数据管理局罚款Clearview AI超过750万英镑,命令英国数据删除

日期: 2022-05-23
标签: 加拿大, 澳大利亚, 信息技术, Clearview AI, 生物识别, 

2022年5月23日,英国政府宣布对面部识别公司Clearview AI处以超过750万英镑的罚款,并命令其停止收集有关英国居民的信息,并删除其数据库中已有的信息。英国信息专员约翰爱德华兹在一份新闻稿中说:该公司不仅可以识别这些人,还可以有效地监控他们的行为并将其作为商业服务提供。这是不可接受的。据该机构称,Clearview根据从在线收集的图像中获得的生物识别面部指纹来识别人,已经积累了一个超过200亿张图像的数据库。Clearview正日益面临来自国家隐私监管机构的压力,要求从其系统中删除数据,包括澳大利亚和加拿大,这两个国家去年都下令该公司删除居民信息。

详情

https://t.co/3LbEdcWhfE

俄罗斯在被占领的乌克兰境内利用超本地Telegram网络散布虚假信息

日期: 2022-05-23
标签: 俄罗斯, 乌克兰, 信息技术, 俄乌战争, 

根据乌克兰智囊团 Detector Media 最近发表的研究,俄罗斯在乌克兰的虚假信息工作如此广泛,以至于它现在包括一个超本地化的 Telegram 网络,该网络可以在乌克兰被占领的各个城镇中发出定制的虚假信息。Detector Media称,自2022年2月24日以来,至少有 88 个这样的 Telegram 频道已注册,其中大部分集中在基辅附近的城镇。Detector Media 的研究人员认为,Telegram 频道的重点是诋毁乌克兰及其领导人,包括市长和地区政府。通过渠道分享的宣传突出了俄罗斯的军事胜利并妖魔化了乌克兰军队。驻乌克兰的虚假信息研究员奥萨丘克说:“俄罗斯人一直试图为乌克兰人创造另一种关于战争的看法。”这些频道还赞扬俄罗斯提供人道主义援助,并指责乌克兰政治领导人造成人道主义危机。

详情

https://t.co/6Hawl6zMwC

 

0x09   产品侧解决方案

若想了解更多信息或有相关业务需求,可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

 

0x0a   时间线

2022-05-30 360CERT发布安全事件周报

(完)