Номер отчета: B6-2022-071101
Источник отчета: 360CERT
Автор отчета: 360CERT
Дата обновления: 2022-07-11
Эта неделя включает в себя горячие точки безопасности 50, основные темы 恶意程序, 网络攻击аспекты и вовлеченные организации: UAC-0056, Gitlab, Lazarus, и так Bitterдалее. В связи с этим 360CERT рекомендует использовать его 360安全卫士для обнаружения вирусов, использовать 360安全分析响应平台его для обнаружения опасного трафика, использовать 360城市级网络安全监测服务QUAKEего для сопоставления активов и хорошо выполнять самопроверку и предотвращение активов, чтобы избежать атак хакеров.
| вредоносная программа |
|---|
| Новая программа-вымогатель RedAlert нацелена на серверы Windows, Linux, VMware ESXi |
| Рекламная кампания ABCsoup использует 350 вариантов расширения браузера для таргетинга на российских пользователей. |
| Новая скрытая вредоносная программа OrBit похищает данные с устройств Linux |
| Северокорейские хакеры атакуют здравоохранение с помощью программы-вымогателя Maui |
| Новая программа-вымогатель RedAlert нацелена на серверы Windows, Linux и VMware ESXi |
| Обновления программы-вымогателя Hive в Rust |
| Безопасность данных |
|---|
| Утечка данных PFC USA затрагивает пациентов 650 поставщиков медицинских услуг |
| Marriott подтверждает утечку данных |
| В больнице в префектуре Гифу произошла утечка данных, пострадали 110 000 личных данных |
| Сетевые атаки |
|---|
| Фишинговая кампания обратного вызова имитирует крупную организацию по кибербезопасности |
| Хакеры атаковали государственный портал Индии с помощью «беспрецедентного» фишинга |
| UAC-0056 атакует украинскую государственную организацию с помощью кобальтового ударного маяка |
| Северокорейская группа APT использует программу-вымогатель Maui для атак на секторы здравоохранения и общественного здравоохранения. |
| Диснейленд расследует скомпрометированные аккаунты Facebook и Instagram |
| Microsoft предупреждает, что «группа 8220» будет нацелена на серверы Linux |
| Гигант ИТ-услуг SHI пострадал от «профессиональной атаки вредоносного ПО» |
| Хакерская группа APT Bitter продолжает атаковать Бангладеш |
| Нарушение безопасности |
|---|
| Автомобили Honda уязвимы для атаки Rolling-PWN |
| Бэкдор Rozena, развернутый с использованием уязвимости Follina |
| OpenSSL исправляет уязвимость удаленного выполнения кода |
| Уязвимости безопасности в Jira |
| Microsoft устраняет уязвимость ShadowCoerce Windows NTLM Relay |
| Google исправляет новую уязвимость нулевого дня в Chrome |
| Gitlab исправляет критическую уязвимость RCE в последнем бюллетене по безопасности |
| Django исправляет уязвимость внедрения SQL в новой версии |
| Анализ безопасности |
|---|
| Подозреваемый APT-C-23 (двухвостый скорпион) тканевый камуфляж Анализ атаки программного обеспечения связи Threema |
| Анализ атак Биттера на бангладешские военные организации |
| Анализ последних атакующих операций предполагаемой группы Конфуция |
| Lazarus использует вредоносное ПО VSingle для получения информации о сервере C2 с GitHub |
| другие события |
|---|
| Хакерская группа Lazarus украла 625 миллионов долларов у Axie Infinity |
| Новая функция Google Chrome увеличивает время автономной работы на пользовательских устройствах |
| Российская разведка усилит пропагандистскую кампанию в Нидерландах |
| PyPI применяет двухфакторную аутентификацию в ключевых проектах, некоторые разработчики отказываются |
| QNAP предупреждает о новой программе-вымогателе Checkmate, нацеленной на устройства NAS |
| IDE онлайн-программирования можно использовать для запуска удаленных кибератак |
| Российская информационная операция нацелена на раскол западного альянса, поддерживающего Украину |
| Более 1200 пакетов NPM участвуют в кампании крипто-майнинга «CuteBoi». |
| AsyncRAT распространяется на уязвимые серверы MySQL |
| Мошенники NFT видят возможность в пожертвованиях Украины |
| Новый режим блокировки Apple защищает от правительственного шпионского ПО |
| Группа хакеров-вымогателей переходит с Cobalt Strike на Brute Ratel |
| Мошенническая афера с британской визой циркулирует в WhatsApp |
| Власти Венгрии оштрафовали администратора государственных данных на 7500 евро |
| Атака цепочки поставок NPM затрагивает сотни веб-сайтов и приложений |
| NIST выбирает четыре лучших квантово-устойчивых инструмента шифрования |
| Инструменты Red Team злоупотребляют злоумышленниками |
| Британские парламенты и больницы уязвимы для киберхакеров |
| Хакеры-подростки используют Discord для распространения вредоносного ПО |
| Программа-вымогатель AstraLocker закрывается и выпускает расшифровщик |
| НАТО разработает средства быстрого киберреагирования |
Новая программа-вымогатель RedAlert нацелена на серверы Windows, Linux, VMware ESXi
Дата: 2022-07-10Теги
: Информационные технологии, Linux, Double Ransomware,
RedAlert (он же N13V) — это новая программа-вымогатель, которая шифрует системы Windows и Linux VMWare ESXi. Что касается программы-вымогателя RedAlert, MalwareHunterTeam обнаружила новую программу-вымогатель и опубликовала несколько скриншотов своего сайта утечки данных. Вымогатель называется RedAlert из-за строк в тексте выкупа. Однако злоумышленники назвали свою операцию внутри компании N13V в версии Linux Encryptor. Шифровальщик Linux предназначен для использования на серверах VMware ESXi и включает в себя параметры командной строки, которые позволяют злоумышленнику выключать любые работающие виртуальные машины перед блокировкой данных. Как и другие операции с программами-вымогателями, нацеленными на бизнес, RedAlert проводит двойную атаку программ-вымогателей, при которой данные получаются, а затем программы-вымогатели используются для шифрования компьютеров. Программа-вымогатель специально нацелена на данные виртуальной машины VMware ESXi, такие как файлы памяти, файлы журналов, виртуальные диски и файлы подкачки.
Подробности
http://urlqh.cn/n07FH
Рекламная кампания ABCsoup использует 350 вариантов расширения браузера для таргетинга на российских пользователей.
Дата: 2022-07-09
Теги: Россия, IT, Google Chrome, ABCsoup,
Исследователи Zimperium выявили рекламную кампанию, нацеленную на российских пользователей браузеров Google Chrome, Opera и Mozilla Firefox. Кампания использует более 350 версий вредоносного расширения для браузера, используя идентификатор расширения Google Translate, чтобы заставить жертв загружать вредоносные файлы. Эти расширения устанавливаются на компьютеры жертв через исполняемые файлы на базе Windows, минуя большинство решений для обеспечения безопасности конечных точек, а также элементы управления безопасностью в официальном магазине расширений. Вредоносные плагины для браузера имеют тот же идентификатор расширения, что и Google Translate, чтобы заставить пользователей поверить в то, что у них установлено законное расширение. Однако эти расширения недоступны в официальном интернет-магазине браузера. Хакеры доставляют их через несколько исполняемых файлов Windows, которые устанавливают надстройки в веб-браузерах жертв. Если у целевого пользователя уже установлено расширение Google Translate, исходная версия будет заменена вредоносным вариантом из-за более высокого номера версии (30.2.5 по сравнению с 2.0.10).
Подробности
https://t.co/F7hmLcvjEe
Новая скрытая вредоносная программа OrBit похищает данные с устройств Linux
Дата: 2022-07-07
Теги: Информационные технологии, OrBit, Linux,
Недавно обнаруженная вредоносная программа для Linux используется для тайной кражи информации из бэкдор-систем Linux и заражения всех запущенных процессов на машине. Вредоносная программа, впервые обнаруженная исследователями безопасности Intezer Labs, названная OrBit, взламывает общие библиотеки для перехвата вызовов функций путем изменения переменной среды LD_PRELOAD на зараженном устройстве. Несмотря на то, что OrBit может использовать два разных метода для предотвращения попыток удаления, OrBit также может быть развернут в качестве энергозависимого имплантата при репликации в заполненном хранилище. Он также может подключаться к различным функциям, чтобы избежать обнаружения, контролировать поведение процессов, поддерживать устойчивость путем заражения новых процессов и скрывать сетевую активность, которая могла бы раскрыть его существование. Вредоносная программа реализует передовые методы уклонения и сохраняется на компьютере, подключаясь к ключевым функциям, предоставляя злоумышленникам удаленный доступ через SSH, собирая учетные данные и регистрируя команды TTY. После установки вредоносное ПО заражает все запущенные процессы, запущенные на компьютере, в том числе и новые.
Подробности
http://urlqh.cn/n1hVL
Северокорейские хакеры атакуют здравоохранение с помощью программы-вымогателя Maui
Дата: 2022-07-06Теги
: США, Северная Корея, Индустрия здоровья,
6 июля 2022 года ФБР, CISA и министерство финансов заявили, что северокорейские хакеры атаковали сектор здравоохранения с помощью программ-вымогателей, и предупредили жертв, что уплата сборов может нарушить правила санкций США, которые хакеры используют. после здравоохранения и общественных организаций здравоохранения. Эта злонамеренная деятельность спонсируемых государством северокорейских кибератак, нацеленная на секторы здравоохранения и общественного здравоохранения, представляет значительный риск для организаций любого размера. Вариант программы-вымогателя Maui (Мауи) не привлекал внимания общественности до среды. В тот же день, когда ФБР предупредило, фирма по кибербезопасности Stairwell опубликовала свой анализ программ-вымогателей, заявив, что они значительно отличаются от традиционных предложений программ-вымогателей как услуги, когда программы-вымогатели создают. Они позволяют другим использовать свои продукты в обмен на долю прибыли. Stairwell заявила, что впервые заметила Мауи 3 апреля.
Подробности
http://urlqh.cn/n1AJu
Новая программа-вымогатель RedAlert нацелена на серверы Windows, Linux и VMware ESXi
Дата: 2022-07-05Теги
: Соединенные Штаты, Информационные технологии, Microsoft (Майкрософт), Linux, Программа-вымогатель,
5 июля 2022 года команда MalwareHunterTeam обнаружила, что новый тип программы-вымогателя под названием RedAlert или N13V шифрует серверы Windows и Linux VMWare ESXi для атак на корпоративные сети. Шифровальщик программы-вымогателя для Linux был создан для серверов VMware ESXi с параметрами командной строки, которые позволяют злоумышленникам отключать любые работающие виртуальные машины перед шифрованием файлов. При шифровании файлов программа-вымогатель использует алгоритм шифрования с открытым ключом NTRUEncrypt, который поддерживает различные «наборы параметров», обеспечивающие разные уровни безопасности. И при шифровании файлов программа-вымогатель нацелена только на файлы, связанные с виртуальными машинами VMware ESXi, включая файлы журналов, файлы подкачки, виртуальные диски и файлы памяти.
Подробности
http://urlqh.cn/n1mou
Обновления программы-вымогателя Hive в Rust
Дата: 2022-07-05
Теги: IT, Rust, Golang,
Центр Microsoft Threat Intelligence Center (MSTIC) обнаружил новые варианты при анализе обнаруженных методов вымогателей Hive для удаления файлов .key. Обновление в последнем варианте фактически представляет собой капитальный ремонт: наиболее заметные изменения включают перенос всего кода на другой язык программирования и использование более сложных методов шифрования. Влияние этих обновлений имеет далеко идущие последствия, учитывая, что Hive представляет собой полезную нагрузку RaaS, которую Microsoft наблюдала в атаках на организации здравоохранения и индустрии программного обеспечения со стороны крупных филиалов программ-вымогателей, таких как DEV-0237. Основное различие между новым вариантом Hive и старым вариантом Hive заключается в используемом языке программирования. Старый вариант написан на Go (также известном как GoLang), а новый вариант Hive написан на Rust. Hive — не первая программа-вымогатель, написанная на Rust. Первой была другая популярная программа-вымогатель BlackCat. Переключив базовый код на Rust, Hive получает следующие преимущества Rust по сравнению с другими языками программирования:
• Обеспечивает безопасность памяти, типа данных и потокобезопасности.
• Имеет глубокий контроль над низкоуровневыми ресурсами
• Имеет удобный синтаксис
• Он имеет несколько механизмов параллелизма и параллелизма для быстрого и безопасного шифрования файлов.
• Имеет различные криптографические библиотеки
• Относительно сложнее реконструировать
Подробности
http://urlqh.cn/mZwRL
Связанные рекомендации по безопасности
1. Разверните устройства безопасности на границе сети, такие как брандмауэры, IDS, почтовые шлюзы и т. д.
2. Хорошо поработайте над сбором и сортировкой активов, закройте ненужные и опасные внешние сетевые порты и службы и своевременно обнаруживайте проблемы внешней сети.
3. Своевременно обновлять систему и различные сервисные компоненты с помощью обновлений версий и обновлений патчей.
4. Персональные приложения, включая браузеры, почтовые клиенты, vpn, удаленные рабочие столы и т. д., должны своевременно обновляться до последней версии.
5. Установите продукты EDR на каждый хост, чтобы вовремя обнаруживать угрозы
6. Сосредоточьтесь на внутреннем обучении сотрудников безопасности
7. Не верьте онлайн-новостям, не просматривайте плохие веб-сайты, не открывайте по желанию вложения электронной почты и не запускайте исполняемые программы по своему усмотрению.
8. После того, как вас завербовали вымогательством, вы должны вовремя отключить сеть и как можно скорее обратиться в отдел безопасности или компанию для оказания неотложной помощи.
Утечка данных PFC USA затрагивает пациентов 650 поставщиков медицинских услуг
Дата: 2022-07-05Теги
: индустрия здравоохранения, финансовая индустрия, оптовая и розничная торговля, информационные технологии, PFC USA, нарушение данных,
4 июля компания по управлению сборами Professional Finance Corporation (PFC USA) начала рассылать письма с уведомлением об утечке данных пациентам более чем 650 поставщиков медицинских услуг по всей стране.
Компания из Северного Колорадо занимается взысканием долгов более века, работая с организациями в сфере здравоохранения, финансов, розничной торговли и государственного сектора. 1 июля PFC USA объявила, что начала уведомлять пострадавших лиц о том, что их личная информация и информация о состоянии здоровья могли быть скомпрометированы в результате атаки программы-вымогателя в феврале 2022 года. Поскольку злоумышленники смогли получить доступ к некоторым компьютерам компании и отключить их, личная информация, хранящаяся в этих системах, могла быть скомпрометирована, о чем 5 мая PFC уведомил потенциально пострадавших поставщиков медицинских услуг. Информация, к которой мог получить доступ злоумышленник, включает имена, адреса, даты рождения, остатки дебиторской задолженности и информацию о платежах, номера социального страхования, а также информацию о медицинском страховании и медицинской информации. PFC не сообщил, сколько людей могло быть затронуто утечкой данных, но поделился списком пострадавших поставщиков медицинских услуг, который содержал в общей сложности 657 записей.
Подробности
http://urlqh.cn/mX6jD
Marriott подтверждает утечку данных
Дата: 2022-07-05Теги
: США, Услуги для жителей, Жилье и питание, Marriott International, Социальная инженерия,
5 июля 2022 года Marriott International, одна из крупнейших в мире гостиничных сетей, подтвердила, что неизвестные хакеры проникли в ее компьютерную сеть, а затем попытались шантажировать компанию. Хакеры украли около 20 ГБ данных у сотрудника отеля Baltimore BWI Airport Marriott, включая информацию о кредитных картах и конфиденциальную информацию от гостей и сотрудников сотрудников BWI. Представитель Marriott сказал, что компании «знали о хакерах, которые использовали социальную инженерию, чтобы обмануть сотрудника отеля Marriott и попытаться получить доступ к его компьютеру. Marriott обнаружила и расследовала инцидент до того, как хакеры попытались вымогать деньги. В настоящее время Marriott не заплатила .
Подробности
http://urlqh.cn/n1tLB
В больнице в префектуре Гифу произошла утечка данных, пострадали 110 000 личных данных
Дата: 2022-07-04
Теги: Япония, Индустрия здоровья, Нарушение данных,
Больница Коки Хой Аньцзян (город Цифу, округ Цифу) объявила 4 июля, что к компьютерам в больнице был получен несанкционированный доступ, а личная информация пациентов и новых реципиентов вакцины против короны, возможно, просочилась до 111 991 штуки. Укажите имя, дату рождения, адрес, номер телефона, медицинскую информацию (история болезни, история лечения и т. д.) и историю вакцинации. Несанкционированный доступ был обнаружен с 27 мая. Был утерян доступ к информационным базам данных пациентов, а некоторые больничные системы, такие как электронные медицинские карты, перестали функционировать. В тот же день госпиталь принял медицинскую систему, ограничившую некоторые операции и нормализовавшую работу.
Подробности
https://t.co/vb3tCX7v1P
Связанные рекомендации по безопасности
1. Своевременное резервное копирование данных и обеспечение безопасности данных
2. Разумно установить права доступа к различным файлам на стороне сервера
3. Строго контролировать права доступа к данным
4. Своевременно проверяйте и удаляйте утечку конфиденциальных данных.
5. В случае утечки данных примите соответствующие меры безопасности, такие как своевременная смена пароля.
6. Настоятельно рекомендуется размещать такие службы, как базы данных, в местах, недоступных для внешней сети.Если они должны быть размещены в общедоступной сети, должны быть реализованы строгие меры контроля доступа.
Фишинговая кампания обратного вызова имитирует крупную организацию по кибербезопасности
Дата: 2022-07-10Теги
: США, Информационные технологии, CrowdStrike, Cobalt Strike, Фишинг, Социальная инженерия,
В начале июля 2022 года CrowdStrike Intelligence обнаружила фишинговую кампанию с обратным вызовом, в которой использовались аналогичные методы социальной инженерии, имитирующие крупные фирмы по кибербезопасности, включая CrowdStrike. В фишинговых электронных письмах говорится, что компания получателя (электронная почта) была скомпрометирована, и жертва должна связаться с указанным номером телефона. Кампания может включать в себя универсальный инструмент удаленного администрирования (RAT) для доступа на начальном этапе, готовые инструменты тестирования на проникновение для бокового перемещения и запуска программ-вымогателей или вымогательства данных. В прошлом операторы кампаний обратного вызова пытались убедить жертв установить коммерческое программное обеспечение RAT, чтобы быстро закрепиться в сети. Теперь операторы обратного вызова фишинговых кампаний, скорее всего, будут использовать программы-вымогатели для монетизации своих операций.
Подробности
https://t.co/Il94CXFh5f
Хакеры атаковали государственный портал Индии с помощью «беспрецедентного» фишинга
Дата: 2022-07-07Теги
: Индия, Информационные технологии, Государственный сектор, Браузерная (BitB) атака, ShadowPad,
7 июля 2022 года эксперты по кибербезопасности объявили об обнаружении «беспрецедентного и изощренного» метода фишинга, которым шантажируют людей с официальных сайтов по всему миру, в том числе с портала правительства Индии https://india.gov.in. По данным стартапа CloudSEK, занимающегося кибербезопасностью на базе искусственного интеллекта, злоумышленники используют поддельные URL-адреса, чтобы обманом заставить пользователей вводить конфиденциальную информацию, такую как номера кредитных карт, месяцы истечения срока действия и коды CVV, для атаки на веб-страницы правительства Индии. В одном из самых передовых методов фишинга, известном как атака на браузер (BitB), хакеры имитируют окно браузера веб-сайта правительства Индии с уникальным логином, чаще всего страницей SSO (единого входа). Атаки BitB выдают себя за авторитетные веб-сайты для кражи пользовательских паролей и других конфиденциальных данных, таких как личная информация (PII). Новые URL-адреса, появившиеся в результате атаки BitB, кажутся законными.
Подробности
http://urlqh.cn/n3wHt
UAC-0056 атакует украинскую государственную организацию с помощью кобальтового ударного маяка
Дата: 2022-07-07
Теги: Украина, Госдеп, EMBER Bear (UAC-0056, Lorec53, Lorec Bear, Bleeding Bear, Saint Bear), Русско-украинская война,
5 июля 2022 года украинский CERT-UA обнаружил, что распространял электронные письма с темой «Специальная прокуратура в военной и оборонной областях». XLS-файл, содержащий «информацию о вакансиях и их укомплектовании». Документ содержит макрос, который при активации создает на компьютере файл «write.exe». Кроме того, файл EXE также поддерживает самозапуск, создавая запись «Проверить лицензию» в пути «RUN» реестра Windows. Результирующий сценарий PowerShell, помимо обхода AMSI и отключения ведения журнала событий PowerShell, декодирует и распаковывает данные в следующий сценарий PowerShell. CERT-UA связывает эту активность с UAC-0056 с умеренной уверенностью.
Подробности
http://urlqh.cn/n3Pr2
Северокорейская группа APT использует программу-вымогатель Maui для атак на секторы здравоохранения и общественного здравоохранения.
Дата: 2022-07-07
Теги: Северная Корея, Индустрия здоровья, Мауи, Общественное мнение APT,
С мая 2021 года ФБР обнаружило несколько инцидентов с программами-вымогателями на Мауи, нацеленными на устройства HPH, и отреагировало на них. Спонсируемые государством северокорейские кибератаки использовали программу-вымогатель Maui в этих инцидентах для шифрования серверов, отвечающих за медицинские услуги, включая службы электронных медицинских карт, службы диагностики, службы визуализации и службы интрасети. В некоторых случаях эти события на долгое время прервали работу отделений HPH. Начальная среда доступа для этих событий неизвестна.
Подробности
http://urlqh.cn/n3bJB
Диснейленд расследует скомпрометированные аккаунты Facebook и Instagram
Дата: 2022-07-07Теги
: Культурная коммуникация, Диснейленд, Facebook, Instagram,
7 июля 2022 года официальные лица Диснейленда расследуют инцидент, в ходе которого учетные записи тематического парка в Facebook и Instagram были взломаны и использованы для отправки нескольких нежелательных сообщений. Утром 7 июля хакер, называющий себя «Дэвид До», опубликовал несколько фотографий людей с большим количеством информации. Злоумышленники выдавали себя за «суперхакеров» и неоднократно использовали в сообщениях слова на буквах «н» и «ф». Посты были удалены в течение нескольких часов после кратковременного удаления аккаунта с 8,4 миллионами подписчиков. Представитель Disney заявил, что в настоящее время служба безопасности расследует инцидент.
Подробности
http://urlqh.cn/mWWRM
Microsoft предупреждает, что «группа 8220» будет нацелена на серверы Linux
Дата: 2022-07-07
Теги: информационные технологии, общественное мнение,
Эксперты Microsoft по вопросам безопасности выпустили новое предупреждение известной группе 8220, занимающейся облачными угрозами. Эти обновления включают развертывание новых версий криптомайнеров и IRC-ботов, а также использование недавно обнаруженных уязвимостей. По данным Cisco Talos Intelligence Group, банда 8220 работает как минимум с 2017 года, в основном занимаясь майнингом криптовалют. Злоумышленники говорят по-китайски, а название группы происходит от номера порта 8220, который майнеры используют для связи с сервером C2. По словам исследователей Microsoft, в недавней кампании группа хакеров нацелилась на системы i686 и x86_64 Linux и использовала уязвимости RCE для получения начального доступа к CVE-2022-26134 (Atlassian Confluence) и CVE-2019-2725 (Oracle WebLogic).
Подробности
http://urlqh.cn/mZbjI
Гигант ИТ-услуг SHI пострадал от «профессиональной атаки вредоносного ПО»
Дата: 2022-07-05
Теги: нью-джерси, информационные технологии, ОМС, кибератака,
SHI International, поставщик продуктов и услуг в области информационных технологий (ИТ) из Нью-Джерси, подтвердил, что в выходные его сеть подверглась атаке вредоносного ПО. SHI утверждает, что является одним из крупнейших поставщиков ИТ-решений в Северной Америке с выручкой в 2021 году в размере 12,3 млрд долларов и 5000 сотрудников по всему миру, работающих в операционных центрах в США, Великобритании и Нидерландах. Он также сообщил, что 4 июля его атаковали профессиональные вредоносные программы. После атаки SHI добавила на свой веб-сайт сообщение, предупреждающее клиентов и посетителей о том, что ее информационные системы проходят техническое обслуживание из-за «постоянных сбоев».
Позже это сообщение было заменено заявлением об атаке вредоносного ПО, опубликованным в блоге компании. С утра 5 июля после атаки сотрудники SHI отключили все почтовые серверы. Его ИТ-специалисты также работают над восстановлением доступа к другим пострадавшим системам в сети.
Подробности
http://urlqh.cn/n1QM7
Хакерская группа APT Bitter продолжает атаковать Бангладеш
Дата: 2022-07-05
Теги: Бангладеш, Правительственный департамент, Горький, Общественное мнение APT,
5 июля 2022 года группа экспертов по кибербезопасности SecuInfra выпустила бюллетень, описывающий недавнюю активность APT в Южной Азии, при этом «Bitter» Advanced Persistent Threat (APT) продолжает кибератаки на военные объекты в Бангладеш. Выводы SecuInfra основаны на отчете, опубликованном Talos в мае прошлого года, в котором раскрывается расширение группы и намерения расправиться с правительственными организациями Бангладеш, а также освещается возможная атака в середине мая 2022 года. В частности, атака, вероятно, была совершена с использованием документа Excel, который, вероятно, распространялся через фишинговые электронные письма. Электронное письмо будет использовать уязвимость Microsoft Equation Editor (CVE-2018-0798), чтобы сбросить полезную нагрузку ZxxZ с удаленного сервера. Согласно SecuInfra, APT делает это, чтобы избежать обнаружения системами IDS/IPS, основанными на этом конкретном сплиттере. Исследователи безопасности говорят, что для предотвращения таких атак компании и правительства должны регулярно применять меры обнаружения и реагирования на сети и конечные точки, а также исправлять часто эксплуатируемое программное обеспечение, такое как Microsoft Office.
Подробности
http://urlqh.cn/mZ2SE
Связанные рекомендации по безопасности
1. Активно проводите тестирование на проникновение во внешнюю сеть, чтобы заранее обнаружить системные проблемы.
2. Сократите внешние сетевые ресурсы и ненужные службы, чтобы снизить риск атаки.
3. Хорошо поработайте над автоматическими сигнализациями продукта.
4. Своевременно обновлять систему и различные сервисные компоненты с помощью обновлений версий и обновлений патчей.
5. Персональные приложения, включая браузеры, почтовые клиенты, vpn, удаленные рабочие столы и т. д., должны своевременно обновляться до последней версии.
6. Сосредоточьтесь на внутреннем обучении сотрудников безопасности
Автомобили Honda уязвимы для атаки Rolling-PWN
Дата: 2022-07-10Теги
: Япония, производство, Honda, безопасность автомобильных сетей,
Современные автомобили часто оснащаются системами удаленного доступа без ключа. Эти системы RKE позволяют дистанционно отпирать или запускать автомобиль. Исследователи обнаружили уязвимость к атаке Rolling-PWN, затрагивающую все автомобили Honda, представленные на рынке с 2012 по 2022 год. Уязвимость связана с уязвимой версией механизма скользящего кода, который был реализован в большом количестве автомобилей Honda. Злоумышленник может использовать уязвимость, чтобы навсегда открыть дверь автомобиля Honda и даже запустить двигатель автомобиля на расстоянии. Предлагаемая стратегия смягчения последствий заключается в обновлении уязвимой прошивки BCM с помощью обновления по беспроводной сети (OTA), когда это возможно.
Подробности
http://urlqh.cn/n3TSw
Бэкдор Rozena, развернутый с использованием уязвимости Follina
Дата: 2022-07-10
Метки: Информационные технологии, Розена, Фишинг, Фоллина,
Недавно обнаруженная фишинговая кампания использует уязвимость безопасности Follina (CVE-2022-30190) для развертывания частного бэкдора под названием Rozena в системах Windows. Rozena — это вредоносное ПО с бэкдором, способное внедрять удаленные соединения оболочки на компьютер злоумышленника. Последняя цепочка атак представляет собой вооруженный документ Office, который при открытии ссылается на URL-адрес Discord CDN для получения файла HTML («index.htm»), который, в свою очередь, запускает диагностическую утилиту с использованием команд PowerShell из того же пространства вложений CDN. полезная нагрузка следующего этапа. Сюда входят имплантаты Rozena («Word.exe») и пакетные файлы («cd.bat»), предназначенные для уничтожения процессов MSDT, установления устойчивости бэкдоров через модификации реестра Windows и загрузки безвредных документов Word в качестве приманки. Основная функция бэкдора Rozena — внедрение шелл-кода, который запускает обратную оболочку («microsofto.duckdns[.]org») на устройство хакера, таким образом злоумышленник может обеспечить полный контроль над системой.
Подробности
http://urlqh.cn/n0ocj
OpenSSL исправляет уязвимость удаленного выполнения кода
Дата: 2022-07-07
Теги: Информационные технологии, OpenSSL, Исправление уязвимостей,
OpenSSL выпустил экстренное предупреждение об уязвимости повреждения памяти, которая может подвергнуть серверы атакам с удаленным выполнением кода. Уязвимость, отслеживаемая как CVE-2022-2274, появилась в OpenSSL 3.0.4 и может позволить злоумышленникам запускать удаленные атаки кода на неисправленные серверные устройства SSL/TLS. Команда открытого исходного кода оценила это как проблему «высокой серьезности» и призвала пользователей перейти на OpenSSL 3.0.5.
Подробности
http://urlqh.cn/n40Jm
Уязвимости безопасности в Jira
Дата: 2022-07-06
Теги: информационные технологии, эксплойт,
Jira, популярное программное обеспечение Atlassian для отслеживания проблем и управления проектами, уязвимо для подделки запросов на стороне сервера (SSRF), которой исследователи могли злоупотреблять без получения учетных данных (CVE-2022-26135). Это позволяет злоумышленникам делать запросы к произвольным URL-адресам, используя любой метод HTTP, заголовки и тело. Эта проблема затрагивает конечную точку пакетного HTTP, используемую в мобильном подключаемом модуле для Jira, который связан с Jira и управлением службами Jira. Расположение метода HTTP и ожидаемого URL-адреса можно контролировать с помощью параметров метода в теле уязвимой конечной точки, и влияние этой ошибки будет зависеть от среды, в которой развернут экземпляр Jira.
Подробности
https://t.co/KQTTEnIVOf
Microsoft устраняет уязвимость ShadowCoerce Windows NTLM Relay
Дата: 2022-07-05
Теги: информационные технологии, исправление ошибок,
Microsoft подтвердила, что она исправила ранее раскрытую уязвимость «ShadowCoerce» в рамках обновления за июнь 2022 года, которая позволяла злоумышленникам нацеливаться на серверы Windows в ретрансляционной атаке NTLM. Злоумышленник может использовать этот метод атаки ретрансляции NTLM, чтобы заставить неисправленный сервер пройти аутентификацию на сервере, находящемся под контролем злоумышленника, что приведет к захвату домена Windows. Хотя никаких публичных заявлений по этой проблеме сделано не было, «MS-FSRVP применил оскорбительный PoC (также известный как «ShadowCoerce»), смягченный CVE-2022-30154, который затрагивает тот же компонент. Хотя Microsoft устранила уязвимость, они Нет подробностей были предоставлены публично, и идентификатор CVE не был назначен.
Подробности
http://urlqh.cn/mZVQx
Google исправляет новую уязвимость нулевого дня в Chrome
Дата: 2022-07-04
Теги: США, Информационные технологии, Google, CVE-2022-2294, Chrome 0-day,
4 июля 2022 года Google выпустила Chrome 103.0.5060.114 для пользователей Windows, чтобы устранить опасную уязвимость нулевого дня, используемую злоумышленниками. Эта уязвимость нулевого дня (отслеживается как CVE-2022-2294) представляет собой серьезную уязвимость переполнения буфера кучи в компоненте WebRTC (веб-коммуникации в реальном времени). Если хакер добивается выполнения кода во время атаки, последствия успешного использования переполнения кучи могут варьироваться от сбоев программы и выполнения произвольного кода до обхода решений безопасности. Хотя Google заявил, что эксплойт нулевого дня использовался в дикой природе, компания не поделилась техническими подробностями или какой-либо информацией об инцидентах.
Подробности
https://t.co/ueS3cW88kn
Gitlab исправляет критическую уязвимость RCE в последнем бюллетене по безопасности
Дата: 2022-07-04
Теги: Информационные технологии, Gitlab, Исправление уязвимостей,
Исследователи безопасности в Gitlab выпустили патч для критической уязвимости, которая позволяет хакерам удаленно выполнять код. Уязвимость безопасности, отслеживаемая как CVE-2022-2185, затрагивает все версии, начиная с 14.10.5 до 14.0, 15.0 до 15.0.4 и 15.1 до 15.1.1. Авторизованные пользователи могут импортировать созданные со злым умыслом элементы для запуска удаленного внедрения кода. GitLab — это веб-платформа жизненного цикла DevOps, которая предлагает лицензию с открытым исходным кодом от GitLab Inc. для предоставления вики, отслеживания проблем и возможностей непрерывной конвейерной интеграции и развертывания. Программу сделали украинские программисты Дмитрий Запорожец и Валерий Сизов. В последнем выпуске также были выпущены исправления для ряда других уязвимостей, включая две отдельные ошибки межсайтового скриптинга (XSS). Уязвимости затрагивают GitLab Community Edition и Enterprise Edition. Исследователи безопасности рекомендуют пользователям обновиться до последней версии.
Подробности
https://t.co/5K8gWbrohX
Django исправляет уязвимость внедрения SQL в новой версии
日期: 2022-07-04
标签: 信息技术, Django, Python,
Django项目是一个基于Python的开源Web框架,在其最新版本中修补了一个高严重性漏洞。跟踪为CVE-2022-34265,潜在的SQL注入漏洞存在于Django的主分支以及版本4.1(目前处于测试阶段),4.0和3.2中。7月4日发布的新版本和补丁消除了这个漏洞。数以万计的网站,包括美国的一些流行品牌,选择Django作为他们的模型 - 模板 - 视图框架。这就是为什么需要升级或修补Django实例来防止这样的错误是至关重要的。目前Django团队已经发布了Django 4.0.6和Django 3.2.14版本,以解决高严重性的SQL注入漏洞,并敦促开发人员尽快升级或修补他们的Django实例。
详情
https://t.co/QkfnH9WBrA
相关安全建议
1. 及时对系统及各个服务组件进行版本升级和补丁更新
2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
疑似APT-C-23(双尾蝎)组织伪装Threema通讯软件攻击分析
日期: 2022-07-07
标签: 信息技术, APT-C-23(Arid Viper/Desert Falcon), APT舆情,
以前的双尾蝎样本大多采用VC版本、Delphi版本,很少见到使用公开商业RAT组件进行攻击,此次发现的样本可能是该组织进攻方式的演变,也可能是双尾蝎组织内部出现了新的分支成员所采用的攻击手法。360高级威胁研究院最早通过一个名为“تسريب-اجتماع-القائد-محمد-دحلان-و-المخابرات-المصريه.pdf(Mohammed Dahlan 指挥官和埃及情报会议 (MoM) 泄漏.pdf)”的文档关联到了双尾蝎与之前攻击不太相同的活动,此次攻击行动直接把商业RAT伪装成Threema诱使用户点击打开,Threema是瑞士开发的一款付费的开源端到端加密即时通讯应用程序。
详情
https://mp.weixin.qq.com/s/1uJaPS-nuGNI8lQ1-ZekIA
Bitter针对孟加拉国军事组织的攻击活动分析
日期: 2022-07-05
标签: 孟加拉国, 政府部门, Almond RAT,
SECUINFRA发现了Bitter组织针对孟加拉国军事组织的攻击活动。该组织使用恶意文档作为诱饵,使用公式编辑器漏洞下载第二阶段恶意软件。第二阶段由加载程序组成,加载程序收集有关受感染系统的信息,并从远程服务器检索第三阶段。攻击的第三阶段可能具有不同类型的恶意软件,例如键盘记录器、窃取器或远程访问木马(RAT)。SECUINFRA发现了一种较新的RAT,命名为Almond RAT。
详情
https://www.secuinfra.com/en/techtalk/whatever-floats-your-boat-bitter-apt-continues-to-target-bangladesh/
疑似Confucius组织最新攻击行动分析
日期: 2022-07-05
标签: 信息技术, CONFUCIUS, SideWinder(RattleSnake/Razor Tiger/T-APT-04/APT-C-17/Hardcore Nationalist), Patchwork, APT舆情,
在日常威胁猎捕过程中,深信服深瞻情报实验室监测到疑似Confucius组织的新一轮攻击活动,本次事件中使用到的相关攻击工具与基础设施与2021年国外安全厂商披露的相关攻击活动存在关联,通过对相关基础设施分析,该事件疑似与南亚其他组织如SideWinder、Patchwork也存在一定关联。
详情
http://urlqh.cn/n0SFr
Lazarus利用VSingle恶意软件从GitHub获取C2服务器信息
日期: 2022-07-05
标签: GitHub, Lazarus, VSingle, Linux, APT舆情,
最近,Lazarus组织使用的恶意软件VSingle功能更新,支持从GitHub获取C2服务器信息。VSingle具有针对Windows和Linux的版本,本篇报告将对具有大量更新的Linux版本进行分析。
详情
https://blogs.jpcert.or.jp/ja/2022/07/vsingle.html
黑客组织Lazarus窃取Axie Infinity 6.25亿美元
日期: 2022-07-10
标签: 美国, 信息技术, 文化传播, 金融业, LinkedIn, Ronin Network (RON), Lazarus, 社会工程, 网络钓鱼, 加密货币, 区块链安全,
2022年早些时候,流行的加密游戏 Axie Infinity 和 Axie DAO 背后的区块链网络 Ronin Network (RON) 经历了有史以来针对去中心化金融网络的最大加密攻击。美国政府声称,这次袭击是由朝鲜黑客组织 Lazarus 实施的。黑客组织Lazarus通过向Sky Mavis的一名员工提供携带恶意软件的PDF文件,进入该公司的网络。为了访问公司的网络,攻击者需要抓住9个验证者中的5个。带有间谍软件的 PDF 允许攻击者控制四个验证器并进入社区运行的 Axie DAO(去中心化自治组织),从中他们获得了第五个验证器的控制权。攻破网络后,攻击者从 Axie Infinity 的金库中拿走了 2500 万美元的 USDC 稳定币和 173,600 以太币(约合 5.97 亿美元),总计 6.25 亿美元的加密货币。
详情
http://urlqh.cn/n41kw
谷歌Chrome新功能可延长用户设备的电池寿命
日期: 2022-07-10
标签: 美国, 信息技术, 谷歌(Google), 技术创新,
据Chromebooks报道,谷歌目前正在测试一项新功能,名为“快速密集计时器节流”,该功能将5分钟的宽限期减少到10秒,允许更多的暂停标签,快速降低CPU利用率,将 CPU 时间减少 10%,从而延长笔记本电脑和移动设备的电池寿命。新功能正在 Chrome Canary 和 Dev 版本中进行测试。
详情
http://urlqh.cn/n2jj7
俄罗斯情报部门将加强在荷兰的宣传活动
日期: 2022-07-09
标签: 乌克兰, 俄罗斯, 政府部门, 俄乌战争,
俄罗斯继续在荷兰开展宣传运动和心理活动,以增强对该国政治制度的影响。由民主派亲俄政党论坛协助的“了解乌克兰冲突”研讨会定于7月10日在阿姆斯特丹1078GZ欧洲广场24号举行。莫斯科为该活动的组织者设定了一个目标,即把战争归咎于西方和美国,并阻止荷兰向乌克兰提供军事援助。预计组织者还将试图质疑俄罗斯在乌克兰的战争罪行的事实,并为普京的政策辩护。
详情
http://urlqh.cn/mXLCu
PyPI 对关键项目强制执行 2FA,部分开发人员拒绝
日期: 2022-07-10
标签: 美国, 信息技术, PyPI, 供应链安全, Python, 双重身份验证(2FA),
2022年7月8日,第三方开源 Python 项目的官方存储库 Python 包索引 (PyPI) 宣布计划对“关键”项目的维护者强制要求双重身份验证(2FA)。在过去六个月中占下载量前 1% 的任何 PyPI 项目以及 PyPI 的依赖项都被指定为关键项目。尽管许多社区成员对此举表示赞赏,但一些开发人员却拒绝执行该举措,例如“atomicwrites”PyPI 项目的开发人员 Markus Unterwaditzer。Unterwaditzer决定从PyPI中删除他的代码,并重新发布,以使分配给他的项目的“关键”状态无效。而Unterwaditzer 的atomicwrites 在给定月份的下载量超过 600 万次。针对开源软件组件反复的恶意软件事件和攻击迫使PyPI加强其平台的安全性。但除了开发项目之外,保护项目的额外负担与开源软件开发人员的期望是否相符还有待观察。
详情
http://urlqh.cn/mYL7J
QNAP 警告新的 Checkmate 勒索软件以 NAS 装置为目标
日期: 2022-07-07
标签: 中国台湾, 信息技术, QNAP,
网络储存存储 (NAS) 供应商 QNAP 警告客户,要使用 Checkmate 勒索软件加密数据,保护他们的装置免受攻击。QNAP 表示,这些攻击主要集中在启用了 SMB 服务的暴露在互联网的 QNAP 设备上,以及密码较弱的帐户,这些帐户很容易在暴力攻击中被破解。NAS制造商在7月7日发布的安全公告中表示。“一种名为Checkmate的新勒索软件最近引起了我们的注意。”Checkmate是最近发现的勒索软件株,首次部署在5月28日左右的攻击中,它将.checkmate扩展名附加到加密文件并丢弃名为!CHECKMATE_DECRYPTION_README。该公司警告客户不要将其NAS设备暴露在互联网上访问,并使用VPN软件来减少攻击面,并阻止威胁行为者尝试使用受感染的帐户登录。此外,QNAP 用户应立即检讨所有 NAS 帐户,确保他们使用严密密码、备份档案及定期拍摄快照以恢复数据。
详情
http://urlqh.cn/n2irr
在线编程 IDE 可用于发起远程网络攻击
日期: 2022-07-07
标签: 信息技术, DataCamp,
安全研究人员警告说,黑客可以滥用在线编程学习平台来远程发起网络攻击,窃取数据并扫描易受攻击的设备,只需使用Web浏览器即可。有一个这样的平台,称为DataCamp,允许威胁行为者编译恶意工具,托管或分发恶意软件,并连接到外部服务。DataCamp为近1000万用户提供集成开发环境(IDE),这些用户希望使用各种编程语言和技术(R,Python,Shell,Excel,Git,SQL)学习数据科学。作为平台的一部分,DataCamp用户可以访问自己的个人工作区,其中包括一个IDE,用于练习和执行自定义代码,上传文件以及连接到数据库。IDE 还允许用户导入 Python 库、下载和编译存储库,然后执行已编译的程序。换句话说,勤劳的威胁行为者需要直接从DataCamp平台内发起远程攻击的任何东西。
详情
http://urlqh.cn/n24Yq
俄罗斯信息行动的重点是分裂支持乌克兰的西方联盟
日期: 2022-07-07
标签: 俄罗斯, 乌克兰, 文化传播, 俄乌战争,
2022年7月7日,网络安全公司Recorded Future发布的一份报告,俄罗斯情报部门一直在利用国家控制的媒体和其他虚假信息渠道来传播旨在分裂支持乌克兰的西方联盟的宣传。许多开源宣传《记录的未来》发现,与该公司所称的俄罗斯联邦安全局(FSB)第五局的“未经验证的分析说明”密切相关,据报道,乌克兰安全局于6月5日截获并发布了该说明。报告称,据称FSB撰写的分析说明针对“欧洲共同体”,并传达了有关支持乌克兰和大量乌克兰难民将导致欧盟内部“生活水平恶化”的信息。根据Recorded Future的说法,分析说明解释说,它所谓的“大规模”信息行动旨在“激起内部公众对西方国家政府和政治精英的压力”。
详情
https://t.co/iC8ozYUR5N
超过1200个NPM软件包参与“CuteBoi”加密挖矿活动
日期: 2022-07-07
标签: 金融业, CuteBoi,
研究人员披露了一项针对NPM JavaScript软件包存储库的新的大规模加密货币挖掘活动。该恶意活动归因于名为CuteBoi的软件供应链威胁行为者,涉及来自1,000多个不同用户帐户的1,283个流氓模块的数组。据说所有有问题的已发布软件包都包含来自一个名为eazyminer的现有软件包的几乎相同的源代码,该软件包用于通过利用Web服务器上未使用的资源来挖掘门罗币。这些软件包是通过自动化技术发布的,该技术允许威胁参与者击败双因素身份验证(2FA)保护。
详情
http://urlqh.cn/mZ8Zh
AsyncRAT被分发到易受攻击的MySQL服务器
日期: 2022-07-07
标签: AsyncRAT, MySQL数据库,
ShadowServer基金会最近发布了一份报告,显示大约有360万台MySQL服务器暴露在外部。与MS-SQL服务器一起,MySQL服务器是主要的数据库服务器之一,它提供了在企业或用户环境中管理大量数据的功能。MS-SQL主要用于Windows环境,但MySQL仍然被Linux环境中的许多人使用。ASEC分析团队不断监控分发到易受攻击的数据库服务器的恶意软件。在Windows环境中,大多数攻击都是针对MS-SQL服务器进行的,这可以在AhnLab的ASD日志中得到证实。在之前的ASEC博客中引入了各种攻击案例,例如Cobalt Strike,Remcos RAT和CoinMiner.cjdmacjdmwk。尽管已确认的攻击数量相对较低,但针对MySQL服务器的攻击不断被发现。还有Gh0stCringe攻击MS-SQL服务器以及MySQL服务器的情况。
详情
http://urlqh.cn/n1hNv
NFT骗子在乌克兰捐款中看到机会
日期: 2022-07-05
标签: 乌克兰, 俄罗斯, 政府部门, 俄乌战争, NFT,
乌克兰政府和名人一直在推广不可替代的代币(NFT)和加密货币,以便在与俄罗斯的持续战争期间为该国的军队筹集资金。尽管这种策略已被证明是有效的 - 在战争的前五周,乌克兰收到了超过1.35亿美元的加密货币捐款 - 但有一个缺点。据研究人员称,与许多加密货币行业一样,乌克兰的捐赠活动充斥着欺诈和诈骗。2022年7月5日,乌克兰开源情报公司Molfar发布了一项调查,详细说明了一家名为ZelenskiyNFT的公司如何出售乌克兰主题的NFT,据称是为了帮助军队和难民,但似乎已经把钱收入囊中了。
详情
http://urlqh.cn/n1bbT
Apple 的新锁定模式可抵御政府间谍软件
日期: 2022-07-06
标签: WhatsApp, NSO Group, Pegasus(飞马间谍软件), Apple,
2022年7月6日,据bleepingcomputer报道,苹果宣布,一项名为“锁定模式”的新安全功能将在iOS 16,iPadOS 16和macOS Ventura上推出,以保护人权捍卫者,记者和持不同政见者等高风险个人免受有针对性的间谍软件攻击。启用后,锁定模式将为Apple客户提供消息传递,Web浏览和连接保护,旨在阻止雇佣军间谍软件(如NSO Group的Pegasus),政府支持的黑客在感染恶意软件后监控其Apple设备。攻击者试图使用针对WhatsApp和Facetime等消息传递应用程序或Web浏览器的零点击攻击来破坏Apple设备,这将自动被阻止,因为链接预览等易受攻击的功能将被禁用。
详情
http://urlqh.cn/n0MB9
勒索软件,黑客组织从Cobalt Strike转移到Brute Ratel
日期: 2022-07-06
标签: 信息技术,
黑客组织和勒索软件操作正在从Cobalt Strike转向更新的Brute Ratel开发后工具包,以逃避EDR和防病毒解决方案的检测。Cobalt Strike是红队中最受欢迎的工具之一,这是一个工具包,允许攻击者在受感染的设备上部署“信标”,以执行远程网络监视或执行命令。Brute Ratel是一种对抗性攻击模拟工具,允许红队员在远程主机上部署“Badgers”(类似于Cobalt Strike中的信标)。这些Badgers连接回攻击者的命令和控制服务器,以接收命令以执行或传输以前运行的命令的输出。
详情
http://urlqh.cn/n0syp
WhatsApp上流传的欺诈性英国签证骗局
日期: 2022-07-06
标签: 英国, 居民服务, 网络诈骗,
根据Malwarebytes的一份报告,在英国工作的个人正在被WhatsApp上最近的网络钓鱼活动所欺骗。WhatsApp聊天应用程序用于传输到目标卷以启动欺诈。用户被告知,英国正在开展招聘活动,拥有超过186,000个空缺职位,因为到2022年,该国将需要超过132,000名额外的工人。当受害者点击骗局链接时,会向他们显示一个看起来像英国签证和移民网站的恶意域名。“申请英国已有数千个工作岗位”,这是根据骗局向外国公民提出的要求。该网站的目标是收集受害者的姓名,电子邮件地址,电话号码,婚姻状况和就业状况。用户可以选择在WhatsApp上报告和阻止,如果他们收到来自不在联系人列表中的人的消息。人们应该忽略这些垃圾邮件,并使用报告按钮提出投诉。此外,用户可以阻止这些联系人,以停止从他们那里获得未来的诈骗消息。
详情
http://urlqh.cn/n1PHB
匈牙利当局对政府数据管理员处以7500欧元的罚款
日期: 2022-07-05
标签: 匈牙利, 政府部门, 匈牙利国家数据保护和信息自由管理局 (NAIH), 政府罚款, 数据泄漏,
2022年7月5日,匈牙利国家数据保护和信息自由管理局 (NAIH) 发表决定称,一个政府的数据管理员对通过文件共享网站公开提供六个 Excel 文件的数据泄露负责,因违反欧盟通用数据保护条例 (GDPR) 的数据安全规定且未能与当局合作,处以 300 万匈牙利福林(7,500 欧元)的罚款。被泄露的文件包含政党成员的个人数据列表(例如姓名、电话号码、电子邮件地址、地址、身份证号码)和政党的运作数据。总的来说,此次泄露影响了大约 2,000 名数据主体。
详情
http://urlqh.cn/n0Z4I
NPM供应链攻击影响数百个网站和应用程序
日期: 2022-07-05
标签: 美国, 信息技术, npm, IconBurst, 供应链安全,
供应链安全公司 ReversingLabs 的研究人员发现,可追溯到 2021 年 12 月的 NPM 供应链攻击使用了数十个包含混淆 Javascript 代码的恶意 NPM 模块来破坏数百个下游桌面应用程序和网站。该活动背后的黑客组织 IconBurst使用仿冒域名来感染正在寻找非常流行的软件包的开发人员,例如雨伞js 和 ionic.io NPM 模块。黑客会将旨在从嵌入式表单(包括用于登录的表单)窃取数据的恶意程序包添加到他们的应用程序或网站。虽然 ReversingLabs 团队于 2022 年 7 月 1 日联系 NPM 安全团队报告其发现,但 NPM 注册表中仍然存在一些 IconBurst 恶意程序包。虽然目前尚不清楚这次攻击的全部范围,但研究人员发现的恶意程序包可能被数百甚至数千个下游移动和桌面应用程序以及网站使用。
详情
http://urlqh.cn/mZ2hu
NIST选定前四种抗量子加密工具
日期: 2022-07-05
标签: 美国, 信息技术, 美国商务部国家标准与技术研究院 (NIST), 量子安全,
美国商务部的国家标准与技术研究院 (NIST) 选择了有史以来第一组可能抵御量子计算机攻击的加密工具。对于一般加密(用于访问安全网站),NIST 选择了 CRYSTALS-Kyber 算法。对于数字签名,NIST 选择了三种算法 CRYSTALS-Dilithium、FALCON 和 SPHINCS+。据报道,这四种选定的加密算法现在将成为 NIST 后量子密码 (PQC) 标准的一部分,该标准应在大约两年内完成。NIST主任表示:“NIST 不断展望未来,以预测美国工业和整个社会的需求,当它们建成时,强大到足以破解当今加密的量子计算机将对我们的信息系统构成严重威胁。”
详情
http://urlqh.cn/n24aS
恶意行为者滥用的红队工具
日期: 2022-07-05
标签: 美国, 信息技术, 红队,
unit42发现在5月19日有一个样本被上传到VirusTotal,该样本包含与Brute Ratel C4(BRc4)相关的恶意有效负载,这是最新的红队和对抗性攻击模拟工具。此工具具有独特的危险性,因为它专门设计用于避免通过端点检测和响应 (EDR) 以及防病毒 (AV) 功能进行检测。它这样做的有效性可以从上述VirusTotal上供应商之间缺乏检测来清楚地看到。在 C2 方面,发现该示例通过端口 443 调用位于美国的 Amazon Web Services (AWS) IP 地址。此外,侦听端口上的 X.509 证书配置为使用“Microsoft”的组织名称和“安全性”的组织单位来模拟 Microsoft。在证书和其他工件上,总共确定了41个恶意IP地址,9个BRc4样本,以及北美和南美另外三个迄今为止受此工具影响的组织。这个独特的样本以与已知的APT29技术及其最近的活动一致的方式打包,这些方法利用了众所周知的云存储和在线协作应用程序。
详情
http://urlqh.cn/n051l
英国议会和医院易受网络黑客攻击
日期: 2022-07-05
标签: 英国, 政府部门, 卫生行业, 网络安全,
对英国公共服务网络安全的调查显示,国防预算存在巨大差异,数百个网站漏洞以及一个委员会的员工电子邮件地址和密码完全在线发布。ITV News的调查发现,一个英国议会每年在网络安全上只花费32,000英镑。相比之下,另一个人口较少的理事会的年度网络安全预算为100万英镑,是其30多倍。调查还显示,一家医院每年只为网络安全预留了10,000英镑。调查指出,许多专家对ITV News在网络安全方面缺乏明确性和公共服务标准表示担忧。
详情
http://urlqh.cn/n03FM
青少年黑客利用Discord传播恶意软件
日期: 2022-07-04
标签: 美国, 信息技术, Discord, Snatch, Lunar, Rift, 青少年黑客,
Avast 安全研究人员发现了一个 Discord 频道,其中一群青少年正在开发、更新、推广和销售恶意软件和勒索软件,据称是为了赚取零用钱。研究人员通过他们的 Discord 聊天发现了该行为。他们出售 Snatch、Lunar 和 Rift 的恶意软件变种,并提供从数据盗窃到勒索软件和加密挖掘的各种服务。 然而,研究人员发现,这些青少年黑客大多提供易于使用的恶意软件构建器和工具包,允许用户通过使用“自己动手”(DIY)技术,在没有真正编程的情况下使用它们。对此,网络安全专家建议父母监控孩子的互联网活动。
详情
https://t.co/KJdXAZRP1a
AstraLocker勒索软件关闭并释放解密器
日期: 2022-07-04
标签: 信息技术, 勒索软件,
鲜为人知的AstraLocker勒索软件背后的威胁行为者告诉BleepingComputer,他们正在关闭该操作,并计划切换到加密劫持。勒索软件的开发人员向VirusTotal恶意软件分析平台提交了带有AstraLocker解密器的ZIP存档。BleepingComputer下载了存档,并确认解密器是合法的,并且在对最近的AstroLocker活动中加密的文件测试其中一个解密器后工作。AstraLocker勒索软件的通用解密器目前正在开发中,将由Emsisoft发布,Emsisoft是一家以帮助勒索软件受害者进行数据解密而闻名的软件公司。
详情
https://t.co/FthncszyT4
北约将发展快速网络反应能力
日期: 2022-07-04
标签: 北约, 乌克兰, 政府部门, NATO,
在举行完北约峰会后,北约宣布计划开发虚拟快速响应能力,以“应对重大的恶意网络活动”。除其他领域外,该计划还概述了成员国之间的一项协议,“在自愿基础上,利用国家资产,建立和行使虚拟快速反应网络能力”。参加峰会的北约国家元首和政府首脑还承诺加快向乌克兰提供非致命防御设备,包括提高该国的网络弹性。虚拟快速响应网络能力将大大提高北约对重大恶意网络活动做出更协调和有效响应的能力。这种能力可能类似于已经创建并部署在乌克兰冲突中的欧盟网络快速反应小组 (CRRT) 。
详情
https://t.co/5OGS7F0Km2
若想了解更多信息或有相关业务需求,可移步至http://360.net
360城市级网络安全监测服务
360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。
360安全卫士
针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
2022-07-11 360CERT发布安全事件周报
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT推出了安全通告特制版报告订阅服务,以便用户做资料留存、传阅研究与查询验证。
今后特制报告将不再提供公开下载,用户可扫描下方二维码进行服务订阅。
https://cert.360.cn/
进入官网查看更多资讯
