内容转载

= ̄ω ̄= 内容转载

日本制药巨头遭勒索攻击:内部系统被迫大面积断网 运营受影响

国际制药巨头卫材(Eisai)公司日前披露了一起勒索软件事件,攻击者加密了部分服务器并导致运营受到影响。 卫材公司总部位于日本东京,年收入为53亿美元,拥有1万多名员工。公司在日本、英国、美国北卡罗来纳州和马萨诸塞州等地拥有九个制造设施和15个医学研究单位。该公司开发和生产用于治疗各种癌症和化疗副作用的药物,以及抗癫痫、神经病与痴呆症的药物。 勒索软件攻击发生在周末 卫材官方网站发布的通知显示,该公司在周末遭受了到勒索软件攻击。这是攻击者发起攻击的典型时间,因为节假日期间IT团队人手不足,无法有效应对迅速变化的情况。 通知称,“日本时间6月3日星期六深夜,检测到针对卫材集团部分服务器实施加密锁定的勒索软件事件。” “我们立即执行了事件响应计划,并在网络安全合作伙伴的帮助下展开调查,同时在全公司范围内召集了工作组以快速制定响应程序。” 该公司将大量IT系统断开网络以遏制损害,并防止勒索软件蔓延至公司网络的其他部分。 卫材公司表示,受勒索攻击事件影响,该公司在日本国内外的多个系统(包括物流系统)被迫下线并停止服务,预计调查结束后才能恢复。 不过,公司网站和电子邮件仍在正常运作。 该公司立即将事件上报给了相关执法部门,并聘请外部网络安全专家协助其加快恢复速度。 卫材表示正在调查数据泄露的可能性,目前无法排除这一潜在风险。 另外,也不确定此次网络攻击对公司本财年综合收益预期的影响。 目前还没有勒索软件团伙在其勒索网站上宣布对此次攻击负责,因此肇事者身份仍然成谜。 2021年12月,卫材公司曾遭受AtomSilo勒索软件团伙(现已解散)攻击。尽管AtomSilo勒索网站现已下线,但该团伙当初曾在这里泄露过从卫材内部窃取的多个MDF和LDF数据库。 2021年AtomSilo向卫材发出的勒索说明 转自 安全内参,原文链接:https://mp.weixin.qq.com/s/MYxnSGPqP1MaiLrG5YQgow 封面来源于网络,如有侵权请联系删除

紧急安全更新: 思科和 VMware 修复关键漏洞

VMware已经发布了安全更新,以修复Aria Operations for Networks中可能导致信息泄露和远程代码执行的三个漏洞。 这三个漏洞中最关键的是一个被追踪为CVE-2023-20887的命令注入漏洞(CVSS评分:9.8),它可以让具有网络访问权限的恶意行为者实现远程代码执行。 同样被VMware修补的还有另一个反序列化漏洞(CVE-2023-20888),在CVSS评分系统中被评为9.1分,最高分是10分。 该公司在一份公告中说:拥有对VMware Aria Operations for Networks的网络访问权的的恶意行为者能够进行反序列化攻击,导致远程代码执行。 第三个安全漏洞是一个高严重度的信息披露漏洞(CVE-2023-20889,CVSS评分:8.8),可以允许具有网络访问权限的攻击者执行命令注入攻击并获得对敏感数据的访问。 这三个影响VMware Aria Operations Networks 6.x版本的漏洞已在以下版本中得到修复: 6.2、6.3、6.4、6.5.1、6.6、6.7、6.8、6.9和6.10。请及时更新。 在发出警报的同时,思科还对其Expressway系列和网真视频通信服务器(VCS)中的一个关键漏洞进行了修复,该漏洞可以允许具有管理员级别只读凭证的认证攻击者在受影响的系统上将其权限提升到具有读写凭证的管理员。 思科表示,这个特权升级漏洞(CVE-2023-20105,CVSS评分:9.6)源于对密码更改请求的不规范处理,从而允许攻击者改变系统上任何用户的密码,包括管理读写用户,然后冒充该用户。 同一产品中的第二个高危漏洞(CVE-2023-20192,CVSS评分:8.4)可以允许一个经过验证的本地攻击者执行命令和修改系统配置参数。 作为CVE-2023-20192的解决方法,思科建议用户禁止只读用户的CLI访问。目前这两个漏洞已分别在VCS 14.2.1和14.3.0版本中得到解决。 虽然没有证据表明上述任何漏洞在野外被滥用,但仍强烈建议尽快更新到安全的版本以减少潜在风险。     转自 Freebuf,原文链接:https://www.freebuf.com/news/368976.html 封面来源于网络,如有侵权请联系删除

Zellis 数据泄露已波及英国航空公司、BBC

近日,BBC 和英国航空公司均受到了薪资提供商 Zellis 遭受的数据泄露的影响。由于 Zellis 遭受网络攻击,BBC 和英国航空公司员工的个人数据已被泄露和暴露。据《镜报》报道, “Zellis 是一家总部位于英国的薪资公司,据了解受到了针对文件传输公司 MOVEit 的网络安全攻击的影响,英国航空公司也受到了影响。”“我们被告知,我们是受 Zellis 网络安全事件影响的公司之一,该事件是通过他们的第三方供应商之一MOVEit发生的,”英国航空公司发表的一份声明中写道。“Zellis 为英国数百家公司提供薪资支持服务,我们就是其中之一,我们已经通知那些个人信息被泄露的同事提供支持和建议。” “BBC意识到第三方供应商 Zellis 发生了数据泄露事件,并且正在与他们密切合作,因为他们正在紧急调查泄露的程度” BBC 的发言人说。 上周,多家安全公司报告称,威胁行为者正在积极利用Progress MOVEit Transfer文件传输产品中的零日漏洞来窃取组织数据。MOVEit Transfer 是一种托管文件传输,企业使用它通过 SFTP、SCP 和基于 HTTP 的上传安全地传输文件。 该漏洞是一个 SQL 注入漏洞,未经授权的攻击者可利用该漏洞获取对 MOVEit Transfer 数据库的未授权访问权限。 在 MOVEit Transfer Web 应用程序中发现了一个 SQL 注入漏洞,该漏洞可能允许未经身份验证的攻击者获得对 MOVEit Transfer 数据库的未授权访问权限。根据所使用的数据库引擎(MySQL、Microsoft SQL Server 或 Azure SQL),攻击者除了执行更改或删除数据库元素的 SQL 语句外,还可能推断出有关数据库结构和内容的信息。 该漏洞影响所有MOVEit Transfer版本,不影响云版本产品。该公司还分享了此次攻击的妥协指标 (IoC),并敦促注意到任何指标的客户立即 联系 其安全和 IT 团队。到5月31日,Rapid7专家发现了大约 2,500 个可在互联网上公开访问的 MOVEit Transfer 实例 ,其中很大一部分位于美国。   “到目前为止,我们的团队已经在多个客户环境中观察到相同的 webshell 名称,这可能表明存在自动利用。” 报告了 Rapid7。该公司使用薪资处理商 Zellis 管理的 MOVEit Transfer 实例与数十家公司交换文件,这意味着受影响的公司数量可能很大。Zellis 的客户之一、英国保健和美容零售商及药店连锁店 Boots 也证实受到了此次袭击的影响。该公司尚未确定受影响员工的人数。另一家受影响的公司是爱尔兰航空公司,该公司确认“我们的一些现任和前任员工数据”已被披露。 最新消息,Zellis 在其网站上发表了以下声明: “我们可以确认我们的一小部分客户受到了这一全球性问题的影响,我们正在积极努力为他们提供支持。Zellis 拥有的所有软件均未受影响。通常我们一旦意识到这一事件,我们会立即采取行动,断开使用 MOVEit 软件的服务器,并聘请专家外部安全事件响应团队协助进行取证分析和持续监控。此外,我们还通知了英国和爱尔兰的 ICO、DPC 和 NCSC。我们在所有服务中都采用了强大的安全流程,它们都将继续正常运行。” 该公司已经向英国和爱尔兰共和国的数据保护监管机构和网络安全机构报告了安全漏洞。     转自 E安全,原文链接:https://mp.weixin.qq.com/s/AwMInSOh_MfhK-5_51Ry9A 封面来源于网络,如有侵权请联系删除

2000 万美元!微软为侵犯儿童隐私买单

Bleeping Computer 网站消息,微软同意支付 2000 万美元罚款并改变儿童数据隐私程序,以解决联邦贸易委员会(FTC)对其违反《儿童在线隐私保护法》(COPPA)的指控。 COPPA 是一项美国联邦通用法律,主要针对在线收集 13 岁以下儿童个人信息的行为,规定网站管理者要遵守隐私规则,必须说明何时和如何以一种可以验证的方式向儿童家长索求同意,并且网站管理者必须保护儿童在线隐私和安全。 微软未经家长允许,收集儿童隐私数据 根据消费者保护机构的说法,微软在未征得父母同意甚至未通知他们的情况下,收集并保留了注册 Xbox Live 服务儿童的个人信息。邦贸易委员会表示在 2015 年至 2020 年间,微软将儿童数据存储在其服务器中数年。 法庭文件显示,从 2017 年 1 月到 2021 年 12 月,大约 21.8 万名美国 Xbox 主机用户通过出生日期创建了微软账户,但是这些出生日期在注册时大都小于 13 岁。联邦贸易委员会声称微软没有采取立法建议的适当行动,阻止未成年人注册,此举违反了多个法律条款。 FTC 新闻稿中指出即使用户表明了他们未满 13 岁,但也被要求提供包括电话号码在内的个人信息,并同意微软的服务协议和广告政策,其中包括一个预先勾选的方框,允许微软发送促销信息,并与广告商分享用户数据。 对于微软收集儿童个人信息一事,联邦贸易委员会除对其罚款外,还提出了微软必须采取有力措施,以确保自身经营遵守 COPPA 的相关规定。尽管微软和 FTC 都同意处罚方案,但最终的结果仍有待法院批准。 微软必须实施以下措施: 为儿童创建一个单独的帐户,告知家长额外的隐私保护; 如果账户持有人仍是儿童,则在 2021 年 5 月之前创建的账户应获得家长同意; 如果不再需要提供指定原始集合的服务,请删除受 COPPA 保护用户的所有个人数据,删除未经父母同意而收集的存储在其系统上的所有用户数据; 自收集之日起,两周内删除受 COPPA 保护的用户数据; 将 COPPA 保护扩展到从微软接收用户数据的第三方游戏发行商; 如果为创建头像而收集的生物特征和健康信息与个人身份信息相结合,则将 COPPA 保护扩展到这些信息。 值得一提的是,美国联邦贸易委员会近期一再强调科技公司应遵守数据隐私法规的重要性,尤其是那些处理敏感未成年用户数据的公司。上周,美国联邦贸易委员会对亚马逊处以 2500 万美元的罚款,原因是亚马逊无视家长删除孩子数据的请求,并继续使用敏感用户信息来训练机器学习算法。       转自 Freebuf,原文链接:https://www.freebuf.com/news/368861.html 封面来源于网络,如有侵权请联系删除

美国航空航天国防工业遭严重恶意软件攻击

来自Adlumin威胁研究的研究人员发现了一个新的恶意PowerShell脚本,被称为PowerDrop,被用于针对美国航空航天领域的组织的攻击。 这种基于PowerShell的恶意软件使用先进的技术来躲避检测,包括欺骗、编码和加密。 Adlumin在发表的分析报告中说:目前尚不确定该恶意软件背后的攻击者,但介于俄乌战争仍在持续且NASA一直在增加导弹发射的研发,所以攻击者可能是带有民族倾向的。 研究人员于2023年5月在一家国内航空航天国防承包商的网络中发现了PowerDrop into。 这个名字来自Windows PowerShell工具,Drop来自代码中用于填充的DROP(DRP)字符串。 该恶意软件被用来在受感染的系统上远程执行命令,并从目标网络收集信息。恶意脚本向C2发送互联网控制消息协议(ICMP)回波请求消息,而C2则回复类似的ICMP ping以进行数据渗透。 报告还说道:使用PowerShell进行远程访问并不新鲜,基于WMI的PowerShell脚本的持久性或ICMP触发也不新鲜,但这种恶意软件的新颖之处在于,以前没有出现过类似的代码,它跨越了认知。 Adlumin建议航空航天国防工业的组织对PowerDrop保持警惕。该公司也敦促在Windows系统的核心运行漏洞扫描,寻找从其网络到外部的异常ping活动。     转自 Freebuf,原文链接:https://www.freebuf.com/news/368892.html 封面来源于网络,如有侵权请联系删除

卡巴斯基发布 iPhone 恶意软件扫描工具

网络安全公司卡巴斯基近日发布了一种工具,可以检测苹果iPhone和其他iOS设备是否感染了一种新的“三角测量”(Operation Triangulation)恶意软件。 这种恶意软件是由卡巴斯基在自己的公司网络中发现的,报告称至少自2019年以来,该恶意软件已经在全球范围内感染了多台iOS设备。 尽管恶意软件分析仍在进行中,但卡巴斯基透露,“三角测量”恶意软件活动使用iMessage上未知的零日漏洞利用来执行代码,无需用户交互和提升权限(零点击)。 这允许攻击者将更多有效载荷下载到设备以进一步执行命令和收集信息。 值得注意的是,俄罗斯情报和安全部门FSB将该恶意软件与高级政府官员和外国外交官的手机感染关联起来。 在最初的报告中,卡巴斯基提供了很多关于使用移动验证工具包(MVT)手动检查iOS设备备份以寻找潜在恶意软件危害指标的详细信息。 因为Apple的各种安全机制(沙盒、数据加密、代码签名)会阻止实时系统分析,卡巴斯基提供的工具智能对iOS设备的(iTunes)备份文件进行分析。 随后,卡巴斯基发布了一款适用于Windows和Linux的更易用的iOS设备自动化扫描工具。     转自 GoUpSec,原文链接:https://mp.weixin.qq.com/s/pvkSAPPJ5nQXx8buUa3-jw 封面来源于网络,如有侵权请联系删除

超 6 万款 Android 应用暗藏可能被恶意利用的广告软件

知名安全厂商Bitdefender 发布的一份报告称,他们在过去6个月中发现了 6万款不同类型的 Android 应用秘密地嵌入了广告软件安全程序。 报告指出,经分析,该活动旨在将广告软件传播到用户的Android系统设备,以此来增加收入。然而,网络攻击者可以轻松地改变策略,将用户重定向到其他类型的恶意软件,如针对银行账户的窃取程序。 据统计,该广告软件主要针对美国用户(55.27%),其次是韩国(9.8%)、巴西(5.96%)和德国(2.93%)。大量独特样本表明,有人设计了一个自动化过程来创建带有恶意软件的应用程序,通过仿冒游戏破解程序、免费 VPN、Netflix 虚假教程、无广告版YouTube/TikTok以及虚假的安全程序来分发。 广告软件活动的国家分布 偷偷安装以逃避检测 这些应用程序托管在第三方网站上,研究人员没有在 Google Play 的应用程序中发现相同的广告软件。访问这些网站时,用户将被重定向到这些应用的下载站点,当用户安装这些应用程序后,并不会将自身配置为自动运行,因为这需要额外的权限。相反,它依赖于正常的 Android 应用程序安装流程,该流程会提示用户在安装后“打开”应用程序。 此外,这些应用程序不会显示图标,并在应用程序标签中使用 UTF-8 字符,因此更难被发现。这是一把双刃剑,因为这也意味着如果用户在安装后不启动该应用程序,则该应用程序很可能不会在安装后启动。 如果启动,该应用程序将显示一条错误消息,指出“应用程序在您所在的地区不可用。点击确定卸载。”但实际上,应用程序并没有被卸载,而只是在注册两个意图(Intent)之前进行了休眠,这两个意图可让应用程序在设备启动或设备解锁时开始运作。Bitdefender 表示后一种意图在前两天被禁用,可能是为了逃避用户的检测。 注册启动广告程序的 Android 意图 启动后,该应用程序将连接到运营方的服务器并检索要在移动浏览器中显示或作为全屏 WebView 广告显示的广告链接。 Android 设备是恶意软件开发人员的高度攻击目标,因为用户能够在不受 Google Play 商店保护之外的其他地方安装应用程序。但目前,即便在Google Play 中也未必安全。近期,来自 Dr. Web 和 CloudSEK 的研究人员发现,恶意间谍软件 SDK  通过 Google Play 上的应用程序在 Android 设备上竟安装了超过 4 亿次。 虽然 Google Play 仍然有恶意应用程序,但从官方商店安装 Android 应用程序总体还是要安全得多,强烈建议用户不要从第三方站点安装任何 Android 应用程序,因为它们是恶意软件的常见载体。     转自 Freebuf,原文链接:https://www.freebuf.com/news/368848.html 封面来源于网络,如有侵权请联系删除

Google 删除了 32 个恶意 Chrome 扩展程序 安装量达 7500 万次

不仅仅是 Play 商店,Google还需要及时处理偷偷绕过其安全措施的恶意软件。 该公司刚刚从 Chrome 网上应用店中删除了 32 个恶意扩展程序,这些扩展程序的总安装次数似乎已达到 7500 万次。 据BleepingComputer 报道,在这些情况下,扩展程序通常会通过执行其预期功能来向用户隐藏其隐藏代码。 网络安全研究员 Wladimir Palant 此前写道,他在Google浏览器的 PDF 工具箱扩展中发现了混淆代码,该浏览器的 Chrome 网上商店评分为 4.2,用户超过 200 万。 Palant 写道,该代码允许“serasearchtop[.]com”网站向该扩展用户访问的所有网站注入任意 JavaScript 代码。 他解释说,该代码旨在在安装扩展后 24 小时激活,其可能的目的是注入广告。 在 PDF Toolbox 扩展中发现代码几周后,Palant 在后续文章中写道,他发现了 18 个使用类似代码的恶意浏览器扩展。 他们的用户总数为 5500 万,其中包括 Autoskip for YouTube(900 万活跃用户)、Soundboost(690 万)和 Crystal Ad block(680 万)。 在确认这些扩展包含恶意代码后,Avast 向 Google 报告了这些扩展。 这家网络安全巨头发现了其他类似的扩展,使总数达到 32 个,安装次数达到 7500 万。 虽然这个数字高得惊人,但安装数量可能被人为夸大了。 该理论基于 Chrome 网上应用店上可疑的低评论数量以及遇到恶意活动的人数与安装数量不一致的事实。 Avast 确认扩展程序的最终有效负载似乎是向人们发送不需要的广告的垃圾邮件的广告软件,以及显示赞助商链接、付费搜索结果和潜在恶意链接的搜索结果劫持者。 Google表示,报告的扩展程序现已从 Chrome 商店中删除。 任何仍然安装了扩展程序的人都应该停用或卸载它们。     转自 cnBeta,原文链接:https://www.toutiao.com/article/7241167930732347904/ 封面来源于网络,如有侵权请联系删除

技嘉推出 BIOS 更新 删除主板上包含安全隐患的后门

台湾电脑组件制造商技嘉公司宣布了BIOS更新,旨在消除最近在其数百块主板中发现的后门功能。固件和硬件安全公司Eclypsium上周披露的问题是,270多块技嘉主板的固件会在开机时执行一个Windows二进制文件,以从技嘉的服务器上获取和执行一个载荷。 作为一个与技嘉应用中心有关的功能,该后门似乎没有被用于恶意目的,但众所周知,威胁者在以前的攻击中曾滥用过这种工具。 当Eclypsium公开其发现时,它说目前还不清楚该后门是由恶意的内部人员、技嘉的服务器被破坏还是供应链攻击造成的。在Eclypsium发表报告后不久,技嘉公司宣布发布BIOS更新,解决该漏洞。 “技嘉的工程师已经减轻了潜在的风险,在对技嘉主板上的新BIOS进行全面测试和验证后,将英特尔700/600和AMD500/400系列Beta BIOS上传到了官方网站,”该公司在上周末宣布。 英特尔500/400和AMD 600系列芯片组主板以及之前发布的主板的BIOS更新也将在上周末发布。 该更新解决了”Eclypsium报告的下载助手漏洞”,A520 Aorus Elite rev 1.0主板可用的最新BIOS的发布说明中提到。该更新在系统启动时实施了更严格的安全检查,包括改进了对从远程服务器下载的文件的验证和对远程服务器证书的标准验证。 该公司表示,新的安全增强措施应能防止攻击者在启动过程中插入恶意代码,并应保证在此过程中下载的任何文件来自具有有效和可信证书的服务器。 机构和终端用户都应该查看Eclypsium列出的270多个受影响的主板型号,如果受到影响,应该前往技嘉的支持网站,检查并下载2023年6月1日之后发布的任何BIOS更新。     转自 cnBeta,原文链接:https://www.toutiao.com/article/7241417883329397307/ 封面来源于网络,如有侵权请联系删除

NASA 网站曝严重漏洞,或将沦为黑客钓鱼网站

美国国家航空航天局(NASA)天体生物学专用网站存在一个严重的安全漏洞,可能通过伪装带有NASA名称的危险URL来诱骗用户访问恶意网站。 太空旅行无疑是危险的。然而,在访问NASA网站的时候也有可能如此。Cybernews研究团队发现了一个NASA天体生物学网站的开放式重定向漏洞。 经过研究人员的调查,早在几个月前(2023年1月14日)已经有研究人员通过漏洞赏金计划发现并报告该漏洞,但该机构没有处理和修复。 攻击者可以利用这个漏洞将任何人重定向到恶意网站,从而获取他们的登录凭证、信用卡号码或其他敏感数据。 自4月初以来,Cybernews研究团队已多次联系美国国家航空航天局,截止到今天尚未收到任何答复。 什么是开放式重定向漏洞? 开放式重定向漏洞简单来说就像是一个假冒的出租车司机。例如你叫了一辆出租车并告诉司机你想去哪里,但是他并没有把你送到目的地,而是把你带到另一个地方。 同样,试图访问 astrobiology.nasa.gov 的用户可能就被重定向进入了一个恶意的网站。通常情况下,网络应用程序会验证用户提供的输入,如URL或参数,以防止恶意重定向的发生。 网络新闻研究人员解释说:攻击者可以利用该漏洞,通过将恶意网址伪装成合法网址,诱使用户访问恶意网站或钓鱼网页。 为什么开放式重定向漏洞是危险的? 攻击者可以用额外的参数修改NASA的网站,将用户引导到他们选择的地方。重新跳转的网站甚至可能类似于NASA的页面,只是在其中加入要求输入信用卡数据的提示。 此外,攻击者可以利用开放的重定向漏洞,引导用户进入网站,在登陆后立即将恶意软件下载到他们的电脑或移动设备上。 另一种利用该漏洞的方式是通过将用户重定向到展示低质量内容或垃圾邮件的网站来控制搜索引擎的排名。 虽然我们没有确认是否有人真正利用了NASA网站的这个漏洞,但是事实上这个漏洞已经暴露了几个月。 如何减轻开放式重定向漏洞的影响? 利用开放式重定向漏洞可以使恶意行为者进行网络钓鱼攻击,窃取凭证并传播恶意软件。 为了避免此类事故,Cybernews研究团队强烈建议网站验证所有用户输入,包括URL。 研究人员解释说:这可能包括使用正则表达式来验证URL的正确格式,检查URL是否来自受信任的域,并验证URL不包含任何额外或恶意的字符。 为了防止恶意字符被注入URLs,网站管理员还可以使用URL编码。同时,网站所有者可以创建一个可信URL的白名单,只允许重定向到这些URL。防止攻击者将用户重定向到恶意的或未经授权的网站。     转自 Freebuf,原文链接:https://www.freebuf.com/news/368750.html 封面来源于网络,如有侵权请联系删除