乌克兰网络机构报告第二季度网络攻击激增

Hackernews 编译,转载请注明出处: 根据乌克兰国家特殊通信和信息保护局(SSSCIP)的一份新报告,今年第二季度,针对乌克兰的网络攻击的频率和数量激增。 该网络机构报告称,自俄罗斯入侵以来,网络攻击一直在增加,但在2022年第二季度有所上升,乌克兰国家漏洞检测和网络事件/网络攻击系统处理了190亿次事件。已登记和处理的网络事件从40件增加到64件。 恶意软件分布中的恶意黑客群体活动也“显著增加”,与今年第一季度相比,“恶意代码”类别的事件数量增加了38%。 与第一季度相比,源自俄罗斯IP地址的关键事件数量减少了8.5倍。据SSSCIP称,这要归功于电子通信网络和互联网接入服务实施的保护措施,这些措施阻止了俄罗斯联邦使用的IP地址。 目前,数量最多的事件来自美国的源IP地址,但这并不意味着攻击来自该地区:IP地址不是一种可靠的归属形式,因为它们可以被欺骗。 SSSCIP表示,事实上,“绝大多数”已登记的网络事件都与俄罗斯联邦政府资助的黑客组织有关,包括隶属于俄罗斯联邦调查局的Sandworm和Gamaredon。在2022年第二季度,主要目标是乌克兰大众媒体、政府和地方当局。 随着战争的继续,Thornton-Trump预测俄罗斯的网络攻击可能会进一步加剧。俄罗斯将利用一切手段取得胜利,网络攻击是其政治和军事行动的重要组成部分。 攻击的节奏可能会随着战斗的起伏增加或是减少,但我们会看到漏洞的武器化,尤其是安卓、微软和网络浏览器等,它们会被利用以试图使攻击更有效地针对乌克兰的防御。   消息来源:infosecurity,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

新 UEFI 固件漏洞影响多款联想笔记本电脑

Hackernews 编译,转载请注明出处: 消费电子产品制造商联想周二发布了修复措施,解决了其UEFI固件中的三个安全漏洞,这些漏洞影响了70多种产品型号。 Slovak网络安全公司ESET在一系列推文中表示:“这些漏洞可以在平台启动的早期阶段实现任意代码执行,可能会让攻击者劫持操作系统执行流程,并禁用一些重要的安全功能。” CVE-2022-1890、CVE-2022-1891和CVE-2022-1892这三个漏洞都与缓冲区溢出漏洞有关,联想已将其描述为导致受影响系统上的权限提升。ESET的Martin Smolár报告了这些缺陷。 这些错误源于对三个不同的驱动程序 ReadyBootDxe、SystemLoadDefaultDxe 和 SystemBootManagerDxe 中名为“DataSize”的 NVRAM 变量的验证不足,从而导致缓冲区溢出,可以将其武器化以实现代码执行。 这是联想自今年年初以来第二次着手解决UEFI安全漏洞。今年4月,该公司解决了三个漏洞(CVE-2021-3970、CVE-2021-3971和CVE-2021-3972)——也是由Smolár发现的——可能被用来部署和执行固件植入。 强烈建议受影响设备的用户将其固件更新到最新版本,以缓解潜在威胁。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

研究人员发现了 Qakbot 恶意软件逃避检测的新尝试

Hackernews 编译,转载请注明出处: Qakbot恶意软件背后的黑客正在改变他们的传输载体,试图避开检测。 Zscaler Threatlabz的研究人员Tarun Dewan和Aditya Sharma说:“最近,黑客改变了他们的技术,通过使用ZIP文件扩展名、常见格式的文件名和Excel (XLM) 4.0欺骗受害者下载安装Qakbot的恶意附件来逃避检测。” 该组织采用的其他方法包括代码混淆、在攻击链中引入从初始泄露到执行的新层,以及使用多个URL和未知文件扩展名(例如 .OCX, .ooccxx, .dat, 或.gyp)来交付有效负载。 Qakbot也被称为QBot,QuackBot或Pinkslipbot,自2007年底以来一直是反复出现的威胁,从最初的银行木马发展到能够部署勒索软件等下一阶段有效载荷的模块化信息窃取者。 这款恶意软件从2022年初的XLM宏转向5月份的.LNK文件,这被视为试图反击Microsoft在2022年4月默认阻止Office宏的计划,该公司后来暂时收回了这一决定。 此外,进一步的修改还包括使用PowerShell下载DLL恶意软件,以及从regsvr32.exe切换到rundlll32.exe来加载有效载荷,研究人员称这是“Qakbot进化以逃避更新的安全实践和防御的明显迹象”。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

欧洲央行行长 Christine Lagarde 成为黑客攻击目标

Hackernews 编译,转载请注明出处: 欧洲央行行长Christine Lagarde遭到了一次未遂的网络攻击。 欧洲央行透露,黑客攻击是最近发生的,但好消息是,欧洲央行的专家能够发现并阻止它。 总部位于法兰克福、负责19个欧元区国家的央行在回复《商业内幕》一篇报道询问的电子邮件中表示:“这一尝试是‘最近’进行的。”该行补充称,“很快就被发现并叫停了”,但在调查中没有更多可说的。 据《商业内幕》报道,黑客试图通过从德国前总理Angela Merkel的手机号码向她发送短信来入侵Lagarde的移动设备。发送给欧洲央行的消息告诉Lagarde,Merkel希望通过WhatsApp与她沟通,因为WhatsApp更安全。 此次攻击之所以失败,是因为Lagarde对这条消息持怀疑态度,并通过电话联系了Merkel。黑客有兴趣接管各种消息服务(包括WhatsApp)上各种知名人士的账户。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

GitHub Actions 和 Azure 虚拟机正被用于云挖矿

Hackernews 编译,转载请注明出处: GitHub Actions和Azure虚拟机正被用于基于云的加密货币挖掘,这表明黑客一直试图将云资源用于非法目的。 趋势科技研究人员Magno Logan在上周的一份报告中表示:“攻击者可以滥用GitHub提供的运行器或服务器来运行组织的管道和自动化,通过恶意下载和安装自己的加密货币矿工轻松获利。” GitHub Actions是一个持续集成和持续交付平台,允许用户自动化软件构建、测试和部署管道。开发人员可以利用该功能创建工作流,以构建和测试代码存储库的每个拉取请求,或将合并的拉取请求部署到生产环境。 这家日本公司表示,它发现了1000多个存储库和550多个代码样本,它们正在利用GitHub提供的运行器挖掘加密货币。Microsoft 拥有的代码托管服务已收到该问题的通知。 此外,在11个存储库中发现了类似的YAML脚本变体,其中包含挖掘Monero硬币的命令,所有这些命令都指向同一个钱包,这表明它要么是单个黑客的行为,要么是一个协同工作的团队。 众所周知,面向加密劫持的团体通过利用目标系统内的安全漏洞(例如未修补的漏洞、弱凭据或配置错误的云实现)渗透到云部署中。 非法加密货币开采领域的一些重要参与者包括8220,Keksec(又名Kek Security),Kinsing,Outlaw和TeamTNT。 该恶意软件工具集的另一个特点是使用kill脚本终止和删除竞争的加密货币矿工,以最好地利用云系统为自己谋利,趋势科技称这是一场“为控制受害者资源而战”的战斗。 也就是说,加密矿工的部署,除了产生基础设施和能源成本外,也是安全卫生状况不佳的晴雨表,使黑客能够将通过云错误配置获得的初始访问武器化,以实现更具破坏性的目标,如数据泄露或勒索软件。 争夺并保留对受害者服务器的控制权是这些团体工具和技术发展的主要驱动力,促使他们不断提高从受损系统中删除竞争对手的能力,同时抵制他们的攻击。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

法国电信运营商 La Poste Mobile 遭到勒索软件攻击

Hackernews 编译,转载请注明出处: 法国虚拟移动电话运营商La Poste mobile受到勒索软件攻击,影响了行政和管理服务。 该公司指出,黑客可能已经访问了其客户数据,因此建议他们保持警惕。并且该公司强调了身份盗用或网络钓鱼攻击的风险,以防数据泄露。 “La Poste Mobile的行政和管理服务于7月4日(星期一)成为恶意勒索软件型病毒的受害者。我们一知悉此事件,便立即采取了必要的保护措施,暂停了相关的计算机系统。这一保护行动使得我们暂时关闭了网站和客户区,”该公司在其网站上发表的一份声明中写道,并且该网站目前仍处于关闭状态。“我们的IT团队目前正在诊断这一情况。初步分析表明,我们的服务器对您的移动电话线路的运行至关重要,目前已经得到了很好的保护。另一方面,La Poste mobile员工电脑中的文件可能受到了影响。其中一些文件可能包含个人数据。” 从周四到周五,Lockbit勒索软件在其泄露网站上添加了La Poste Mobile的名字。 该团伙自2019年以来一直很活跃,如今是最活跃的勒索团伙之一。最近,Lockbit勒索软件发布了LockBit 3.0,其中有一些重要的新功能,例如漏洞奖励计划、Zcash支付和新的勒索策略。 最近归咎于该组织的事件包括对富士康工厂,加拿大战斗机训练公司和热门德国图书馆服务的攻击事件。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文  

黑客利用虚假工作窃取 Axie Infinity 公司 5.4 亿美元

Hackernews 编译,转载请注明出处: 据报道,2022年3月底,价值5.4亿美元的Axie Infinity Ronin Bridge黑客攻击事件,是该公司一名前员工被LinkedIn上的一份虚假工作欺骗的结果。 根据The Block上周发表的一份报告,该公司的一名高级工程师被骗向一家不存在的公司申请工作,导致此人下载了伪装成PDF格式的虚假招聘文件。 该要约文件随后充当了部署恶意软件的渠道,旨在破坏Ronin的网络,最终促成了加密行业迄今为止最大的黑客攻击之一。 2022年4月,美国财政部暗示朝鲜支持的Lazarus集团与该事件有关,并指出该敌对集团曾攻击加密货币行业,为朝鲜筹集资金。 长期以来,虚假工作机会一直被高级持久威胁用作社会工程诱惑,早在2020年8月,以色列网络安全公司ClearSky就发起了一场名为“梦想工作行动”的运动。 ESET在其2022年T1威胁报告中指出,在Lazarus保护伞下,黑客如何通过LinkedIn等社交媒体利用虚假工作机会,作为其打击国防承包商和航空航天公司的战略。 虽然Ronin的以太坊桥在黑客攻击三个月后的6月重新启动,但Lazarus Group也被怀疑是最近从Harmony Horizon Bridge盗窃1亿美元山寨币的幕后黑手。 区块链审计和安全公司CertiK在上周的一份报告中透露,今年上半年,以Web 3.0为中心的区块链项目因黑客攻击而损失了超过20亿美元。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

研究人员警告新的 OrBit Linux 恶意软件会劫持执行流程

Hackernews 编译,转载请注明出处: 网络安全研究人员揭开了一种全新的、完全未被发现的Linux威胁,称为OrBit,这标志着针对流行操作系统的恶意软件攻击呈日益增长的趋势。 根据网络安全公司Intezer的说法,该恶意软件的名称来自用于临时存储已执行命令输出的文件名之一(“/tmp/.orbit”)。 “它既可以安装持久性功能,也可以作为挥发性植入物,”安全研究员Nicole Fishbein说。“该恶意软件实施高级规避技术,并通过hook关键功能在机器上获得持久性,通过SSH为黑客提供远程访问能力,获取凭据并记录TTY命令。” 该恶意软件的功能与Symbiote非常相似,因为它旨在感染受损机器上所有正在运行的进程。但与后者利用LD_PRELOAD环境变量来加载共享对象不同,OrBit采用两种不同的方法。 “第一种方法是将共享对象添加到加载程序使用的配置文件中,”Fishbein解释道。“第二种方法是修补加载程序本身的二进制文件,以便加载恶意共享对象。” 攻击链从一个负责提取有效负载(“libdl.so”) 的ELF传输器文件开始,并将其添加到动态链接器加载的共享库中。 流氓共享库被设计为 hook三个库(libc,libcap和Pugable Authentication Module(PAM))中的函数,导致现有和新进程使用修改后的函数,基本上允许它获取凭据、隐藏网络活动,并通过SSH设置对主机的远程访问,同时一直保持在雷达之下。 此外,OrBit依赖于一连串的方法,使其能够在不通知其存在的情况下运行,并以一种难以从受感染的计算机中删除的方式建立持久性。 一旦启动,这个后门程序的最终目标是通过hook读写函数来窃取信息,从而捕获机器上执行的进程正在写入的数据,包括bash和sh命令,这些命令的结果存储在特定的文件中。 针对Linux的威胁在继续发展的同时成功地保持在安全工具的雷达下,现在OrBit是新恶意软件如何规避和持久化的又一个例子。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

APT 黑客组织 Bitter 持续攻击孟加拉国军事目标

Hackernews 编译,转载请注明出处: 以“Bitter”为名的高级持续性威胁继续对孟加拉国的军事实体进行网络攻击。 该消息来自SecuInfra网络安全专家团队,他们在周二发布了一份报告,描述了南亚APT最近的行动。 “通过恶意文档文件和中间恶意软件阶段,黑客通过部署远程访问木马进行间谍活动。”该文件写道。 SecuInfra的调查结果基于Talos 去年5月发布的一份报告(该报告披露了该组织的扩张和攻击孟加拉国政府组织的意图),并涵盖了可能在2022年5月中旬发生的一次攻击事件。 具体来说,该攻击可能源于一份武器化Excel文档,该文档可能通过鱼叉式网络钓鱼电子邮件分发。 打开后,电子邮件将利用Microsoft 公式编辑器漏洞(CVE-2018-0798) 从远程服务器中删除名为ZxxZ的有效载荷。 然后,恶意代码将在 Visual C++中实现,并作为第二阶段植入工作,允许黑客部署其他恶意软件。 “将这个指纹识别功能与Cisco Talos文档中记录的指纹识别功能进行比较,我们可以发现Bitter放弃了ZxxZ值分隔符,而使用了一个简单的下划线。” 据SecuInfra称,APT这样做是为了避免通过基于此特定分离器的IDS/IPS系统进行检测。 安全研究人员说,为了防止此类攻击,企业和政府应该定期实施网络和端点检测和响应措施,并修补 Microsoft Office等常用软件。   消息来源:infosecurity,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

针对可能导致 RCE 攻击的高危漏洞,OpenSSL 发布补丁

Hackernews 编译,转载请注明出处:   OpenSSL于1998年首次发布,是一个通用加密库,它提供了安全套接字层和传输层安全协议的开源实现,使用户能够生成私钥,创建证书签名请求,安装SSL/TLS证书。 OpenSSL项目的维护者已经发布了补丁,以解决加密库中的一个严重错误,该错误可能在某些场景下导致远程代码执行。 该问题现在被分配为漏洞编号CVE-2022-2274,并被描述为在2022年6月21日发布的OpenSSL 3.0.4版本中引入的RSA私钥操作导致堆内存损坏的情况。 维护者称其为“RSA实现中的严重漏洞”,称该漏洞可能导致计算过程中的内存损坏,攻击者可能将其武器化,以触发执行计算的机器上的远程代码执行。 西安电子科技大学博士生Xi Ruoyao于2022年6月22日向OpenSSL报告了该漏洞。建议该库的用户升级到OpenSSL版本3.0.5,以减轻任何潜在的威胁。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文