安全快讯Top News

全国首例!云南破获域名黑产大案,抓获 630 人

2021年5月以来,在公安部的组织指挥下,云南公安机关历时8个多月,成功破获全国首例域名黑产犯罪案件,经全国各地公安机关连续奋战,共侦破案件300起,抓获涉案人员630人,查封用于黄、赌、诈等违法网站域名50余万个。 近日,该案在昆明市西山区人民法院依法进行审理,案件中违规销售域名的某网络科技公司被判处罚金200万元;李某某、怀某某等主要犯罪嫌疑人一审分别被判处一至二年不等有期徒刑,并处罚金。 近年来,随着网络技术和智能手机的飞速发展,赌博、色情、诈骗等传统犯罪加速向网上迁移,以网站和APP为载体的网络犯罪活动日益突出。域名是其中不可或缺的重要组成部分,是此类非法网站和APP必不可少的构成要素,因此网络域名黑产犯罪也逐渐成为了一种危害较大的新型网络技术犯罪。 2021年5月13日,昆明市公安机关成功捣毁了2个为境外“黄赌诈”网站及APP提供“域名防封堵”服务的网络黑产犯罪团伙,查明其共为2400余个境外“黄赌诈”网站提供“域名防封”技术服务非法牟利的犯罪事实,一条网络黑灰产业被“起底揭盖”。 经深入调查,发现为两个犯罪团伙提供的域名全部来自省外某网络科技公司。案件情况上报后,引起公安部高度重视,将该案列为公安部督办案件,要求云南组织精干力量开展专案攻坚,查清该公司违法犯罪事实,摸清域名类犯罪活动生态,为全国公安机关类案打击提供“云南经验”,深入推动行业治理。 2021年11月1日,专案组赴省外并在当地公安机关的大力配合支持下,对该网络科技公司开展收网工作。抓获以李某某、怀某某等为首的犯罪嫌疑人29人,查获非法销售域名400余万个、被用于违法违规网站94万个(其中近90万个涉及黄、赌、诈违法犯罪网站),帮助解封违法违规域名2.4万个,查、冻涉案资金200余万元。经查,该网络科技公司作为国内域名注册服务代理商,未履行监管职责和义务,违规销售未实名注册的域名,并将未变更的备案域名高价出售给他人搭建违法犯罪网站,还为违法犯罪人员提供“域名防封”服务,导致违法犯罪网站、APP屡禁不止,严重危害网络安全秩序和群众财产安全。 2022年3月25日,公安部迅速对全国公安机关作出安排部署,在云南省公安厅成立分指挥部,对上述案件涉及域名黑产的犯罪线索发动全国集群战役。云南密切联合27个省市公安机关,高效统筹全面推进。经全国各地公安机关连续奋战,共侦破案件300起,抓获涉案人员630人,查封用于黄、赌、诈等违法网站域名50余万个,查获境内外公民个人信息450余万条,查封仿冒网站4000余个。 转自 Freebuf,原文链接:https://www.freebuf.com/news/351436.html 封面来源于网络,如有侵权请联系删除

十年未被发现!现代汽车曝重大安全漏洞,黑客可远程解锁、启动汽车

据cybernews消息,现代汽车APP存在一个重大安全漏洞。利用这个漏洞,黑客可以远程解锁、启动汽车。更令业界感到惊讶的是,这个漏洞已经存在了10年之久,影响了自2012年生产的现代汽车,以及旗下高端品牌捷尼赛思汽车。但现代汽车发布公告称,该漏洞并未被广泛利用。 这两个APP的名称是MyHyundai 和 MyGenesis,允许经过身份验证的用户启动、停止、锁定和解锁他们的车辆,可进一步提升车主的使用体验。 根据网络安全研究人员Sam Curry的说法,原本现代和捷尼赛思汽车的APP仅向授权用户提供车辆的控制权限,但是,该APP与授权服务器的通信之间存在一个严重的安全漏洞,导致攻击者可以轻易取得相应的权限。 Sam Curry在社交平台发文称,“我们注意到服务器不要求用户确认他们的电子邮件地址,此外还有一个非常松散的正则表达式,允许在您的电子邮件中使用控制字符。” 在深入研究绕过身份验证的可能方法后,Sam Curry和他的团队发现,在注册过程中,只需要在现有受害者电子邮件的末尾添加CRLF字符,攻击者就可以使用现有的电子邮件注册一个新帐户。 而这个新帐户将获得一个JSON网络令牌 (JWT),该令牌与服务器中的合法电子邮件相匹配,从而授予攻击者对目标车辆的访问权限。 Sam Curry发布消息称,“我们目前在确认,是否可以使用被篡改的 JWT 执行解锁或启动汽车等实际操作,如果真的可以做到这一点,那么将有可能全面接管所有远程启动的现代汽车和捷尼赛思汽车。 随后,有安全研究人员利用他们手里的一辆现代汽车来测试该漏洞。最终结果显示,使用受害者的电子邮件地址并添加 CRLF 字符,就可以让他们远程解锁链接了相应电子邮件地址的车辆。 有消息称,某些黑客团队也盯上了这个漏洞,甚至开发了一个python 脚本,只需要获取受害者的电子邮件地址,即可执行车辆上的所有命令,甚至接管车主的帐户。 目前,该漏洞已经报告给现代汽车公司,并且已经得到修复。在发布的公告中,现代汽车表示,经过调查后并未发现该漏洞被黑客利用了。 现代声称该公司调查了这个问题,并没有发现该漏洞在野外被利用,并强调利用该漏洞条件苛刻,“需要知道与特定现代汽车帐户和车辆相关的电子邮件地址,以及研究人员使用的特定网络脚本。” 而这似乎与目前不少安全人员发布的内容不太相符。 Yuga Labs公司的分析师称,只需要知道目标车辆识别号 (VIN),就有可能向端点发送伪造的 HTTP 请求,从而顺利利用该漏洞。 在实际情况中,车辆VIN 很容易在停放的汽车上获取,通常在仪表板与挡风玻璃相接的板上可见,攻击者可以轻松访问它。这些识别号码也可以在专门的汽车销售网站上找到,供潜在买家查看车辆的历史记录。 近年来,智能汽车产业正处于快速发展期,越来越多的安全专家们也开始将研究重点放在汽车攻击领域,发现了不少重量级汽车网络安全漏洞,包括远程解锁、启动、停止车辆等,成功向外界展示,攻击者是如何破坏车辆中的各种组件,涉及多个主流汽车品牌。 也正因为如此,汽车厂商们应进一步加大对网络安全的重视程度,并真切投入资源改善这种不安去的状况。汽车作为一个私密、封闭的个人空间,其安全性的重要性毋庸置疑,也是车主们选择汽车的重要衡量因素。 转自 Freebuf,原文链接:https://www.freebuf.com/news/351422.html 封面来源于网络,如有侵权请联系删除

速看!Redis 服务器被植入后门

被研究人员称之为Redigo的一种基于Go的新的恶意软件,它一直针对有CVE-2022-0543漏洞的Redis服务器并植入一个隐秘的后门允许命令执行。 CVE-2022-0543是Redis(远程字典服务器)软件中的一个关键漏洞,具有非常高的威胁性。它在2022年2月被发现并修复。修复几个月后,仍有攻击者继续在未打补丁的机器上利用它。针对于此漏洞的恶意软件的名称Redigo则是由它的目标机器和构建它的编程语言创造的。 今天,AquaSec报告说,其易受CVE-2022-0543影响的Redis蜜罐捕获了一个新的恶意软件,该恶意软件并没有被Virus Total上的安全软件检测到。 Redigo攻击 AquaSec说,Redigo攻击从6379端口的扫描开始,以定位暴露在开放网络上的Redis服务器。找到目标端点后,atacker连接并运行以下命令: INFO – 检查Redis的版本,以确定服务器是否有CVE-2022-0543的漏洞。 SLAVEOF – 创建一个攻击服务器的副本。 REPLCONF – 配置从攻击服务器到新创建副本的连接。 PSYNC – 启动复制流并下载服务器磁盘上的共享库 “exp_lin.so”。 MODULE LOAD – 从下载的动态库中加载模块,该模块能够执行任意命令并利用CVE-2022-0543。 SLAVEOF NO ONE – 将有漏洞的Redis服务器转变成主服务器。 利用植入后门的命令执行能力,攻击者收集主机的硬件信息,然后下载Redigo(redis-1.2-SNAPSHOT)。该恶意软件在升级权限后被执行。 攻击者通过6379端口模拟正常的Redis通信,以逃避网络分析工具的检测,同时试图隐藏来自Redigo的命令和控制服务器的流量。 由于AquaSec公司蜜罐的攻击时间限制,其分析师无法确定Redigo在环境中站稳脚跟后到底做了什么。 AquaSec表示,Redigo的最终目标很可能是将易受攻击的服务器作为机器人加入网络,进行分布式拒绝服务(DDoS)攻击,或者在被攻击的系统上运行加密货币矿工。 此外,由于Redis是一个数据库,访问数据并窃取它也可能是Redigo攻击的目的。 转自 Freebuf,原文链接:https://www.freebuf.com/news/351413.html 封面来源于网络,如有侵权请联系删除

30 万安卓用户 Facebook 凭证遭“Schoolyard Bully”木马窃取

The Hacker News 网站披露,一种名为“Schoolyard Bully”木马程序攻击遍布 71 个国家的 30 多万Android用户。该木马程序伪装成合法的教育主题应用程序,引诱毫无戒心的用户下载,随后便窃取其 Facebook 凭证。 据悉,这些应用程序可以从官方Google Play商店下载,目前已经被删除了。但是,用户仍然可以在第三方应用商店中下载并继续使用。 Zimperium 研究人员 Nipun Gupta 和 Aazim Bill SE Yaswant 在与 The Hacker News 分享的一份报告中表示,“Schoolyard Bully”木马程序使用了 JavaScript 注入来窃取 Facebook 凭证。 研究人员进一步分析发现,“Schoolyard Bully”通过在 WebView 中启动 Facebook 的登录页面来实现这一目的,该页面还嵌入了恶意 JavasCript 代码,将用户电话号码、电子邮件地址和密码渗透到配置的命令和控制(C2)服务器。 此外,“Schoolyard Bully”木马还进一步利用诸如“libabc.so”之类的本地库,以避免防病毒解决方案的检测。 虽然“Schoolyard Bully”木马专门针对越南语应用程序,但在 70 多个国家的其它应用程序中也发现了其踪迹。 一年多前,Zimperium 在代号为 FlyTrap 的活动中发现了类似活动,攻击者旨在通过恶意 Android 应用程序危害 Facebook 账户。 Zimperium 移动威胁情报主管理查德·梅里克(Richard Melick)强调,攻击者窃取 Facebook 密码会造成很大破坏,如果攻击者冒充受害者,就很容易诱使其朋友和其它联系人发送金钱或敏感信息。 值得注意的是,许多用户重复使用相同密码,如果攻击者窃取了受害者 Facebook 密码,很可能掌握其电子邮件和密、银行或金融应用程序、公司账户等。 转自 Freebuf,原文链接:https://www.freebuf.com/news/351387.htmll 封面来源于网络,如有侵权请联系删除

黑客在暗网上泄露 Medibank 客户数据

Hackernews 编译,转载请注明出处: Medibank周四证实,在拒绝支付赎金后,这起破坏性网络攻击的幕后黑客在暗网上发布了从其系统中窃取的另一批数据。 澳大利亚健康保险公司表示:“我们正在分析数据,但公布的数据似乎是我们认为罪犯窃取的数据。” “虽然我们的调查仍在继续,但目前没有迹象表明金融或银行数据已被窃取。被盗的个人数据本身不足以实现身份和金融欺诈。到目前为止,我们分析的原始数据是不完整的,难以理解。” 该公司承认,在2022年10月发生勒索软件事件后,其现有和前任客户中约970万人的个人数据被访问。 其中包括510万Medibank客户、280万ahm客户和180万国际客户。还访问了约16万Medibank客户、30万ahm客户和2万国际客户的健康索赔。 最新的数据集以六个ZIP存档文件的形式上传,其中包括健康索赔信息,尽管Medibank注意到大部分数据都是碎片化的,并且没有与客户姓名和联系方式相结合。 攻击者被怀疑位于俄罗斯,与今年5月早些时候卷土重来的REvil勒索软件组织有关。 与此同时,澳大利亚信息委员会(OAIC)办公室宣布对Medibank与安全事件相关的数据处理做法展开调查。 电信巨头Optus已经在进行类似的调查,该公司在2022年9月下旬遭遇黑客入侵,以确定该公司是否“采取了合理措施,保护其持有的个人信息免受滥用、干扰、丢失、未经授权的访问、修改或披露”。 这些大型数据泄露事件也促使澳大利亚政府通过了一项新的立法,如果公司多次或严重的数据泄露,可能会面临高达5000万澳元的罚款。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

企业安全通讯市场爆发,AWS 发布加密消息服务 Wickr

虽然企业客户支出因经济下滑而放缓,但全球消息安全市场仍有望以两位数增长。IMARC Group的最新报告显示,全球消息安全市场的价值预计将从2021年的51亿美元暴增至2022年的112亿美元。Mordor Intelligence发布的另一份报告则预测该市场将从2021年的40亿美元增长到2022年的147亿美元。 面对消息安全市场需求的暴增,刚刚宣布关闭面向消费者的加密消息服务(Wickr Me)的亚马逊AWS在本周二的re:Invent大会上宣布正式推出Wickr Me的企业版本AWS Wickr。 AWS Wickr于7月首次公布,此前一直处于预览状态。 据AWS介绍,Wickr企业级消息加密服务让企业用户能够安全地通过文本、语音和视频以及文件和屏幕共享进行协作,同时还能帮助企业满足有关审计和监管要求(例如信息自由法案FOIA)。 AWS管理控制台集成Wickr 为了帮助企业配置和管理Wickr服务,AWS将加密消息服务的管理框架集成到了AWS管理控制台中,通过该控制台企业可以选择、配置和管理其所有AWS服务。 企业可以用AWS身份和访问管理(IAM)访问控制和策略来设置Wickr管理策略,管理员还可以管理加密消息服务网络,该网络可直观显示组内的用户数量及其在访问和权限方面的配置,类似于Slack Workspaces。 AWS表示,企业内的新用户可以通过现有身份系统注册消息服务,并补充说使用Wickr的企业客户可以通过iOS、Android、Windows、Linux和macOS设备访问该应用程序。 不同系统的Wickr版本可以从各自的应用市场下载。 可选择数据存储位置 此外,Wickr的管理功能还允许IT团队为消息服务数据配置存储,包括数据的位置,以使该服务更符合医疗等行业的监管标准。 IT团队存储加密消息数据时,需要先设置数据保留流程并将其应用于网络,然后再将数据存储在他们选择的位置(本地或云端)。 AWS表示,这些功能和流程已经就续,以确保最大限度地保护数据。数据保留过程可以在任何地方运行:本地、Amazon Elastic Compute Cloud(Amazon EC2)虚拟机或用户选择的任何位置。目前,已经有数据保留流程的Docker容器可用。 此外,Wickr还附带了几个打包为Docker容器的机器人。该公司表示,这些机器人与Slack机器人非常相似,可以用Node JS创建工作流。 定价 面向企业的Wickr加密消息服务目前在美国东部(弗吉尼亚北部)的AWS区域可用,预计其他地区也将逐步启动。 亚马逊表示,不超过30名用户的个人和团队可以免费使用该服务三个月,超过30名用户的收费标准是每用户每月5美元。 AWS还提供每位用户每月15美元的高级计划,该计划包括数据保留等额外功能。 转自 安全内参,原文链接:https://www.secrss.com/articles/49599 封面来源于网络,如有侵权请联系删除

亲俄黑客组织 Killnet 发起“总攻”预热,星链瘫痪数小时

本周三,亲俄黑客组织Killnet宣称已经完成对埃隆·马斯克的星链(Starlink)、白宫官网(WhiteHouse.gov)和威尔士亲王网站的“测试攻击”。安全公司Trustwave的研究人员确认了上述攻击的真实性。 星链瘫痪数小时 Killnet及其黑客合作者团伙在宣言中声称,他们完成了三次“试探性的”DDoS攻击,旨在惩罚支持乌克兰的一些最关键的力量,包括马斯克的Starlink卫星宽带服务以及美国白宫和英国威尔士亲王的网站。 Killnet声称在11月18日通过DDoS攻击关闭了Starlink服务。同一天,网络安全公司Trustwave的研究人员在Reddit上发现Starlink客户抱怨他们几个小时内无法登录帐户。 Killnet在Telegram上发布消息称:“同志们久等了,对星链发动的集体DDoS攻击导致没有人可以登录Starlink。” 马斯克的星链对乌克兰军队的战场情报和指挥至关重要。11月初,黑客组织“Joker DPR”(顿涅兹克小丑)宣称成功入侵乌克兰武装部队(AFU)使用的所有军事指挥和控制程序,包括可接入北约ISR系统的美国Delta数字地图战场指挥系统。根据Joker DPR泄露的信息,该系统目前是乌克兰部队主要使用的战场指挥系统,且严重依赖星链网络提供的通讯服务。 据悉有大量黑客组织参与了Killnet围剿星链的DDoS攻击活动,包括Anonymous Russia,Msidstress,Radis,Mrai和Halva。 根据Cyberknow的统计,全球目前有36家黑客组织宣布支持乌克兰,有40家支持俄罗斯,具体如下: 白宫,威尔士亲王网站被针对 除了星链,Killnet还宣称在11月17日成功地在白宫网站上实施了“30分钟的试探性攻击”。 “当然,我们希望攻击持续更长的时间,但没有考虑到请求过滤系统的强度,”Killnet补充道:“即便如此!白宫官网还是在所有人面前被搞瘫了!” 据Trustwave透露,白宫动用了军用级保护来抵御Automattic的DDoS攻击。 数日后,即11月22日,Killnet又发起了另一次DDoS攻击,这次是针对威尔士亲王的网站,并警告说英国医疗系统将是下一个目标。Killnet还威胁未来将对伦敦证券交易所,英国陆军等重要目标实施攻击。 尽管目标雄心勃勃,但Trustwave表示,Killnet及其网络犯罪团伙还不够先进,无法实施比基本DDoS攻击更高级的攻击。 “我们应该期待看到更多来自Killnet的低技能攻击,针对越来越多与俄罗斯作对的目标,”Trustwave在周二关于Killnet DDoS攻击的报告中表示:“然而,该组织的攻击力能否升级到造成损害、泄露数据或长时间瘫痪网站还有待观察。” 周四发动大规模攻击 在星链和白宫官网“小试牛刀”后,Killnet在社交网络上号召数以千计的俄罗斯黑客本周四对敌人发起大规模集体攻击(主要为网站篡改、垃圾邮件、DDoS等低技能攻击),参与攻击的黑客将得到加密货币作为奖励(下图)。 Killnet宣称本周四的第一波攻击将拿拉脱维亚开刀,因为后者宣布支持向乌克兰提供武器: Killnet公布了拉脱维亚政府目标网站的网址和IP地址,同时还呼吁得到俄罗斯政府的支持,这表明Killnet期望能够得到类似乌克兰IT部队的官方认可和支持。 转自 安全内参,原文链接:https://www.secrss.com/articles/49598 封面来源于网络,如有侵权请联系删除

不仅删数据,还删 AI 算法模型!美国 FTC 公布“特殊”隐私处罚案例

近日,美国联邦贸易委员会(Federal Trade Commission,FTC)公布了一项特殊的处罚决定:勒令一家名为「Everalbum」的公司删除其从客户手中收集的照片,以及利用这些数据训练出的所有算法。 “通过面部识别,公司可以将亲友的照片转换为敏感的生物识别数据,”FTC消费者保护局局长安德鲁史密斯说,“确保公司信守对客户关于如何使用和处理生物识别数据的承诺将继续是FTC的高度优先事项。” Everalbum提供了一个名为“Ever”的应用程序,允许用户从他们的移动设备、计算机或社交媒体帐户上传照片和视频,以使用该公司基于云的存储服务进行存储和整理。FTC在诉状中称,2017年2月,Everalbum在Ever应用程序中推出了一项名为“朋友”的新功能,该功能使用面部识别技术将出现在照片中的人的面孔分组,并允许用户按姓名“标记”人。据称,Everalbum在启动“朋友”功能时默认为所有移动应用程序用户启用面部识别。 Everalbum表示,在2018年7月至2019年4月期间,除非用户确定选择激活该功能,否则它不会将面部识别技术应用于用户的内容。尽管从2018年5月开始,该公司允许一些位于伊利诺伊州、德克萨斯州、华盛顿州和欧盟的Ever应用程序用户选择是否打开人脸识别功能,但它在2019年4月之后对所有其他用户自动激活,并且无法关闭。 FTC诉称,Everalbum将面部识别应用于Ever应用程序用户的照片不仅限于提供“朋友”功能。在2017年9月至2019年8月期间,Everalbum将从Ever用户照片中提取的数百万张面部图像与Everalbum从公开数据集中获得的面部图像相结合,创建了四个数据集,用于开发其面部识别技术。起诉书称,Everalbum使用其中一个数据集产生的面部识别技术来提供Ever应用程序的“朋友”功能,并开发面部识别服务出售给其企业客户;但该公司没有与这些客户共享Ever用户照片、视频或含有个人信息的图像。 根据起诉书,Everalbum还向用户承诺,将删除停用其帐户的Ever用户的照片和视频。然而,FTC声称,至少在2019年10月之前,Everalbum还未删除任何已停用帐户的照片或视频,而是无限期保留它们。 拟议的和解要求Everalbum删除: Ever应用程序停用帐户的照片和视频; 所有人脸嵌入——可以用于面部识别目的的、反映面部特征的数据,都是来自未明确同意使用的Ever用户的照片; 使用Ever用户的照片或视频开发的任何面部识别模型或算法。 此外,拟议的和解协议禁止Everalbum歪曲其收集、使用、披露、维护或删除个人信息的方式,包括使用面部识别技术创建的人脸嵌入,以及在多大程度上保护其收集的个人信息的隐私和安全。根据拟议的和解协议,如果该公司向消费者销售供个人使用的软件,在使用通过该软件收集的用户生物特征信息创建面部嵌入或开发面部识别技术之前,必须获得用户的明确同意。 委员会以5比0的投票结果发布了拟议的行政投诉,并接受了与公司达成的同意协议。 转自 安全内参,原文链接:https://www.secrss.com/articles/49617 封面来源于网络,如有侵权请联系删除

大事件!密码神器 LastPass 承认黑客窃取了客户数据

11月30日,密码管理工具 LastPass首席执行官 Karim Toubba公开承认,通过一个新的漏洞,黑客访问了 LastPass 的第三方云存储服务器,并获得了部分客户的关键信息。但具体有多少客户因此受到影响,以及黑客窃取了哪些敏感信息暂时未公布。 在Last Pass公开承认这一数据泄露事件后,该公司进一步强调“由于LastPass采取了先进的零信任架构体系,因此客户的密码仍然被安全加密。” 但是这个保证似乎并没有让客户满意。毕竟在2022年8月,LastPass 还曾公开承认,有黑客曾进入过 LastPass 的内部系统,并窃取了部分源代码和敏感数据。仅仅三个月后,LastPass 就在一次出现如此严重的数据泄露事件。 公开信息显示,LastPass是一个在线密码管理器和页面过滤器,采用了强大的加密算法,自动登录/云同步/跨平台/支持多款浏览器。该公司声称其产品有超过10万家企业、3300万人员正在使用,是全球最大的在线密码管理软件。 值得一提的是,11月发生的数据泄露事件和8月发生的源代码泄露存在关联,根据LastPass 首席执行官 Karim Toubba的说法,黑客利用了“8月事件中获得的信息” ,从而获得了对用户数据的访问。 LastPass 表示,目前公司已经聘请专业网络安全公司Mandiant调查此事件,并将此次攻击的情况和执法部门进行了汇报。 近几年,LastPass 频频传出数据、密码泄露丑闻。2021年年底,许多LastPass用户在收到LastPass登录电子邮件警告,邮件告知他们的主密码已被泄露,有人试图从未知位置登录他们的帐户。事后,LastPass 回应异常登录称,暂无证据表明数据泄露,但用户并不买账,并对LastPass的安全性提出了质疑。 Lastpass母公司GoTo也遭受影响 由于第三方云存储服务由LastPass及其母公司GoTo(原名LogMeIn)共享,因此此次攻击事件也影响了GoTo的开发环境和第三方云存储服务,并泄露了相应的数据。 GoTo表示,该攻击事件并未影响他们的产品和服务,并且它们仍然可以正常运行。为了更好地确保安全,GoTo公司称在袭击发生后部署了“增强的安全措施和监控能力”。 有国外媒体向 GoTo 询问事件发生的具体信息及相关后果,例如攻击发生的时间或源代码是否被盗,但尚未得到回复。 转自 Freebuf,原文链接:https://www.freebuf.com/news/351313.html 封面来源于网络,如有侵权请联系删除

谷歌发现用于部署间谍软件的 Windows 漏洞利用框架

据BleepingComputer 11月30日消息,谷歌的威胁分析小组 (TAG) 发现一家西班牙软件公司试图利用 Chrome 、 Firefox 浏览器以及 Microsoft Defender 安全应用程序中的漏洞从事间谍活动,目前漏洞已经得到修复。 谷歌TAG表示,这家总部位于巴塞罗那的软件公司虽然官方宣称是一家安全解决方案提供商,但其实也从事商业监控活动。 该公司使用Heliconia 框架,利用了 Chrome、Firefox 和 Microsoft Defender 中的 N-day 漏洞,提供了将有效载荷部署到目标设备所需的所有工具。该利用框架由多个组件组成,每个组件都针对目标设备软件中的特定安全漏洞: Heliconia Noise:一个 Web 框架,用于部署 Chrome 渲染器错误利用,以及 Chrome 沙箱逃逸以在目标设备上安装代理 Heliconia Soft:一个部署包含 Windows Defender 漏洞的 PDF  Web 框架,被跟踪为 CVE-2021-42298 Heliconia 文件:一组针对 Linux 和 Windows 的 Firefox 漏洞利用,其中一个被跟踪为 CVE-2022-26485 对于 Heliconia Noise 和 Heliconia Soft,这些漏洞最终会在受感染的设备上部署名为“agent_simple”的代理。 TAG分析了一个包含虚拟代理的框架样本,得到的结果是在运行和退出的情况下未执行任何恶意代码,认为该框架的客户提供了他们自己的代理,或者是谷歌没有权限访问整个框架。 尽管没有证据表明目标安全漏洞被积极利用,并且谷歌、Mozilla 和微软在 2021 年和 2022 年初修补了这些漏洞,但TAG 表示这些漏洞很可能在野外被用作零日漏洞。 对间谍软件供应商的跟踪 TAG 属于谷歌旗下的安全专家团队,专注于保护谷歌用户免受国家支持的网络攻击,但团队也跟踪了数十家从事间谍或监视服务的公司。 2022年6 月,TAG 注意到意大利间谍软件供应商 RCS Labs在一些互联网服务提供商 (ISP) 的帮助下,在意大利和哈萨克斯坦的 Android 和 iOS 用户的设备上部署了商业监控工具。期间,目标用户被提示安装伪装成合法移动运营商应用的监控软件。 最近,TAG 揭露了另一场监视活动,受国家支持的攻击者利用五个零日漏洞,在目标设备上安装商业间谍软件开发商 Cytrox 开发的 Predator 间谍软件。 TAG表示,间谍软件行业的发展使用户处于危险之中,并降低了互联网的安全性,虽然根据国家或国际法律,监控技术可能是合法的,但它们经常以有害的方式被用来对一系列群体进行数字间谍活动。 转自 Freebuf,原文链接:https://www.freebuf.com/news/351256.html 封面来源于网络,如有侵权请联系删除