内容转载

= ̄ω ̄= 内容转载

CERT-UA 警告恶意垃圾邮件传播 Jester 信息窃取程序

近期,乌克兰计算机应急响应小组(CERT-UA)检测到某恶意垃圾邮件活动,该活动旨在传播名为Jester Stealer的信息窃取程序。 据调查,乌克兰CERT发现的该恶意邮件主题为“化学攻击”,邮件中包含一个带有恶意链接的Microsoft Excel文件。当用户打开该Office文档并激活嵌入的宏后,整个感染过程就开始了。经过政府专家的调查,发现该恶意可执行文件是从受感染的网络资源中下载的。 对此,乌克兰计算机应急响应小组及时发布了相应的公告,公告中称:政府应对乌克兰计算机紧急情况的团队CERT-UA披露了有关“化学攻击”主题的大量电子邮件以及指向带有宏的 XLS文档的链接的恶意活动。如果你打开文档并激活宏,下载并运行该EXE文件,这将激活恶意程序JesterStealer并对您的计算机造成一定伤害。 据研究,JesterStealer能够从Internet浏览器、MAIL/FTP/VPN 客户端、加密货币钱包、密码管理器、邮件、游戏程序等窃取凭据和身份验证令牌。 该信息窃取恶意软件实现了反分析功能(反虚拟机/调试/沙盒),但它没有实现任何持久性机制。威胁参与者使用静态配置的代理地址通过 Telegram 泄露数据。从发布的公告中得知,通过静态定义的代理地址(包括在 TOR 网络中)窃取的数据在 Telegram 中传输给攻击者。 转自 Freebuf,原文链接:https://www.freebuf.com/news/332628.html 封面来源于网络,如有侵权请联系删除

Red Canary 警告 Raspberry Robin 恶意软件会通过 USB 驱动器实现传播

Red Canary 安全研究人员刚刚揭示了一款攻击企业的“Raspberry Robin”恶意软件,可知该蠕虫病毒会通过被感染的外部硬盘驱动器而感染 Windows PC 。其实早在 2021 年 11 月,网络安全情报公司 Sekoia 就已经曝光过被“Raspberry Robin”所利用的“QNAP 蠕虫”。但自 9 月以来,Red Canary 在某些技术与制造商客户的网络中对其展开了持续的跟踪。 (来自:Red Canary 官网) 除了潜藏旗下的恶意软件性质,我们尚不清楚“Raspberry Robin”恶意软件的后期实际工作目的。 攻击流程图 当用户将受感染的 USB 驱动器连接到他们的计算机时,Raspberry Robin 就会在暗地里开启传播。 利用 ROT13.lnk 文件来修改注册表 该蠕虫会将自己伪装成 .lnk 快捷方式文件,然后调用 Windows 命令提示符(cmd.exe)来启动恶意软件。 Raspberry Robin 的 cmd.exe 命令 接着它会利用微软标准安装程序(MSIexec.exe)连接到远程的命令与控制(C2)服务器 —— 通常是易受攻击的 QNAP 设备 —— 以通过后者的出口节点来洗清攻击者的确切网络痕迹。 引用设备名称的混合大小写命令 Red Canary 推测,Raspberry Robin 会通过从 C2 服务器安装恶意的动态链接库(DLL)文件,以维持长期潜伏状态。 Raspberry Robin 的恶意 msiexec.exe 命令 然后该恶意软件会利用 Windows 中包含的两个实用程序来调用 DLL —— 其中 Windows 设置管理器(fodhelper)旨在绕过用户账户控制(UAC),而 ODBC 驱动程序配置工具(odbcconf)则用于执行与配置 DLL 。 恶意 rundll32.exe 命令 不过安全研究人员承认这只是一个可行的假设,当前他们尚不明确相关 DLL 的作用、也未搞清楚该恶意软件是如何利用 USB 驱动器实现传播的。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1267401.htm 封面来源于网络,如有侵权请联系删除

Google Play 中止俄罗斯用户付费应用程序下载更新

Bleeping Computer 网站披露,谷歌将禁止俄罗斯用户和开发者从 Google Play 商店下载或更新付费应用程序。 Google 在其网站更新中声明:作为“合规”的一部分,2022 年 5 月 5 日起,Google Play 禁止俄罗斯用户或开发者下载付费应用程序和更新付费应用程序。 据悉,俄罗斯用户和开发者目前仍然可以发布和更新免费应用程序,但所有付费应用程序的更新已经被自动阻止。鉴于不能继续订阅付费应用程序,谷歌建议用户可以授予订阅计费宽限期和免费试用期,这一做法将适用于“订阅计费宽限期和任何免费试用期”。 另外,用户也可以将续订延期长达一年,此举允许用户在延期期间能够继续免费访问内容。如果用户愿意,同样可以选择免费提供应用程序,或者暂时删除付费订阅。 战争爆发后,俄罗斯禁止多款应用在境内运行 俄乌战争爆发后,谷歌开始制裁俄罗斯,3 月 10 日,首次暂停了其在俄罗斯的 Google Play 计费系统,以阻止俄罗斯用户购买应用程序和游戏,支付订阅或购买任何应用。 3 月 23 日,俄罗斯以谷歌提供有关乌克兰持续战争不可靠信息为由,禁止了 Alphabet 的新闻聚合服务 Google News 在该国运行,并阻止境内对 news.google.com 的访问。 除此之外,俄罗斯电信监管机构 Roskomnadzor 还要求 Google 停止在YouTube 视频中,传播有关俄罗斯与乌克兰战争“错误信息”的广告活动。作为回应,Google 封锁了俄罗斯国营媒体今日俄罗斯(RT)和卫星通讯社面向欧洲的 YouTube 频道。 值得一提的是,3 月初,根据总检察长办公室的要求,俄罗斯封锁了 Facebook 和 Twitter 社交网络,一周后,又禁止了Instagram。 转自 FreeBuf ,原文链接:https://www.freebuf.com/news/332518.html 封面来源于网络,如有侵权请联系删除

注意,NIST 更新了网络安全供应链风险指南

近日,美国国家标准与技术研究所(NIST)再次更新了《网络安全供应链风险管理》(C-SCRM)指南,提供了与供应链攻击相关的趋势和最佳实践,指导企业有效管理软件供应链风险,以及在遭受供应链攻击时该如何进行应急响应。 网络供应链风险管理(C-SCRM)是识别、评估和减轻ICT产品和服务供应链分配和互联性相关风险的过程。C-SCRM覆盖了ICT的整个生命周期:包括硬件、软件和信息保障,以及传统的供应链管理和供应链安全实践。 目前,NIST发布了“系统和组织网络安全供应链风险管理实践”,以此响应“改善国家网络安全”的美国第14028号行政命令。 系统和组织网络安全供应链风险管理实践明确指出,本刊物的目的是为企业提供有关如何识别、评估、选择和实施风险管理流程以及减轻企业控制措施的指导,以帮助管理整个供应链的网络安全风险。” 修订后的指南主要针对产品、软件和服务的收购方和最终用户,并为不同的受众提供建议:网络安全专家、负责企业风险管理人员、采购人员、信息安全/网络安全/隐私、系统开发/工程/实施的领导和人员等。 NIST 的Jon Boyens表示,管理供应链的网络安全是一项一直存在的需求,当供应链遭到勒索软件攻击时,制造商可能因缺乏重要组件而停摆,连锁商店也可能只是因为维护其空调系统的公司得以访问其共享资料而爆发资料外泄事件,该指南的主要读者群将是产品、软件及服务的采购商与终端用户,倘若政府机关或组织尚未着手管理供应链的风险问题,那么这就是一个从零到有的完整工具。 NIST的专家们进一步强调了现代产品和服务供应链安全的重要性。毕竟,一种设备可能是在一个国家/地区设计的,但是它的组件可能在全球多个国家/地区制造,只要生产这些组件的公司其中一个出现安全事件,那么就有可能会对整个供应链的产品和服务产生重大影响,大大增加了全球组织的攻击面和受影响的连锁性。 例如制造商可能会因为其中一个供应商受到勒索软件攻击,而导致关键制造组件的供应中断,或者零售连锁店可能会因为维护其空调系统的公司可以访问商店的数据共享网站而遭遇数据泄露事件。 转自 FreeBuf ,原文链接:https://www.freebuf.com/news/332505.html 封面来源于网络,如有侵权请联系删除

英国 NHS 员工电子邮件被黑客挟持,用于发送钓鱼邮件

据外媒报道,英国国家卫生系统(NHS)139名员工的电子邮件遭到盗用,已沦为大型网络钓鱼活动的受害者。 截至今年4月,在近半年的时间里,英国NHS的100多名员工的工作电子邮件帐户被多次用于网络钓鱼活动。据电子邮件安全研究人员称,检测发现攻击者已经从英格兰和苏格兰员工的NHS电子邮件帐户中发送出1157封欺诈性网络钓鱼邮件。 这些网络钓鱼邮件带有虚假链接,根据邮件提示需要点击链接才能执行下一步操作,而虚假链接则会跳转到伪造的虚假网站,要求用户填写microsoft凭据,目的是为了窃取用户的微软凭证。 攻击者为了获取受害者信任,钓鱼邮件还特意添加了公司徽标来冒充Adobe和Microsoft等品牌。除了窃取凭证,攻击者还利用获取巨款的方式诱导用户填写个人详细信息。 NHS员工邮箱被恶意利用,这说明该机构100多名员工的邮箱凭证被窃,或机构邮件系统被入侵所导致。 当前,远程工作增加了对电子邮件作为重要通信机制的依赖。因此就增加了员工成为网络钓鱼或垃圾邮件攻击目标的风险,从而也增加勒索软件和其他恶意软件感染的风险。 商务密邮建议,敏感行业人员应执行以下操作: 不要轻信来源不明的电子邮件或下载软件; 不要点击来自未知发件人的电子邮件中的链接或附件; 不要通过电子邮件向任何人提供密码、个人或财务信息,敏感信息; 备份重要文件,对邮件数据进行加密传存; 使用防邮件泄露、反垃圾邮件和邮件安全归档等保护设备; 如遇可疑电子邮件需立即向相应的安全机构或IT安全人员报告,减少和避免损失。 商务密邮作为专业的邮件安全服务提供商,采用高强度国密算法,对邮件数据进行先加密后发送,密文储存的形式,源头上堵住邮件数据在传输过程中,各环节可能存在的泄露,已解密的邮件还可进行二次复锁,即使服务器数据被窃取、账号、密码被盗,设备丢失,不法分子和黑客组织也无权看到真实数据,更无法篡改邮件,全方位杜绝因邮箱账号密码被盗,设备漏洞、系统漏洞、服务器被攻击等引发的邮件数据泄露。 商务密邮针对邮箱进行管控,企业可部署邮件防泄漏系统(DLP),可针对邮件正文、附加文件、文档、文本进行扫描,未经授权有任何涉密内容发出,将立刻进行阻断,并上报进行审批,避免员工失误或恶意泄露行为。同时邮件水印、邮件溯源跟踪、邮件加密审计归档等管理策略,保障企业数据传输及通信安全。 转自 新浪科技 ,原文链接:https://t.cj.sina.com.cn/articles/view/5943880432/162486af0001013jyf 封面来源于网络,如有侵权请联系删除

美国悬赏 1500 万美元寻求勒索软件团伙 Conti 的关键人物信息

据Bleeping Computer网站5月7日消息,为了能帮助识别和定位臭名昭著的勒索软件团伙 Conti 的主要核心人员及同谋,美国国务院开出了1500 万美元的高额赏金。 根据国务院发言人内德·普莱斯(Ned Price)发表的一份声明,截至 2022 年 1 月, Conti 已经攻击了 1000 多名受害者,所支付的赎金超过 1.5 亿美元,Conti及其相关组织已成为有史以来“最昂贵”的勒索软件 。 这次悬赏由美国国务院跨国有组织犯罪奖励计划 (TOCRP)提供,该计划自 1986 年以来已支付了超1.35亿美元的悬赏额。此次针对 Conti 的1500万美元,其中1000 万美元用于悬赏提供有关 Conti 领导层人员身份和位置的信息,另外500万美元则针对参与 Conti 犯罪活动的同谋人员。 Conti团伙以RaaS(勒索软件即服务)的形式运营,在过去一年中就已对多家企业和机构“下毒手”。 2021年5月,Conti攻击爱尔兰卫生服务执行局并窃取了700GB的敏感文件,开出的赎金达2000万美元;9月,攻击了日本跨国电子产品供应商JVCKenwood,窃取了1.5TB的数据并要求支付700万美元的赎金;10月,攻击了英国的高端珠宝商Graff,窃取了大量名人、政治家和国家元首的数据文件。而就在刚刚过去的2022年4月,Conti攻击了哥斯达黎加的政府系统,包括海关、财政、人力资源等多部门业务受到严重影响,并从中窃取了850GB的数据。 据多家网络安全公司的分析师称,Conti 现在正在通过各种关联组织经营各种副业,以维持其勒索软件的运营费用。但由于内部分赃不均,2021年8月,其中一个关联组织泄露了 Conti 的内部培训材料,包括部署各种恶意工具的手册,以及据称提供给该团伙关联组织的大量帮助文件。 转自 FreeBuf ,原文链接:https://www.freebuf.com/news/332492.html 封面来源于网络,如有侵权请联系删除

农业机械巨头爱科遭勒索攻击,美国种植季拖拉机供应受影响

美国农业机械巨头爱科遭到勒索软件攻击,部分生产设施运营受影响,可能持续多天; 有经销商表示,这导致拖拉机销售在美国最重要的种植季节停滞不前; 近一年来多家农业供应链企业遭到攻击,农业逐渐成为勒索攻击重点目标,FBI已接连发布两次行业预警。 美国知名农业机械生产商爱科(AGCO)宣布遭受勒索软件攻击,部分生产设施受到影响。 爱科经销商表示,拖拉机销售在美国最重要的种植季节停滞不前。 地区经销商B&G Equipment Inc总裁Tim Brannon表示,从周四(5月5日)起,他一直无法访问爱科网站来订购和查找零件。他表示,“我们正进入一年中最繁忙的时期,这将对我们的业务和客户造成了非常大的伤害。” 爱科部分生产设施运营受影响,可能持续多天 爱科公司没有提供任何关于业务中断的细节信息,但该公司可能会关闭部分IT系统,以阻断攻势蔓延。 “爱科仍在调查此次攻击的严重程度,预计未来几天内业务运营将受到负面影响,甚至可能需要更长时间才能完全恢复全部服务。恢复周期取决于公司的系统修复速度,我们将随情况进展发布更新。” ——爱科 从官方新闻稿来看,调查工作仍在进行中,预计此次攻击的影响将持续较长时间。 爱科是农业机械制造行业的巨头之一,年收入超过90亿美元,拥有21000名员工,旗下有Fendt、Massey Ferguson、Challenger、Gleaner及Valtra等品牌。 因此,勒索软件攻击造成的任何生产中断,都可能给爱科的设备生产与交付造成重大的供应链影响。 勒索软件攻击发生时,美国农业机械制造还面临着持续的供应链中断和罢工,导致难以满足农民的设备需求。 外媒就此事与爱科联络,希望了解关于此次攻击的更多信息。但一位发言人表示,目前尚无更多消息可以披露。 爱科公司股价在周五收盘时下跌5.76%,为123.3美元。 农业逐渐成为勒索攻击重点目标 FBI在最近(2022年4月)再次警告称,勒索软件攻击正逐渐将矛头指向美国农业部门,并重点提及了2022年的两起重大案例。 此前在2021年9月,FBI首次发布类似警告。那次后不久,NEW Cooperative与Crystal Valley两家大型农业合作社就遭遇到重大勒索软件攻击。 目前,所有与美国粮食生产和供应直接相关的实体,均被视为关键基础设施。恶意黑客希望通过胁迫受害者就范获取巨额利润。 受到紧张国际政治局势的影响,部分网络攻击也可能具有报复性动机,旨在破坏美国关键基础设施企业的生产活动。 5月5日,爱科公司宣布向乌克兰受战争影响区域的农民捐赠资金和种子。因此,也不排除有俄罗斯黑客对此实施报复性攻击的可能性。 转自 安全内参 ,原文链接:https://www.secrss.com/articles/42134 封面来源于网络,如有侵权请联系删除

《网络安全标准实践指南—个人信息跨境处理活动认证技术规范(征求意见稿)》发布

近日,全国信息安全标准化技术委员会发布了《网络安全标准实践指南—个人信息跨境处理活动认证技术规范(征求意见稿)》(以下简称《实践指南》)。 《实践指南》从基本原则、相关方在跨境处理活动中应遵循的要求、个人信息主体权益保障等方面提出了要求,为认证机构实施个人信息跨境处理活动认证提供认证依据,也为个人信息处理者规范个人信息跨境处理活动提供参考。 《实践指南》作为认证机构对个人信息跨境处理活动进行个人信息保护认证的基本要求,适用于以下情形: 1、 跨国公司或者同一经济、事业实体内部的个人信息跨境处理活动; 2、《中华人民共和国个人信息保护法》第三条第二款规定的境外个人信息处理者,在境外处理境内自然人个人信息的活动。按照法律、行政法规、部门规章有关规定,需要通过国家网信部门组织的安全评估的个人信息跨境处理活动,应当向国家网信部门申报安全评估。 《实践指南》指出,涉及跨境个人信息处理应遵循以下基本原则: 1、合法、正当、必要和诚信原则。个人信息直接关系到信息主体的人格尊严,跨境个人信息处理应当满足法律法规的规定,严格按照法定目的并采取对个人信息权益影响最小的方式处理个人信息,严守合同、协议等具有法律效力文件的约定和承诺,不随意违背约定、承诺损害个人信息主体的合法权益。 2、公开、透明原则。跨境处理个人信息应当满足处理规则公开、处理过程透明要求,及时向个人信息主体告知个人信息跨境提供的目的、范围和处理方式,确保个人信息主体了解自己的个人信息的处理全过程。 3、信息质量原则。参与跨境处理个人信息活动的相关方应当保证跨境个人信息的准确性、完整性,避免个人信息处理活动出现偏差,对个人信息主体权益造成不利影响。 4、同等保护原则。参与个人信息跨境处理活动的相关方应当采取必要措施,确保个人信息跨境处理活动达到中华人民共和国个人信息保护相关法律法规规定的个人信息保护标准。 5、责任明确原则。参与个人信息跨境处理活动的相关方应当采取必要措施,保护所处理个人信息的安全,保障个人信息主体权益,并指定境内一方、多方或者境外相关方在境内设置的机构承担法律责任。 6、自愿认证原则。个人信息跨境处理活动认证属于国家推荐的自愿性认证,鼓励符合条件的个人信息跨境活动相关方自愿申请个人信息跨境处理活动认证,充分发挥认证在加强个人信息保护、提高个人信息跨境处理效率的作用。 附:《网络安全标准实践指南—个人信息跨境处理活动认证技术规范(征求意见稿)》 转自 FreeBuf ,原文链接:https://www.freebuf.com/news/332355.html 封面来源于网络,如有侵权请联系删除

乌克兰 IT 军团和匿名者组织,持续攻击俄罗斯实体

俄乌战争爆发以来,匿名者组织就盯上了俄罗斯,一直对其实体组织进行大规模网络攻击。近日,Security Affairs 网站披露,匿名者黑客组织伙同乌克兰 IT 军继续对俄罗斯实体发起网络攻击。 俄乌战争爆发以来,匿名者黑客组织一直站在乌克兰阵营上,破坏了大量俄罗斯政府和企业实体的网络系统。本周,该组织声称“干掉”了多家俄罗斯实体,并通过 DDoSecrets 平台泄露窃取的数据。 遭受入侵的企业名单包括: CorpMSP:一家为中小型企业提供支持的联邦机构,背后控股股东是俄罗斯联邦。根据黑客组织 NB65  的说法,CorpMSP 是一家从事数字间谍的空壳公司,长期支持俄罗斯国防部的行动。另外,NB65 组织表示,与匿名者组织有关的团体泄露了一个 482.5GB 的档案,其中包括 75000个 CorpMSP 的文件、电子邮件和磁盘图像。 LLC Capital:一家与 SAFMAR 集团合作的会计师事务所。匿名者黑客组织泄露一个20.4GB 档案,其中包含 LLC Capital 的 31990 封电子邮件。 网络攻击一直在持续 值得一提的是,匿名者黑客组织不仅对俄罗斯实体发起网络攻击,还向俄罗斯民众发送了超过 1 亿条信息,以瓦解莫斯科的宣传。 本周,乌克兰 IT 军对俄罗斯自动化酒精核算信息系统(EGAIS)门户网站,进行了一系列大规模 DDoS 攻击。EGAIS 系统对俄罗斯的酒精分销至关重要, 此次攻击严重影响了其正常运行。 受到此次网络攻击的影响,工厂暂时无法接受装有酒精的罐子,客户(包括商店和经销商)也无法收到已经交付的成品,许多工厂完全停止向仓库发货,并削减了生产速度。 另外,Crowdstrike 研究人员表示,亲乌黑客组织正在使用 Docker 图像对俄罗斯政府、军队和媒体机构在内的十几个网站发动分布式拒绝服务(DDoS)攻击。 值得注意的是,DDoS 攻击还针对了立陶宛三个媒体网站,攻击者试图通过暴露的 API,利用配置错误的 Docker 安装,滥用其计算机资源。 转自 FreeBuf ,原文链接:https://www.freebuf.com/news/332348.html 封面来源于网络,如有侵权请联系删除

QNAP 修复了关键的 QVR 远程命令执行漏洞

近期,QNAP发布了几项安全公告,其中一项针对严重的安全问题,该问题允许在易受攻击的QVR系统上远程执行任意命令,该公司的视频监控解决方案托管在NAS设备上。QVR IP视频监控系统支持多重频道和跨平台视频解码,专为监控家庭和办公环境而设计。该漏洞编号为CVE-2022-27588,严重程度得分为9.8。它会影响早于5.1.6 build 20220401的QVR版本。 根据QNAP发布的公告,该漏洞会影响运行QVR的QNAP VS系列NVR。如果被利用,此漏洞允许远程攻击者运行任意命令。这种类型的安全漏洞允许攻击者在目标上执行命令以更改设置、访问敏感信息或控制设备。它甚至还可以被当成深入目标网络的踏板。正如我们过去所见,当漏洞利用公开可用时,QNAP系统中的关键漏洞几乎立即在网络攻击中被利用。 目前BleepingComputer表示已与QNAP联系,要求提供有关 CVE-2022-27588是否被积极利用的信息,并将根据公司的回应做出及时报道。 除了QVR 中的严重问题外,QNAP还解决了其他产品中的8个漏洞,严重程度介于中到高之间。 以下是修复的完整列表: CVE-2022-27588:QNAP QVR 中的严重RCE CVE-2021-38693:thttpd中的中等严重性路径遍历漏洞,影响 QTS、QuTS hero 和 QuTScloud。 CVE-2021-44055:中等严重性缺陷,允许远程访问某些 Video Station 版本中的数据。 CVE-2021-44056:中等严重性缺陷,允许远程访问某些 Video Station 版本中的数据。 CVE-2021-44057:运行 Photo Station 的 QNAP NAS 中的高危漏洞。 CVE-2021-44051:高严重性命令注入漏洞,允许在 QTS、QuTS hero 和 QuTScloud 中执行任意远程命令。 CVE-2021-44052:高严重性链接解析漏洞,允许在 QTS、QuTS hero 和 QuTScloud 中执行恶意文件操作。 CVE-2021-44053:高严重性跨站点脚本 (XSS) 漏洞,允许在 QTS、QuTS hero 和 QuTScloud 中进行远程代码注入。 CVE-2021-44054:高严重性开放重定向漏洞,允许用户重定向到 QTS、QuTS hero 和 QuTScloud 中带有恶意软件的页面。 目前,QNAP尚未提供缓解指南,因此建议您将软件更新到最新的可用版本。 转自 FreeBuf ,原文链接:https://www.freebuf.com/articles/332343.html 封面来源于网络,如有侵权请联系删除