分类: 安全快讯

CISA 发布检测 Azure/Microsoft 365 中恶意活动的 PowerShell 工具

近日,网络安全和基础设施安全局(CISA)的云安全小组发布了检测 Azure/Microsoft 365 中恶意活动的 PowerShell 工具。 CISA发帖声明:“ CISA创建了一个用于检测 Azure/Microsoft 365 中恶意活动的免费工具,供相关事件响应者使用,且仅关注最近基于身份验证的网络攻击活动。”用户和管理员可访问此GitHub页面,以获取更多信息和检测对策。 Sparrow.ps1脚本检查并在计算机上安装必需的PowerShell模块,在MSAzure / M365中审核日志中是否存在某些IoC,列出Azure AD域并检查Azure服务主体及其Microsoft Graph API权限以识别潜在的恶意活动。该工具将数据输出放置在默认目录中的多个CSV文件中。 基于使用Azure管理工具审核第三方经销商和合作伙伴的权限时存在困难的情况,CrowdStrike安全专家创建了自己的工具。因此管理员可以使用此工具分析微软Azure环境和审核分配给第三方合作伙伴及代理商的权限。             消息来源:Security Affairs,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

日本川崎重工披露安全漏洞

近日,日本川崎重工披露了一项安全漏洞,该公司发现多个海外办事处未授权访问日本公司服务器,该安全漏洞可能导致其海外办事处的信息被盗。 川崎重工有限公司是一家日本的跨国公司,主要生产摩托车、发动机、重型设备、航空航天、国防设备、机车车辆和船舶,也涉及工业机器人、燃气轮机、锅炉和其他工业产品的生产。 公司发布声明:“截止2020年6月11日,安全人员发现从泰国站点未经授权访问日本服务器的情况,随后又发现了从其他海外站点(印度尼西亚、菲律宾和美国)未经授权的访问日本服务器的情况。” 该公司随后加强了对海外办事处访问的监控操作,还限制了从国外对日本服务器的访问。 11月30日,公司恢复了海外办事处与日本总部之间终止的网络通信。 川崎重工有限公司表示:“经过调查,海外办事处的相关信息可能已被泄露。” 自发现该漏洞以来,川崎安全团队与外部安全专家公司合作调查并实施对策。其调查证实了信息泄露可能性。但截止目前,还未发现泄露信息的证据。 除此之外,国防承包商Pasco、神户制铁和 三菱电机等日本知名企业在今年也受到了类似的网络攻击。               消息来源:Security Affairs,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

Google Docs 存在安全漏洞 可使黑客窃取私人文档

日前,谷歌反馈工具中的存在安全漏洞,可使黑客窃取私人文档。该漏洞于7月9日被安全研究员Sreeram KL发现,他因此项发现获得了$ 3133.70的奖励。 Google的许多产品,包括Google Docs,都带有“发送反馈”或“帮助提升”的选项,用户可发送反馈反映相关问题。但反馈功能部署在Google官方网站(“ www.google.com”)中,并通过iframe元素集成到其他域中,该元素从“反馈”加载.googleusercontent.com弹出式窗口。” 这意味着,每当包含Google文档窗口的屏幕被截图时,图像都需要将每个像素的RGB值传输到父域(www.google.com),然后将这些RGB值重定向到反馈域,最终构造图像并将其以Base64编码格式发送回去。 Sreeram发现了传递到“ feedback.googleusercontent.com”方式中的漏洞,使黑客可以将框架修改为任意外部网站,进而窃取Google Docs屏幕截图。 值得注意的是,该漏洞源于Google Docs域中缺少X-Frame-Options标头,这使得黑客可以更改消息的目标来源并利用页面与其中的框架之间的跨域进行通信。 尽管此类网络攻击需要一定形式的用户交互,但利用程序可以轻松捕获上传的屏幕快照的URL并将其泄漏到恶意站点。这可以通过在恶意网站上的iFrame中嵌入Google Docs文件并劫持反馈弹出框以将内容重定向到黑客选择的域来实现。 在跨域通信期间未能提供目标源会引起安全人员的注意,因为它会公开将数据发送到任意网站。 Mozilla文档警示:“恶意站点可以在用户不知情的情况下更改窗口位置,进而拦截使用postMessage发送的数据。因此当使用postMessage将数据发送到其他窗口时,请始终指定确切的目标来源,而不是* 。”               消息及封面来源:The Hacker News,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

Nefilim 勒索软件幕后黑客泄漏了从 Whirlpool 窃取的数据

近日,美国家电跨国公司Whirlpool受到了Nefilim勒索软件的攻击,黑客要求公司支付赎金,否则将泄漏窃取的数据。与Whirlpool公司高管谈判失败后,黑客泄漏了从 Whirlpool 窃取的数据。 Whirlpool公司旗下有多个品牌,技术研究制造中心遍及全球,拥有77,000多名员工,其2019年的盈利为200亿美元。 周末,Nefilim勒索软件的幕后黑客发布了第一批数据,包括员工福利、住宿要求、医疗信息及其他相关信息。 黑客表示:“数据泄露归咎于Whirlpool公司高管不愿维护公司员工的利益支付赎金,并且其网络安全防护非常脆弱,这使得我们在谈判失败后进行第二次攻击活动。”  Bleeping Computer的报告显示,此次网络攻击活动发生在12月初。十月份,Nefilim勒索软件的幕后黑客还泄露了意大利眼镜行业巨头Luxottica的数据。 该黑客的攻击目标广泛,还攻击了 移动网络运营商Orange、欧洲技术服务领域巨头 SPIE Group、德国大型私人服务提供商 Dussman Group和 Toll Group等公司。     消息来源:Security Affairs,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

物理安全密钥保障了美国大选电子邮件的安全

今年美国总统大选已经尘埃落定,并没有重蹈 2016 年那样严重的网络攻击。尤其是本次选举期间并没有出现电子邮件泄漏事件,而这可能归功于小小的 USB 安全密钥。而本次选举也极大地推动了安全市场的发展,例如 CrowdStrike 和 Zscaler 的股票今年升值了 200% 以上。 在过去四年里,有一件小事或者说一个习惯正逐渐养成。那就是政治家、竞选工作者、以及他们的家人和好友都开始使用 USB 硬件密钥来登录电子邮件账户和其他在线服务。而且谷歌为销售这些硬件提供了非常便捷的平台,可供用户挑选的产品也非常丰富,包括来自 GoTrust, TrustKey 和 Yubico 厂商的产品。 在 12 月 9 日发布的博文中,谷歌表示正和非营利机构 Defending Digital Campaigns 合作,发放了超过 10500 个包含 USB 物理安全密钥的工具包。联邦选举委员会授权该非营利组织以免费或优惠价格向竞选活动发放网络安全产品,这意味着竞选活动如果想提高安全性,就不用担心资金问题。微软也与该非营利组织合作。 一位知情人士告诉 CNBC,乔·拜登在竞选活动中要求团队成员部署安全密钥,不过目前并未得到回应。 曾在美国国家标准与技术研究所从事网络安全工作,现在是 Venable 律师事务所的董事总经理杰里米·格兰特(Jeremy Grant)表示:“由于这些小东西起效了,因此没有再发生类似于 Podesta 这样的事件。并不是说没有人试图对这些账户进行钓鱼,但他们知道这一切都会发生,而且有工具可以阻止它们。” 2016年,一个被认为与俄罗斯有关的黑客组织攻击了希拉里·克林顿(Hillary Clinton)总统竞选活动主席约翰·波德斯塔(John Podesta )的个人谷歌 Gmail 账户,邮件信息在维基解密上被翻出来。民主党全国委员会也遭到了攻击。       (消息及封面来源:cnBeta)

SolarWinds 新漏洞可使黑客安装 SUPERNOVA 恶意软件

黑客可能已利用SolarWinds Orion软件中的身份验证绕过漏洞,在目标环境中部署SUPERNOVA恶意软件。 CERT协调中心发布的咨询报告表示,用于与所有其他Orion系统监视和管理产品接口的SolarWinds Orion API存在安全漏洞(CVE-2020-10148),该漏洞可能允许黑客执行未经身份验证的攻击API命令,从而导致SolarWinds实例的妥协。 SolarWinds在12月24日发布的安全公告表示,黑客可通过利用Orion Platform中的漏洞来部署恶意软件。但到目前为止,我们仍不清楚相关漏洞的细节。 在过去的一周中,Microsoft透露黑客可能正在滥用SolarWinds的Orion软件,在目标系统上投放另一种名为SUPERNOVA的恶意软件。 网络安全公司Palo Alto Networks的Unit 42威胁情报小组和GuidePoint Security也证实了这一点,他们都将其描述为.NET Web Shell:一种通过修改SolarWinds Orion应用程序的“ app_web_logoimagehandler.ashx.b6031896.dll”模块。 虽然DLL的目的是通过HTTP API将用户配置的图像返回到Orion Web应用程序的其他组件,但恶意添加使它可以从被控制的服务器接收远程命令并在服务器用户上下文中的内存执行命令。 Unit 42研究人员指出:“SUPERNOVA的新颖之处在于:在内存中执行、其参数存在极强的复杂性、.NET运行时实施完整的编程API存在极强的灵活性。” 政府机构和网络安全专家正在努力挽救此次黑客攻击的后果,并汇总全球入侵活动。 为了修复身份验证绕过漏洞,安全专家建议用户将SolarWinds Orion Platform更新至最新版本: 2019.4 HF 6(2020年12月14日发布) 2020.2.1 HF 2(2020年12月15日发布) 2019.2 SUPERNOVA补丁(2020年12月23日发布) 2018.4 SUPERNOVA补丁(2020年12月23日发布) 2018.2 SUPERNOVA补丁(2020年12月23日发布)       消息及封面来源:The Hacker News,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

警方逮捕 21 位 WeLeakInfo 网站用户

WeLeakInfo是一种现已失效的在线服务网站,曾出售其他网站被入侵数据的访问权。 英国国家犯罪局(NCA)表示,该网站的用户利用被盗个人凭据进一步实施了网络犯罪。 在被捕的21名男子(18至38岁之间)中,有9人因涉嫌违反《计算机滥用法》而被拘留,9人涉嫌欺诈罪,另外3人正在接受调查。NCA还从犯罪嫌疑人身上查获了价值41,000多英镑的比特币。 今年1月初,美国联邦调查局(FBI)、NCA、荷兰国家警察总队、德国Bundeskriminalamt和北爱尔兰警察局共同攻破了WeLeakInfo的域。 该网站的服务于2017年推出,为用户提供搜索引擎,用户可访问从10,000多个数据泄露事件中非法获取的个人信息,其中包含超过120亿索引的被盗凭证,涉及姓名、电子邮件地址、用户名、电话号码和账户密码等信息。   最重要的是,WeLeakInfo提供了订阅计划:允许在一天(2美元)、一周(7美元)、一个月(25美元)或三个月的订阅期间无限搜索和访问这些数据泄露的结果。 订阅费用使入门级黑客都可以访问该网站,以每天低至2美元的价格获取大量数据缓存,并利用这些信息发起网络攻击活动。 在该域名于1月被查封后,两名22岁男子因经营该网站而被捕,其中一人在荷兰、另一人在北爱尔兰。 NCA表示,一名犯罪嫌疑人还购买了其他网络犯罪工具,例如远程访问特洛伊木马(RAT)和加密程序,另外三名犯罪嫌疑人藏有不雅儿童照。 NCA的Paul Creffield表示:“人们在多个站点上设置的重复密码为黑客提供了便利。因此,密码设置非常重要。”       消息及封面来源:The Hacker News,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

FBI 和欧洲刑警组织查获被控支持“黑社会犯罪组织”的 VPN 服务

美国密歇根州东区检察官办公室详细介绍了一项名为“Operation Nova”的国际执法工作,该行动的目标是一项被指控支持犯罪分子的 “防弹”VPN服务。这项工作是由FBI、欧洲刑警组织和其他机构联合开展的,德国罗伊特林根警察总部负责协调这项行动。 在“Operation Nova”行动中,执法机构共同进行了取缔工作;它针对的是一个被指控为犯罪分子提供“防弹托管服务”的运营。行动中查封了三个域名,包括“insorg.org”、“safe-inet.com”和“safe-inet.net”。这些网站现在呈现的是被执法部门查封的通知。 除其他外,美国司法部将 “防弹托管服务 “描述为:“…可能包括忽略或编造借口,以回应客户的受害者提出的滥用投诉; 将客户账户或数据从一个IP地址,服务器或国家转移到另一个IP地址,以帮助他们逃避检测; 不保存日志(因此,没有任何日志可供执法部门审查)。通过提供这些服务,防弹主机明知故犯地支持客户的犯罪活动,成为犯罪计划的共犯。” 官员们在谈到“Operation Nova”行动时介绍说,据称在网络上发生的犯罪活动有接管账户、勒索软件、电子窃取数据泄露和鱼叉钓鱼等。据报道,支持是以英语和俄语两种语言“高价提供给黑社会犯罪组织”的。 国际执法机构关闭了与被查封域名有关的服务器,美国当局也关闭了与位于美国的服务器有关的服务器。     (消息及封面来源:cnBeta)

Emotet 僵尸网络每天攻击数 10 万个邮箱

经过将近两个月的休整之后,Emotet僵尸网络复苏,并开展了每天数十万个网络攻击活动。 Emotet僵尸网络于2014年以银行木马的身份诞生,并发展成提供全方位服务的威胁传递机制。它可在受害者计算机上安装一系列包括信息窃取者、电子邮件收集器、自我传播机制等恶意软件。该僵尸网络最近一次出现是在10月份,目标群体是民主党全国委员会(DNC)志愿者。五个月的中断之后,它在7月重新活跃,并丢弃了Trickbot木马。2月份的一次竞选活动中,有人发现了来自受害者银行的短信。 Cofense研究人员布拉德·哈斯(Brad Haas)在星期二的博客中说:“Emotet僵尸网络后是恶意电子邮件活动最多的发件人之一,但通常一次休眠数周或数月。” “今年,这种中断从2月持续到7月中旬,这是Cofense在过去几年中看到的最长的中断。从那以后,他们观察到整个十月底的Emotet僵尸网络活动正常,直到今天都没有新的案例。” 研究人员说,僵尸网络在有效载荷方面也始终如一。在十月份,最常见的辅助负载是TrickBot、Qakbot和ZLoader,而今天我们观察到的是TrickBot。 TrickBot恶意软件是众所周知的复杂木马,于2016年作为银行恶意软件首次开发,与Emotet一样,它具有自我转换和添加新功能 以 逃避检测 或增强其感染能力的历史。感染了TrickBot木马的用户的设备将成为僵尸网络的一部分,黑客可使用该僵尸网络加载第二阶段的恶意软件,研究人员称其为“几乎所有其他恶意软件有效负载的理想丢弃程序”。TrickBot感染的典型后果是银行帐户被接管、高额电汇欺诈和勒索软件攻击。它最近实现了旨在检查目标系统的UEFI / BIOS固件的功能。微软和其他公司于10月对恶意软件的基础架构进行拆除之后,该恶意软件却严重复苏。 Proofpoint在Twitter上指出: “我们看到了相关英文、德文、西班牙文、意大利文并受密码保护的zip和URL的线程劫持的带有Word附件的诱饵。” Proofpoint威胁研究高级主管Sherrod DeGrippo说:“我们的团队仍在审核新样品,到目前为止,我们只发现了微小的变化。例如,Emotet二进制文件现在被用作DLL而不是.exe。当Emotet运行时,我们每天会观察到数十万封电子邮件。”她指出:“我们通常会看到Emotet在12月24日至1月初停止运营。如果他们继续这种模式,那么最近的活动对他们来说将是短暂而罕见的。” 研究人员同时指出,“黑客在不同的网络诱饵之间交替变化,以使社会工程学用户能够使用包括COVID-19主题的宏。尽管缺乏重大发展,该恶意软件的复兴仍应引起人们的注意。” 鉴于今年的严峻形势,安全人员建议相关组织和个人应提高警惕,并继续采取相关保护措施。         消息及封面来源:Threat Post;译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

有证据表明 Citrix ADC 设备被黑客滥用发起 DDoS 攻击

援引外媒 ZDNet 今天早些时候报道,有攻击者利用 Citrix ADC 网络设备向 Steam、Xbox 等在线游戏服务发起拒绝服务攻击(DDoS)。首波攻击上周被德国 IT 系统管理员 Marco Hofmann 发现并记录在案。 图片来自于 WikiMedia 随后 Hofmann 追踪到了 Citrix ADC 设备上的 DTLS 接口。DTLS,即数据报传输层安全,是 TLS 协议的一个更多版本,实现在对流友好的 UDP 传输协议上,而不是更可靠的TCP。就像所有基于UDP的协议一样,DTLS是可欺骗的,可以作为DDoS放大载体。 这意味着,攻击者可以向具有DTLS功能的设备发送小的DTLS数据包,并将结果以一个大很多倍的数据包返回到一个被欺骗的IP地址(DDoS攻击受害者)。原数据包被放大多少倍,决定了具体协议的放大系数。对于过去基于 DTLS 的 DDoS 攻击,放大系数通常是原始数据包的 4-5 倍。 不过在本周一的报告中,在 Citrix ADC 设备上实现的 DTLS 似乎被放大了 35 倍,使其成为最有力的 DDoS 放大载体之一。在多家媒体报道之后,Citrix 也承认这个问题,并承诺会在圣诞节假期之后在明年 1 月中旬发布修复补丁。该公司表示,已经有证据表明有黑客利用该 DDoS 向全球少数客户发起攻击。 当攻击者滥用Citrix ADC设备时,他们可能最终会耗尽其上游带宽,造成额外的成本并阻止来自ADC的合法活动。 在Citrix准备好官方缓解措施之前,出现了两个临时的修复方法。第一种是在不使用Citrix ADC DTLS接口的情况下,禁用该接口。第二种是如果需要 DTLS 接口,建议强制设备验证传入的 DTLS 连接,尽管这可能会因此降低设备的性能。     (消息及封面来源:cnBeta)