内容转载

= ̄ω ̄= 内容转载

StrongPity 黑客分发带有后门的应用程序以瞄准 Android 用户

名为StrongPity的高级持续性攻击 (APT) 组织通过一个冒充名为Shagle的视频聊天服务的虚假网站,以木马化版本的 Telegram 应用程序瞄准 Android 用户。 “一个模仿 Shagle 服务的山寨网站被用来分发 StrongPity 的移动后门应用程序,”ESET 恶意软件研究员 Lukáš Štefanko在一份技术报告中说。“该应用程序是开源 Telegram 应用程序的修改版本,使用 StrongPity 后门代码重新打包。” StrongPity,也被称为 APT-C-41 和 Promethium,是一个从 2012 年开始活跃的网络间谍组织,其大部分行动集中在叙利亚和土耳其。卡巴斯基于 2016 年 10 月首次公开报告了该组织的存在。 此后,该组织的活动范围扩大到涵盖非洲、亚洲、欧洲和北美的更多目标,入侵利用水坑攻击和网络钓鱼来激活杀伤链。 StrongPity 的主要特征之一是它使用假冒网站,这些网站声称提供各种软件工具,只是为了诱骗受害者下载受感染的应用程序版本。 2021 年 12 月,Minerva Labs披露了一个三阶段攻击序列,该序列源于看似良性的 Notepad++ 安装文件,安装后将后门上传到受感染的主机上。 同年,专家观察到StrongPity 首次部署了一款 Android 恶意软件,它能够入侵叙利亚电子政府门户网站并将官方 Android APK 文件替换为流氓文件。 ESET 的最新发现突出了一种类似的作案手法,该作案手法旨在分发更新版本的 Android 后门有效荷载,该后门有效荷载能够记录电话呼叫、跟踪设备位置并收集 SMS 消息、通话记录、联系人列表和文件。 此外,授权恶意软件可访问权限使其能够从各种应用程序(如 Gmail、Instagram、Kik、LINE、Messenger、Skype、Snapchat、Telegram、Tinder、Twitter、Viber 和微信)中窃取信息。 此次后门功能隐藏在 2022 年 2 月 25 日左右可供下载的合法版本的 Telegram Android 应用程序中。也就是说,虚假的 Shagle 网站目前不再活跃。 也没有证据表明该应用程序已在官方 Google Play 商店中发布。目前尚不清楚潜在受害者是如何被引诱到假冒网站的。 Štefanko 指出:“恶意域名是在同一天注册的,因此山寨网站和假冒的 Shagle 应用程序可能从那天起就可以下载了。” 攻击的另一个值得注意的方面是 Telegram 的篡改版本使用与正版 Telegram 应用程序包名称相同,这意味着后门变体无法安装在已经安装 Telegram 的设备上。 Štefanko 说:“这可能意味攻击者首先诱导受害者,并迫使他们从设备上卸载 Telegram(如果安装了 Telegram),或者该活动的重点是很少使用 Telegram 进行通信的国家。”     转自 Freebuf,原文链接:https://www.freebuf.com/news/354887.html 封面来源于网络,如有侵权请联系删除

研究发现用智能手机攻击负压室可能释放致命的微生物

加州大学欧文分校的一个研究小组发现,医院和实验室用于防止致命病原体传播的负压室,可以被攻击者用智能手机破坏。这些房间的设计是为了防止外部区域暴露在有害微生物中。根据UCI网络物理系统安全专家的说法,他们最近在计算机和通信安全会议上分享了他们的发现,控制进出生物隔离设施的气流的机制可以被一种特定频率的声音欺骗,使其不规则地运作,甚至可能是偷偷地塞进一首流行歌曲。 高级合著者、UCI电气工程和计算机科学教授Mohammad Al Faruque说:”有人可以在他们的智能手机上播放一段音乐,或者让它从负压室或附近的电视或其他音频设备上传输。如果该音乐嵌入了与这些空间之一的压力控制的共振频率相匹配的音调,它可能会导致故障和致命微生物的泄漏。” 供暖、通风和空调基础设施维持着新鲜空气进入和被污染的空气离开特定空间的流动。科学设施中的暖通空调系统通常包括房间压力监测器(DPS),它反过来利用差压传感器来比较房间内外的。 研究人员说,常用的DPS很容易被远程操纵,对生物安全设施构成了以前未曾实现的威胁。他们在五个制造商的八个行业标准DPS上测试了他们的假设,证明所有的设备都在可听范围内以谐振频率运行,因此会受到篡改。 “当声波与DPS内部的膜片碰撞时,它开始以相同的频率振动,”主要作者、UCI电气工程和计算机科学博士候选人阿诺玛达西-巴鲁阿说。”知情的攻击者可以利用这种技术人为地使隔膜移位,改变压力读数,导致整个系统发生故障。” 他说,攻击者可以通过各种方式挫败负压室系统。他们可以通过无线方式操纵它们,或者冒充维修人员在这种房间内或附近放置一个音频设备。”Barua说:”一种更复杂的攻击可能涉及犯罪者在生物防护设施中安装DPS之前将声音发射技术嵌入其中。” 在他们的会议报告中,研究人员提出了几个对策,以防止对生物安全设施的音乐攻击,通过将DPS端口的采样管加长至7米,可以实现声音的减弱。该团队还提议将压力端口封闭在一个箱状结构中。Barua说,这两种措施都会降低DPS的灵敏度。 Al Faruque说,这个研究项目证明了嵌入式系统在随机攻击面前的脆弱性,但他强调,只要稍加计划和深思熟虑,就可以加固设施,防止破坏。   转自 cnBeta,原文链接:https://www.toutiao.com/article/7187071943290389027/ 封面来源于网络,如有侵权请联系删除

旧金山湾区地铁遭勒索攻击,轨交业已成黑客攻击重灾区

在被勒索软件团伙公开列入“已勒索”名单后,旧金山湾区城轨交通系统(BART)开始对这起疑似勒索事件开展调查。 作为美国第五繁忙的重轨快速交通系统,BART在1月6日被列入Vice Society勒索软件团伙的泄密网站上。BART首席通讯官Alicia Trost表示,他们正在调查该团伙窃取和发布的数据。 她称,“需要明确的是,BART的服务或内部业务系统并未受到影响。与其他政府机构一样,我们正采取一切必要的防范措施加以应对。” 轨交业已成为黑客攻击重灾区 近年来,轨道交通行业已成网络攻击重灾区。2021年4月,作为全球最大交通系统之一,纽约市大都会运输署遭到某个黑客团伙攻击。 虽然这次攻击并未造成任何损害,也没有令乘客身陷险境,但市政官员在报告中仍发出警告,称攻击者可能已经触及关键系统、也许在其中埋设了后门。 同月,圣克拉丽塔谷运输署遭到勒索软件攻击;2020年,宾夕法尼亚州东南部运输署也受到勒索软件侵扰。 就在上周,全球最大铁路和机车企业之一Wabtec公布消息,称去年夏季的疑似勒索软件攻击已经引发一起涉及大量员工的数据泄露。 美国国土安全部长Alejandro Mayorkas去年宣布了针对铁路运营商的网络安全新规,要求各运营商强制披露黑客攻击、制定网络攻击恢复计划,并任命一位首席网络官员。该规定已经于去年12月到期。 Vice Society勒索软件团伙凭借对大学及K-12基础教育学校的攻击活动震动全世界,其中包括美国第二大公立学区和英国的多所学校。 FBI、网络安全和基础设施安全局(CISA)等多家机构曾在去年9月的警告中指出,Vice Society在过去一年内“以超高比例”攻击了数十家教育机构,并在2022年秋季进一步上调了攻击级别。 但根据微软去年10月发布的一份报告,该团伙也“仍在关注安全控制力较弱、易于入侵且支付赎金可能性较高的组织”。     转自 安全内参,原文链接:https://www.secrss.com/articles/50929 封面来源于网络,如有侵权请联系删除

美国土安全部研究下一代网络安全分析平台

美国国土安全部科学技术局(S&T)与网络安全和基础设施安全局(CISA)启动了一个项目,旨在建立下一代分析生态系统,以应对不断发展的网络威胁并保护基础设施免受网络攻击。 科学技术局负责领导CISA机器学习高级分析平台(CAP-M)项目。该平台将为CISA用户提供多云协作研究环境,利用跨各类网络数据源的分析技术来改进决策和态势感知,从而支持网络和基础设施安全任务。 科学技术局与CISA将就CAP-M在数据分析和关联方面开展实验,以促进对网络威胁的响应能力,并与政府、学术界和行业合作伙伴分享经验教训。 根据CISA发布的情况说明书,CAP-M项目的专门研究计划将涵盖生态系统、工具/技术方法、以及自动化机器学习循环。具体来说: 生态系统:研究多云“沙箱”原型,打造CISA用户的下一代培训环境; 工具/技术方法:研究高级数据分析方法和工具,特别是人工智能和机器学习(AI/ML)能力; 自动化机器学习循环(Loop):构建并自动化机器学习循环,然后通过循环自动化执行工作流(如导出、调整数据)。 情况说明书中提到,“在完全实现后,CAP-M将包含多云环境与多种数据结构、一个促进跨CISA数据集访问的逻辑数据仓库,以及一套用于对供应商解决方案开展实际测试的类生产环境。”   转自 安全内参,原文链接:https://www.secrss.com/articles/50881 封面来源于网络,如有侵权请联系删除

微软将于本周二结束 Windows 7 扩展安全更新

从本周二开始,微软将不再为专业版和企业版的Windows 7提供扩展安全更新。与此同时,雷德蒙公司鼓励Windows 7设备用户升级到更高的Windows操作系统版本,特别是Windows 11,尽管它在市场表现上仍然落后于老的Windows 10系统。 2009年10月,微软推出了Windows7,后来分别在2015年1月和2020年1月达到其支持结束和延长支持结束的日期。这促使希望停留在Windows 7的用户转向微软的扩展安全更新(ESU)计划。然而,这一计划的更新也将于1月10日星期二结束,与Windows 8.1的EOS时间节点一致。 微软建议那些将受到影响的人升级他们的系统或设备。微软的支持页面说,目前的Windows 7设备所有者可以通过购买和安装其完整版本升级到Windows 10。它还强调,虽然Windows 10是一个快速的解决方案,但Windows 11显然是一个更理想的选择,因为Windows 10在达到其支持期限之前也只剩下三年时间。 “大多数Windows 7设备将不符合升级到Windows 11的硬件要求,作为替代方案,兼容的Windows 7电脑可以通过购买和安装完整版本的软件升级到Windows 10,”微软在其页面上说。”在投资于Windows 10升级之前,请考虑到Windows 10将于2025年10月14日达到其支持期限。” 虽然升级到Windows 11意味着购买新的电脑,但微软向Windows 7机器用户解释了拥有更先进硬件组件的现代设备的好处。 “为了保持Microsoft 365的可靠性和稳定性,我们强烈建议你利用最新的硬件功能,转而购买装有Windows 11的新电脑,”微软解释说。”自十年前Windows 7首次发布以来,个人电脑已经发生了很大变化。今天的电脑更快、更强大、更时尚,而且它们已经安装了Windows 11。” 此举反映了微软不断致力于提升最新Windows操作系统的Windows桌面市场份额。目前,Windows 11占整个Windows桌面市场份额的68.01%,而Windows 10的总份额只有16.93%。     转自 cnBeta,原文链接:https://www.toutiao.com/article/7186546121320333884 封面来源于网络,如有侵权请联系删除

为逃避追捕,暗网毒品市场开始使用定制化安卓应用

据BleepingComputer消息,在暗网上销售毒品和其他非法商品的在线市场已经开始使用定制的安卓应用程序来增加隐私,并逃避警方的追捕。 Resecurity 的分析师大概在 2022 年第三季度初观察到了这一新趋势,认为是对去年备受瞩目的暗网市场打击行动、尤其是针对Hydra行动的回应。Hydra曾是暗网最大的“黑市”之一,主要涉及大量非法毒品交易,在全球拥有 19000 名注册卖家和 1700 万客户。2022 年 4 月,由德国主导的一次联合执法行动彻底查封了Hydra服务器,该市场宣告瓦解。 也正因为如此,其他一些小众市场开始瓜分Hydra的用户群体,Resecurity注意到7个此类安卓应用程序,分别是Yakudza、TomFord24、24Deluxe、PNTS32、Flakka24、24Cana和MapSTGK。这些应用程序都使用相同的 M-Club CMS 引擎构建,因此它们可能源自同一开发者。 Resecurity 在报告中提到,这些安卓移动应用程序能够传输有关毒品订单的详细信息,还可以发送运输者留下的毒品包裹的地理坐标,以方便取件。为了防止被索引,此类信息以图像的形式传输,[…] 注释则可能包含包裹埋藏在地下的深度或任何其他可用的详细信息。 包裹埋藏地点的详细信息 (Resecurity)   当这种信息交换发生在几个不同的应用程序上时,会造成信息碎片化,给执法部门的追捕造成一定阻碍。Resecurity 认为,2023年会有越来越多的地下市场采用安卓应用程序,以逐渐取代有隐私风险的论坛和开放市场平台。   转自 Freebuf,原文链接:https://www.freebuf.com/articles/354768.html 封面来源于网络,如有侵权请联系删除

高通骁龙通告 22 个安全漏洞,联想、微软和三星设备受影响

高通公司 2023 年 1 月的安全公告解决了其骁龙套件中的 22 个软件漏洞。固件保护公司Binarly的efiXplorer团队,OPPO琥珀安全实验室的Zinuo Han,IceSword Lab的Gengjia Chen,研究人员nicolas(nicolas1993),STEALIEN的Seonung Jang和百度安全的Le Wu报告了一些漏洞。 以下是公司解决的最严重漏洞报告: 最严重的缺陷是跟踪为 CVE-2022-33219 的汽车缓冲区溢出的整数溢出(CVSS 得分 9.3)。“汽车中的内存损坏是由于整数溢出到缓冲区溢出,同时向共享缓冲区注册新侦听器。 高通公司修复的另外两个严重问题是: CVE-2022-33218(CVSS 得分 8.2) – 该漏洞是由于输入验证不当而导致的汽车内存损坏。 CVE-2022-33265(CVSS 得分 7.3)– 该漏洞是电力线通信固件中的信息暴露。 这些漏洞影响了使用联想,微软和三星制造的Snapdragon芯片组的笔记本电脑和其他设备。 联想发布安全更新 1月3日,Lenovo(联想)发布安全更新,修复了ThinkPad X13s BIOS中的多个安全漏洞,本地用户可利用这些漏洞导致内存损坏或敏感信息泄露。 本次ThinkPad X13s BIOS更新中共修复了如下漏洞: CVE-ID 类型 评分 受影响产品/组件 描述 CVE-2022-40516 基于堆栈的缓冲区溢出导致内存损坏 8.4 Qualcomm BIOS 本地用户可利用这些漏洞导致内存损坏、拒绝服务或任意代码执行。 CVE-2022-40517 CVE-2022-40520 CVE-2022-40518 缓冲区过度读取 6.8 Qualcomm BIOS 本地用户可利用这些漏洞导致信息泄露。 CVE-2022-40519 CVE-2022-4432、CVE-2022-4433、CVE-2022-4434、CVE-2022-4435 缓冲区过度读取 None ThinkPad X13s BIOS 本地用户可利用这些漏洞导致信息泄露。 影响范围 ThinkPad X13s BIOS 版本<1.47 (N3HET75W) 目前这些漏洞已经修复,Lenovo ThinkPad X13s用户可将BIOS更新到1.47 (N3HET75W)版本。   转自 Freebuf,原文链接:https://www.freebuf.com/news/354778.html 封面来源于网络,如有侵权请联系删除

巴尔干地区紧张局势下,塞尔维亚政府机构遭 DDoS 攻击

The Record 网站披露,塞尔维亚政府宣布其内政部网站和 IT 基础设施遭遇了几次“大规模 ”分布式拒绝服务(DDoS)攻击。 塞尔维亚首都贝尔格莱德在声明中表示,政府安全专家和塞尔维亚电信公司(Telekom Srbija)的工作人员有能力对抗此次网络攻击,旨在使内政部 IT 基础设施瘫痪的五次大型 DDoS 攻击目前已经被“击退”。 此外,塞尔维亚政府补充强调,强化的安全协议已经启动,虽然此举可能会导致某些服务间歇性中断,政府工作效率降低,但这一切都是为了保护内政部的数据安全。 DDoS 攻击“引向”俄乌冲突 值得一提的是,不同于以往网络攻击事件发生后,立刻会有黑客组织“站出来”为此负责,但目前还没任何黑客团体站出来对塞尔维亚内政部 DDoS 攻击事件负责。 众所周知,DDoS 攻击是短时间内通过向目标网站注入大量垃圾流量,使其无法访问。在俄乌冲突中,俄罗斯和乌克兰双方支持的黑客团体之间,进行了一系列的 DDoS 攻击活动。 目前,巴尔干地区紧张局势加剧,科索沃北部的塞族人与阿尔巴尼亚族当局发生了暴力冲突。科索沃总理曾阿尔宾·库尔蒂曾指责外部势力试图煽动族裔,制造紧张局势。 DDoS 攻击事件背后的政治环境 塞尔维亚领导人武契奇曾表示,北约领导的维和科索沃部队(KFOR)拒绝允许其根据联合国安理会决议赋予的权力,向该领土部署 1000 名军事和警察人员以应对最近的冲突。 此次部署军警是自南斯拉夫战争结束以来,塞尔维亚第一次提出部署部队,在此之前,科索沃安全部队的一名成员因涉嫌在下班后开枪打伤两名 11 岁和 21 岁的年轻塞族人而被捕。 最后,塞尔维亚国防部长表示,塞尔维亚武装部队已经在 12 月底进入 了 “最高级别的战备状态。   转自 Freebuf,原文链接:https://www.freebuf.com/news/354790.html 封面来源于网络,如有侵权请联系删除

突破太空网络安全!航天器关键技术爆严重漏洞

当美国航空航天局(NASA)需要两部在轨航天器保持相对静止并完成对接时,时机的把握至关重要。二者的运行必须彼此精确同步,才能防止发生灾难性故障。这意味着负责控制其推进器的计算机网络绝不能有哪怕一瞬间的中断,必须保证每次都能按时交付关于何时/如何移动的明确指示。 宾夕法尼亚大学工程学院计算机与信息科学系副教授Linh Thi Xuan Phan与密歇根大学、NASA的一组研究人员合作,发现了该系统及其他安全关键系统所使用的网络技术中,存在一个严重漏洞“PCspooF”。 这种网络技术被称为“时间触发以太网”,简称TTE,已在航空、航天和重工业领域应用了十多年。在这类场景下,会有多种不同类型的信息持续在计算机网络中传播,但并非所有信息都需要相同级别的计时精度。时间触发以太网能确保最关键的信号获得优先权,因此无需单独部署专用的网络硬件。 对于NASA来说,通过时间触发以太网在同一物理网络上传输多种类型的信号显得尤其重要,因为它必须精打细算航天器的每一克重量。而此次研究结果表明,时间触发以太网的安全保证效果可能因电磁干扰而受到损害。对高优先级信号的计时干扰,足以导致模拟对接程序出现严重故障。   图:PCspooF漏洞攻击过程概述 Phan教授与密歇根大学的Andrew Loveless、Ronald Dreslinski以及Baris Kasikci,共同在2023年IEEE安全与隐私研讨会的论文集上发表了这一发现。 在NASA约翰逊航天中心工作期间,Loveless开始利用模拟数据调查这一潜在安全漏洞。他和密歇根大学的同事们还聘请网络物理系统安全专家Phan来研究时间触发以太网的网络硬件的自身缺陷。 结果表明,低优先级信号的发送方式可以使负责消息传输的以太网线缆产生电磁干扰,进而让恶意消息顺利通过原本会阻止它们的交换机。 Phan表示,“时间触发以太网技术在关键系统中被广泛应用,因为能保证两种类型的信号不会相互干扰。但如果这一假设并不可靠,那么以此为基础建立的一切都会土崩瓦解。” 该团队曾在2021年私下向使用时间触发以太网的主要企业、组织以及设备制造商披露了研究发现和缓解建议,包括将铜缆替换为光纤及其他光频隔离器。 Loveless表示,“各方都非常愿意采取缓解措施。据我们所知,该隐患尚未对任何相关方构成实际安全威胁。我们对行业和政府的积极反应感到欣慰。” 转自 安全内参,原文链接:https://mp.weixin.qq.com/s/Ex-y0w5gR-qkCEwsfaGT7A 封面来源于网络,如有侵权请联系删除

俄罗斯 APT 组织 Turla 正搭载已有十年之久的恶意软件部署新的后门

据观察,名为Turla的俄罗斯网络间谍组织搭载了一种已有十年历史的恶意软件使用的攻击基础设施,以乌克兰为目标提供自己的侦察和后门工具。 谷歌旗下的 Mandiant 正在跟踪未分类集群名称UNC4210下的操作,称被劫持的服务器对应于 2013 年上传到 VirusTotal的商品恶意软件变体,称为ANDROMEDA (又名 Gamarue)。 “UNC4210 重新注册了至少三个过期的 ANDROMEDA 命令和控制 (C2) 域,并开始对受害者进行分析,以便在 2022 年 9 月有选择地部署 KOPILUWAK 和 QUIETCANARY,”Mandiant 研究人员在上周发表的一份分析报告中表示。 Turla,也被称为 Iron Hunter、Krypton、Uroburos、Venomous Bear 和 Waterbug,主要针对使用大量自定义恶意软件的政府、外交和军事组织。 自 2022 年 2 月俄乌冲突以来,该组织与一系列针对该国实体的凭证网络钓鱼和侦察工作有关。 2022 年 7 月,谷歌的威胁分析小组 (TAG)透露,Turla 创建了一个恶意 Android 应用程序,据称是为了针对亲乌克兰的黑客活动分子对俄罗斯网站发起分布式拒绝服务 (DDoS) 攻击。 Mandiant 的最新发现表明,Turla 一直在偷偷地将旧感染作为恶意软件分发机制,更不用说利用 ANDROMEDA 通过受感染的 USB 密钥传播这一事实了。这家威胁情报公司表示:“通过 USB 传播的恶意软件仍然是获取组织初始访问权限的有用载体。” 在 Mandiant 分析的事件中,据说 2021年12月在一个未具名的乌克兰组织中插入了一个受感染的 U 盘,最终导致在启动恶意链接 (.LNK) 文件伪装时在主机上部署遗留仙女座工件作为 USB 驱动器中的文件夹。   威胁行为者通过交付第一阶段KOPILUWAK dropper(一种基于 JavaScript 的网络侦察实用程序),重新利用作为 ANDROMEDA 已失效 C2 基础设施一部分的休眠域之一(它于 2022 年 1 月重新注册)来分析受害者。 两天后,即 2022 年 9 月 8 日,攻击进入了最后阶段,执行了一个名为 QUIETCANARY(又名Tunnus)的基于 .NET 的植入程序,导致 2021 年 1 月 1 日之后创建的文件被泄露。 Turla 使用的交易技巧与此前有关该组织在俄乌战争期间进行广泛的受害者分析工作的报道相吻合,这可能有助于它调整后续的利用工作,以获取俄罗斯感兴趣的信息。 这也是为数不多的情况之一,黑客部门被发现以不同恶意软件活动的受害者为目标,以实现其自身的战略目标,同时也掩盖了其作用。 “随着旧的 ANDROMEDA 恶意软件继续从受损的 USB 设备传播,这些重新注册的域会带来风险,因为新的威胁行为者可以控制并向受害者提供新的恶意软件。”研究人员说。 “这种声称广泛分布的、出于经济动机的恶意软件使用的过期域的新技术可以在广泛的实体中实现后续妥协。此外,较旧的恶意软件和基础设施可能更容易被防御者忽视,对各种警报进行分类” COLDRIVER 瞄准美国核研究实验室 调查结果发布之际,路透社报道称,另一个代号为 COLDRIVER(又名 Callisto 或 SEABORGIUM)的俄罗斯国家支持的威胁组织在 2022 年初将美国的三个核研究实验室作为目标。 为此,数字攻击需要为布鲁克海文、阿贡和劳伦斯利弗莫尔国家实验室创建虚假登录页面,以试图诱骗核科学家泄露他们的密码。 这些策略与已知的 COLDRIVER 活动一致,该活动最近被揭穿欺骗了英国和美国的国防和情报咨询公司以及非政府组织、智库和高等教育实体的登录页面。   转自 E安全,原文链接:https://mp.weixin.qq.com/s/_GZLiJAxsPEEf7ahl4EOmA 封面来源于网络,如有侵权请联系删除