安全快讯Top News

Adobe Acrobat 与 Reader 爆出远程代码执行漏洞 须尽快安装补丁

Adobe在周二发布了一系列补丁,包含12个不同应用程序的安全更新。其中一个最常见应用程序,即Adobe Reader的漏洞目前正被积极利用。据Adobe称,Adobe Acrobat和Reader的其中一个漏洞CVE-2021-28550已经在外部被利用,对Windows设备上的Adobe Reader进行了有限的攻击。 Adobe Experience Manager、Adobe InDesign、Adobe InCopy、Adobe Genuine Service、Adobe Illustrator、Adobe Acrobat和Reader、Magento、Adobe Creative Cloud Desktop Application、Adobe Media Encoder、Adobe After Effects、Adobe Medium和Adobe Animate等应用都已更新。 其中CVE-2021-28550是Windows中的一个远程代码执行漏洞,允许攻击者运行几乎任何命令,包括恶意软件安装和接管计算机。 Adobe Acrobat和Reader被修补了十个关键和四个重要的缺陷,其次是Adobe Illustrator的五个关键缺陷(CVE-2021-2101-CVE-2021-21105)。后者可能导致在当前用户的上下文中执行任意代码。Fortinet公司FortiGuard实验室的Kushal Arvind Shah报告了三个漏洞。 总共有43个漏洞被修复,其中不包括Adobe Experience Manager的依赖性更新。 在今天发布的所有Adobe安全更新中,Adobe Acrobat & Reader的漏洞最多的,足足有14个修复工作要做。 如果你正在使用Adobe产品,那么你应该尽快更新,否则这些漏洞可能会成为计算机被攻击的潜在入口。鉴于Adobe Acrobat & Reader CVE-2021-28550漏洞已被用于主动攻击,因此越早安装更新越好。 在大多数情况下,你可以使用产品的自动更新功能来更新软件。或者,你也可以通过Adobe Creative Cloud检查更新。完整的更新安装程序可以从Adobe的下载中心下载。 一般来说,当检测到补丁时,产品会自动更新,不需要任何用户干预。再有,如果新的更新没有通过自动更新获得,你可以在安全公告中找到最新的下载链接。   (消息及封面来源:cnBeta)    

新型 Smishing 钓鱼木马曝光:冒充 Chrome 窃取用户信用卡信息

网络安全公司 Pradeo 近日发现了一个先进的移动攻击活动,该活动利用网络钓鱼技术窃取受害者的信用卡信息,并使他们感染了一个冒充 Android 端 Chrome 浏览器应用程序的恶意软件。该恶意软件再利用受害者的设备作为载体,发送成千上万条钓鱼短信。Pradeo 的研究人员将其定性为 Smishing 木马。 通过结合高效的网络钓鱼技术、积极传播的恶意软件以及绕过安全解决方案的方法,这个活动特别危险。安全公司 Pradeo 评估,它的传播速度使它在过去几周内已经让数十万人受到影响。 首先,攻击者会向受害者发送要求支付海关费用以释放包裹的短信。当他们打开链接时,他们首先被哄骗去更新他们的Chrome应用,但所谓的更新是一个恶意软件。然后,他们被引导支付一小笔钱(通常最多1或2美元)。当他们这样做时,这种攻击背后的网络犯罪分子就得到了受害者的信用卡信息。 一旦用户安装虚假的 Chrome 应用程序,那么每周就会通过受害者的设备发送超过 2000 条短信,每天发送时间维持 2或3个小时,向随机的电话号码发送,这些号码似乎是相互关联的。这种机制确保了攻击活动的成功传播。为了不被发现,该恶意软件通过使用官方 Chrome 应用程序的图标和名称隐藏在移动设备上,但其软件包、签名和版本与官方应用程序没有任何共同之处。 该活动正努力绕过现有的移动安全解决方案。首先,他利用受害者的电话号码加速发送钓鱼短信,以确保这些短信不会被短信应用程序的垃圾邮件过滤器所屏蔽。其次,该恶意软件使用混淆技术并调用外部代码来隐藏其恶意行为,因此躲过了大多数威胁检测系统。第三,一旦该应用程序被大多数杀毒软件识别并引用,网络犯罪分子只需用新的签名重新包装,就可以重新躲避扫描。 Pradeo的引擎已经识别出两个假的Chrome应用程序,作为该活动的一部分。当比较我们所分析的两个应用程序时,我们看到它们99%是相同的,只有一些文件名似乎被随机改变,另一方面它们的容量也是相同的。     (消息及封面来源:cnBeta)

微软威胁和漏洞管理套件现添加对 Linux 平台的支持

微软的威胁和漏洞管理(TVM)套件允许企业改善设备的安全配置。它提供发现威胁的洞察力,自动对问题进行优先排序,并允许公司无缝补救漏洞。以前,这些功能只在Windows和macOS上提供,但微软现在也将支持扩展到了 Linux 平台。 目前微软 TVM 支持的 Linux 发行版本包括 RHEL、CentOS 和 Ubuntu。后续还将会增加对 Oracle Linux、SUSE 和 Debian 的支持。 TVM功能可以从微软端点防御系统直接管理。此外,它的API可以被调用,以获得对基础数据集的访问,包括漏洞评估和软件库存等。这也意味着安全合作伙伴可以利用这些 API 来获取这些数据,并建立自己的定制解决方案。 微软接着说:“随着混合劳动力成为新常态,组织继续面临新的安全挑战,微软威胁和漏洞管理能够更好地洞察组织风险和设备的整体安全态势。我们专注于广泛的平台支持和互操作性,致力于为客户提供他们所需的灵活性和覆盖面,以尽早发现漏洞和错误配置,并使补救措施变得简单”。 除了 TVM 登陆 Linux 平台之外,安全配置评估组件现在也在 macOS 和 Linux 的公开预览中。此前,它只在 Windows 和 Windows Server 设备上可用。你可以在这里找到更多关于它的信息。   (消息及封面来源:cnBeta)

研究人员发现庞大的 Facebook 机器人农场 发布了超过 20 万个误导性帖子

一群安全研究人员声称偶然发现了一个大规模机器人农场,旨在2020年总统选举期间和新冠疫情期间影响Facebook上的公众舆论。据英国网络安全公司Comparitech的Paul Bischoff称,该网络包括13775个独特的Facebook账户,每个账户每月发帖约15次,导致每周产出超过5万个帖子。 据介绍,这些账户似乎被用于政治操纵,其中一半的帖子与政治话题有关,另外17%与COVID-19疫情有关。每个账户都有一张个人照片和一个好友名单,研究人员认为该名单主要是由其他机器人组成的。所有人都加入了特定的Facebook群组,他们的帖子更有可能被合法的真人用户看到和讨论。 研究人员发现,”特朗普”是帖子中最常使用的关键词,其次是”拜登”。这些账户可以追溯到2020年10月,它们围绕着加州野火、白俄罗斯抗议活动和美国边境问题进行活跃发言。此外,2020年美国总统选举期间的具体事件也在这些帖子中。研究人员发现,这些假账户是用Selenium创建和管理的,Selenium是一个测试网络应用程序的框架,也可以用来模仿人类行为,可以避开大多数自动机器人检测软件的检测。 据Comparitech发言人称,当协助研究的独立网络安全专家Bob Diachenko试图将该团队的发现提请Facebook注意时,该平台并没有回应。Facebook的一名代表说,该公司将调查由Comparitech确定的账户样本,但拒绝提供任何其他信息。 自2016年俄罗斯干预大选行动以来,Facebook在公开识别和删除平台上所谓的不真实活动方面变得更加积极和主动。不真实的活动被定义为使用假账户,试图误导人们关于他们是谁以及他们在做什么。这些活动可以是政府赞助的,也可以是私人的。该公司声称,仅在上个月就删除了1565个可疑的Facebook账户,141个Instagram账户,724个页面和63个群组。 注册虚假Facebook账户的电子邮件地址对Comparitech的研究人员是可见的。研究人员没有说谁是机器人农场的幕后推手,也没有说谁控制了不安全的服务器,但是其中许多账户和ru域名相关,而且似乎来自俄罗斯。   (消息及封面来源:cnBeta)

美政府称将采取措施抵御针对关键基础设施的黑客攻击

美国总统拜登10日表示,联邦政府能源部正采取措施,帮助日前受黑客攻击的美国最大成品油管道运营商科洛尼尔管道运输公司恢复被迫关闭的能源供应网络,并调查网络攻击事件。 拜登当天在白宫就美国经济现状发表讲话时作出上述表态。他说,联邦政府各部门正在评估并降低此事件对美国燃油供应的影响。联邦政府将根据科洛尼尔管道运输公司能源供应网络的恢复进度,决定进一步要采取的措施。 拜登说,美国联邦调查局正在调查这起黑客攻击事件,并已公布相关细节。他说,尽管调查表明,与这起黑客攻击相关的勒索软件来自俄罗斯,但目前尚无证据显示俄罗斯政府牵涉其中。 他还表示,美国将寻求国际合作,以打击利用勒索软件并借助全球洗钱网络实施黑客攻击的跨国犯罪行为。 美国总统国土安全与反恐助理伊丽莎白·舍伍德-兰德尔当天在白宫新闻发布会上表示,黑客攻击事件暴露出美国关键能源基础设施主要由私营部门所有并运营而导致的脆弱性,即美国关键基础设施的安全取决于私营公司是否能有效抵御黑客攻击。 科洛尼尔管道运输公司当天发表声明说,公司正与第三方网络安全专家以及联邦政府部门合作,分阶段恢复能源供应网络。目前,部分管道已在手动控制模式下恢复有限运营,但主管道仍处于关闭状态。公司的目标是本周内恢复运营。 网络黑客7日通过加密手段锁住科洛尼尔管道运输公司计算机系统并盗取机密文件,试图以解锁为条件来勒索赎金。该公司被迫关闭整个能源供应网络,极大影响了美国东海岸燃油等能源供应。美国交通部9日宣布采取紧急措施,放宽17个州和华盛顿特区的石油产品公路运输限制,以缓解因管道关闭造成的燃油短缺。   (消息及封面来源:新华社)

网络安全研究人员用 AI 生成假文件 打造更具迷惑性的“金丝雀陷阱”

一个新的人工智能系统会生成假文件来欺骗对手。在第二次世界大战期间,英国情报人员在一具尸体上植入假文件,以愚弄纳粹德国,使其准备进攻希腊。这一名为”碎肉”的行动获得了成功,并成功掩护盟军对西西里岛的实际入侵。 间谍活动中的 “金丝雀陷阱”技术传播了多个版本的假文件以掩盖秘密,它可以用来嗅出信息的泄露源,或者像二战中那样,制造分散注意力以误导敌方的情形,同时隐藏有价值的信息。 WE-FORGE是计算机科学系设计的一个新的数据保护系统,主要使用人工智能来建立金丝雀陷阱的概念。该系统自动创建虚假文件混淆目标,以保护知识产权,如药物设计和军事技术。 网络安全、技术和社会特聘教授、安全、技术和社会研究所所长V.S. Subrahmanian说:”该系统产生的文件与原始文件足够相似,因此对于目标来说是可信的,但又有足够的不同,因此本身又是错误的。” 网络安全专家已经使用金丝雀陷阱或“蜜罐”和外语翻译器来制造欺骗潜在攻击者的假象。WE-FORGE通过使用自然语言处理来自动生成多个既可信又不正确的假文件,从而改进了这些技术。该系统还插入了随机性元素,使对手无法轻易识别真实文件。WE-FORGE可用于创建任何技术设计文件的众多假版本。当对手入侵一个系统时,他们面临着一项艰巨的任务,即找出许多类似文件中的哪一个是真的。 “使用这种技术,我们迫使对手浪费时间和精力来识别正确的文件。即使他们这样做了,他们也可能没有信心他们是正确的,”Subrahmanian说。 创建假的技术文件的难度也不小。据该研究小组称,一项专利可以包括1000多个概念,有多达20种可能的替代物。WE-FORGE最终可能会考虑数百万种可能的概念,而这些概念可能需要在一份技术文件中被替换。 “恶意行为者现在正在窃取知识产权,并时常能够轻松逃脱,”Subrahmanian说。”这个系统提高了窃贼在窃取政府或行业机密时的成本”。 WE-FORGE算法的工作原理是计算文件中概念之间的相似性,然后分析每个词与文件的相关程度。然后,该系统将概念分为”仓”,并计算出每组的可行候选。”WE-FORGE也可以接受原始文件作者的输入,人类和机器的聪明才智的结合可以更多的增加知识产权窃贼的成本。” 作为研究的一部分,该团队伪造了一系列计算机科学和化学专利,并要求一个知识渊博的小组来决定哪些文件是真的。 根据发表在《ACM管理信息系统论文集》上的研究,WE-FORGE系统能够 “为每个任务持续生成高度可信的假文件”。 与其他工具不同,WE-FORGE擅长伪造技术信息,而不仅仅是隐瞒简单的信息,如密码。WE-FORGE改进了该系统的早期版本–即FORGE,消除了创建与特定技术相关的概念指南这一耗时的需要。WE-FORGE还确保了假文件之间有更大的多样性,并采用了改进的技术来选择要替换的概念和它们的替代物。   (消息及封面来源:cnBeta)

白宫官员:Colonial 输油管没有遭到严重损害 不存在燃油供应短缺

一位白宫周一表示,上周五被勒索软件(ransomware)攻击的Colonial输油管道没有遭到严重损害,可以相对较快地恢复服务。副国家安全顾问Elizabeth Sherwood-Randall在简报会上告诉记者,“目前不存在供应短缺”。 网络和新兴技术副国家安全顾问Anne Neuberger表示,政府正在与Colonial积极接触”,但该公司并未要求联邦在网络安全方面提供援助。 10月以来,联邦调查局一直在调查此次袭击中使用的勒索软件。 Neuberger说,政府尚未就是否应支付黑客要求的赎金对该公司提供建议。当被问及黑客是否与外国政府有联系时,她说,“目前”他们被视为“犯罪分子”。 Neuberger表示:“我们的情报部门正在寻找与民族国家行为者有关的任何联系。” 截至周一,该燃油管道连续第三天处于停工状态,燃油供应商们越来越担心美国东海岸可能出现汽油和柴油短缺。Colonial Pipeline周日表示 ,仍在制定重启管道的计划,一旦符合安全标准将付诸实施,会遵守所有批准的联邦规定。 该公司周一表示,预计管道将在本周末前多数恢复运营。 联邦调查局周一证实,袭击中用的勒索软件是一个名为DarkSide的组织制造。DarkSide在网页上发布了一条消息,暗示一个关联公司是攻击的幕后黑手,并且该组织将在将来审查勒索软件的购买者,以“避免造成社会后果”。 尽管调查仍处于初期阶段,但已经有一些证据将DarkSide与俄罗斯或东欧其他地区联系起来。   (消息及封面来源:cnBeta)

英国与 COVID-19 有关的网络犯罪数量大幅上升

报告显示,英国与COVID-19有关的网络犯罪数量在上升,与前三年的总和相比,去年被英国网络安全机构破获的骗局更多,而冠状病毒大流行正在助长这种趋势。根据国家网络安全中心(NCSC)的数据,专家们看到,与前一年相比,2020年处理的相关欺诈活动增加了15倍。 这份报告是在为期两天的CyberUK活动前发布的人们的个人信息通过电子邮件和短信,利用官方的COVID-19疫苗推广活动被欺诈性地获取。结果是以英国健保系统NHS品牌为特征的网络钓鱼攻击增加,以欺骗受害者。 此外,43个假的NHS COVID-19应用程序被通报下架,这些应用程序通常在手机官方应用程序商店之外托管。 NCSC的技术总监Ian Levy博士告诉记者,与COVID-19有关的骗局、假疫苗销售、假防疫设备网店的大量增加表明,犯罪分子对他们滥用什么以及他们所引起的恐惧没有任何敬畏之心,只想伤害和欺诈人们。然而,在超过4000个促销活动中,英国税务与海关总署(HMRC)仍然是欺诈者使用最多的复制品牌,其次是政府的gov.uk网站和电视牌照。 根据NCSC的第四次主动网络防御报告,超过700500个欺诈活动被查,其中涉及1448214个欺骗性URL。   (消息及封面来源:cnBeta)

刷好评服务器出现数据泄露 20 多万亚马逊账号恐将清洗

近日,一个开放的数据库揭示了 20 多万人的个人数据,而他们似乎都参加了亚马逊的虚假产品评论计划(刷好评)。虽然亚马逊采取了各种手段遏制刷好评现象,但是各种商家依然会通过各种途径进行刷好评,以便于在和同类产品竞争的时候获得优势。   这其中就包括付钱给个人要求留下好评,或者通过免费物品来换取正面评价。本周四,Safety Detectives 的研究人员在一台开放的 ElasticSearch 服务器上发现了一个 7GB 容量数据的 dump,其中包含了 1300 万条刷评记录。目前尚不清楚这台服务器的主人是谁。 该数据库包含涉及大约 20 万至 25 万用户和亚马逊市场供应商的记录,包括用户名、电子邮件地址、PayPal地址、亚马逊个人资料链接、WhatsApp 和 Telegram 号码,以及乐意提供虚假评论的客户和愿意补偿他们的商人之间的直接信息记录。 根据该团队的说法,这次泄漏可能牵涉到 “20多万人的不道德活动”。该数据库和其中包含的信息揭示了可疑卖家使用的策略。一种方法是,卖家向客户发送一个他们希望得到五星评价的物品或产品的链接,然后客户就会进行购买。几天后,顾客会留下好评,并给卖家发信息,通过 PayPal 付款–可能是 “退款”,或者是物品免费保留。 开放的ElasticSearch服务器在3月1日被发现,但一直无法确定其所有者。然而,泄漏事件被注意到,该服务器在3月6日被保护起来。研究人员表示:“该服务器可能是由代表供应商接触潜在审查者的第三方所拥有[或者]该服务器也可能是由一个拥有多个子公司的大公司所拥有,这可以解释多个供应商的存在。显而易见的是,无论谁拥有服务器,都可能受到消费者保护法的惩罚,无论谁为这些虚假评论付费,都可能因违反亚马逊的服务条款而面临制裁”。     (消息及封面来源:cnBeta)

勒索软件团伙已在暗网上泄露了 2103 家公司数据

自 2019 年以来,勒索软件团伙已经从暗网泄露了 2103 家公司的数据。现代化勒索软件行动始于 2013 年,攻击者的方式主要是对企业数据进行加密,然后要求支付赎金来获得解密。不过自 2020 年年初以来,勒索软件行动开始进行一种新的战术,称为双重勒索(double-extortion)。 双重勒索是指勒索软件在加密网络值钱窃取未加密的文件。然后攻击者会威胁说,如果企业不支付赎金,那么就会在暗网上公开被盗的文件。由于无法恢复加密文件以及数据可能被泄露、政府罚款和诉讼的额外担忧,威胁者寄希望于这将迫使受害者更容易地支付赎金。 一位被称为 DarkTracer 的暗网安全研究员一直在追踪 34 个勒索软件团伙的数据泄露网站,并告诉 BleepingComputer,他们现在已经泄露了 2103 个组织的数据。 DarkTracer 跟踪的 34 个勒索软件团伙是 Team Snatch、MAZE、Conti、NetWalker、DoppelPaymer、NEMTY、Nefilim、Sekhmet、Pysa、AKO、Sodinokibi(REvil)、Ragnar_Locker、Suncrypt、DarkSide。CL0P, Avaddon, LockBit, Mount Locker, Egregor, Ranzy Locker, Pay2Key, Cuba, RansomEXX, Everest, Ragnarok, BABUK LOCKER, Astro Team, LV, File Leaks, Marketo, N3tw0rm, Lorenz, Noname 和 XING LOCKER。 在这 34 个团伙中,最活跃的前 5 名团伙是Conti(338次泄密)、Sodinokibi/REvil(222次泄密)、DoppelPaymer(200次泄密)、Avaddon(123次泄密)和Pysa(103次泄密)。 3 个不再活跃的团体,比前五名中的一些团体有更多的泄漏,它们是 Maze(266次泄漏)和 Egregor(206次泄漏)。 所列的一些勒索软件团伙已不再运作,如NetWalker、Sekhmet、Egregor、Maze、Team Snatch,或改名为新名称,如NEMTY和AKO。数据勒索行业已经成为勒索软件团伙的一个重要盈利点,他们告诉BleepingComputer,受害者更担心他们的数据被泄露,而不是加密文件的丢失。   (消息及封面来源:cnBeta)