密歇根州的两所公立学校遭到勒索软件攻击

Hackernews 编译,转载请注明出处: 在勒索软件攻击后,密歇根州两个县的公立学校被迫停止活动,包括上课。 密歇根州杰克逊县和希尔斯代尔县的公立学校在因勒索软件攻击其系统而关闭两天后重新开放。 周一,公立学校开始出现系统故障,影响关键操作系统,之所以出现故障,是因为他们是周末检测到的勒索软件攻击的受害者。 杰克逊县中学学区负责人Kevin Oxley宣布,该系统已被关闭,以控制损坏。 学校通知执法部门,聘请外部网络安全顾问对事件进行调查,并在安全恢复系统方面获得帮助。 作为预防措施,学校要求每个人不要使用任何学校发放的设备。 杰克逊县中级学区的公告中写道:“多亏了我们的技术团队和网络安全专家的全天候工作,我们准备迎接学生明天(2022年11月17日,星期四)返校。” 我们的首要任务是让孩子们重返校园,很高兴明天能够做到这一点。虽然我们的修复工作仍在继续,但我们优先恢复了基本系统,以便我们能够安全地恢复运营,并使杰克逊县和希尔斯代尔县的学校大楼重新开放。然而,由于我们的团队仍致力于恢复其他系统,所以学生们对一些技术资源的访问将受到限制。 目前,尚未有任何网络犯罪集团声称此次攻击。 学区是勒索软件团伙的特权目标,今年9月,美国最大的学区之一洛杉矶联合学区遭到了勒索软件攻击。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

F5 修复了产品中 2 个严重的远程代码执行漏洞

Hackernews 编译,转载请注明出处: Rapid7研究人员在运行CentOS定制发行版的F5 BIG-IP和BIG-IQ设备中发现了几个漏洞。专家们还发现了安全控制的几个绕过,安全供应商F5并不认为这是可利用的漏洞。 专家发现的漏洞有: CVE-2022-41622是一种通过跨站点请求伪造 (CSRF) 执行未经身份验证的远程代码,会影响BIG-IP和BIG-IQ产品。 供应商发布的公告表示:“攻击者可能会欺骗具有资源管理员角色权限并通过iControl SOAP中的基本身份验证的用户执行关键操作。攻击者只能通过控制平面(而不是数据平面)利用此漏洞。如果被利用,此漏洞可能会危及整个系统。” CVE-2022-41800是通过RPM规范注入执行经过身份验证的远程代码,驻留在设备模式iControl REST中。在设备模式下,具有分配管理员角色的有效用户凭据的认证用户可以绕过设备模式限制。 公告中写道:“在设备模式下,具有分配给管理员角色的有效用户凭据的认证用户可以绕过设备模式限制。这是一个控制平面问题;没有数据平面暴露。设备模式由特定许可证强制实施,或者可以为单个虚拟群集多处理器(vCMP)来宾实例启用或禁用。” 上述漏洞被评为高严重性。 Rapid7于2022年8月18日向F5报告了这两个漏洞,并支持供应商解决这些问题。 以下是 F5 因不可利用而拒绝的安全控制的绕过: ID1145045 – 通过错误的UNIX套接字权限提升本地权限 (CWE-269) ID1144093 – 通过不正确的文件上下文绕过SELinux (CWE-732) ID1144057 – 通过更新脚本中的命令注入绕过SELinux (CWE-78)   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

新的 RapperBot 活动针对游戏服务器发起 DDoS 攻击

Hackernews 编译,转载请注明出处: 网络安全研究人员发现了名为RapperBot恶意软件的新样本,这些恶意软件正被用来构建一个僵尸网络,能够对游戏服务器发起分布式拒绝服务(DDoS)攻击。 Fortinet FortiGuard实验室的研究人员Joie Salvio和Roy Tay在周二的一份报告中表示:“事实上,这个活动不像是RapperBot,而更像是一场在2月份出现,然后在4月中旬神秘消失的运动。” 网络安全公司在2022年8月首次记录了RapperBot,据悉它专门对配置为接受密码认证的SSH服务器进行强制操作。 这种新生的恶意软件受到Mirai僵尸网络的极大启发,其源代码于2016年10月泄露,导致了多个变种的出现。 RapperBot的更新版本值得注意的是,除了支持使用通用路由封装(GRE)隧道协议的DoS攻击,以及针对运行《侠盗猎车手:圣安德烈亚斯》的游戏服务器的UDP flood攻击外,它还能够执行Telnet暴力攻击。 研究人员说:“Telnet暴力强制代码主要是为自我传播而设计的,类似于旧的Mirai Satori僵尸网络。” 该硬编码明文凭证列表是与物联网设备相关的默认凭证,被嵌入到二进制文件中,而不是从命令和控制(C2)服务器检索,这是在2022年7月之后检测到的工件中观察到的行为。 成功侵入之后,将使用的凭据报告回C2服务器,并在被黑客入侵的设备上安装RapperBot有效负载。 Fortinet表示,该恶意软件只针对运行在ARM、MIPS、PowerPC、SH4和SPARC架构上的设备,如果这些设备运行在Intel芯片组上,则停止其自我传播机制。 更重要的是,早在2021年5月,就发现2022年10月的活动与涉及恶意软件的其他操作存在重叠,Telnet扩展器模块于2021年8月首次出现,但在随后的示例中被删除,并于上月重新引入。 研究人员总结道:“基于这个新活动与之前报道的RapperBot活动之间不可否认的相似性,它们很可能是由单个黑客或由不同的黑客操作的,可以访问私人共享的基本源代码。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

研究人员在 Spotify 的后台发现了严重的 RCE 漏洞

Hackernews 编译,转载请注明出处: 安全公司Oxeye的研究人员在Spotify的后台发现了一个关键的远程代码执行漏洞(CVSS评分为9.8)。Backstage是Spotify用于构建开发人员门户的开源平台,它被多个组织使用,包括美国航空公司、Netflix、Splunk、Fidelity Investments和Epic Games。 此问题可通过触发vm2第三方库中最近披露的虚拟机沙箱逃逸漏洞(CVE-2022-36067 又名Sandbreak)来利用。 Oxeye研究人员通过Spotify的漏洞赏金计划报告了这个RCE漏洞,Backstage开发团队在1.5.1版本中迅速修复了这个漏洞。 “未经身份验证的黑客可以通过利用Scaffolder核心插件中的vm2沙箱逃逸,在Backstage应用程序上执行任意系统命令。”Oxeye发布的建议写道。 该漏洞存在于允许开发人员在Backstage中创建组件的软件模板工具中。 研究人员解释说,模板引擎利用vm2库来防止不可信代码的执行。 “在审查如何限制这种风险时,我们注意到可以通过在隔离环境之外使用带有Nunjucks的用户控制模板,来运行shell命令。因此,Backstage开始使用vm2 JavaScript沙盒库来降低这种风险。在早期的研究论文中,Oxeye发现了一个vm2沙盒逃逸漏洞,导致主机上的远程代码执行(RCE)。 研究人员在Shodan中对Backstage favicon哈希进行了简单的查询,并发现了500多个暴露在互联网上的Backstage实例。 专家们注意到,默认情况下部署Backstage时没有身份验证机制或授权机制,允许来宾访问。一些公开的Backstage实例不需要任何身份验证。 通过进一步的测试,专家们可以确定,在许多情况下,不需要身份验证就可以利用该漏洞。 “任何基于模板的虚拟机转义的根源都是在模板中获得JavaScript执行权限。通过使用“无逻辑”模板引擎(如Mustache),可以避免引入服务器端模板注入漏洞。尽可能将逻辑与演示文稿分离,可以大大减少您受到最危险的基于模板的攻击风险。有关缓解基于模板的漏洞的更多信息,请参阅PortSwigge的技术公告。如果您使用Backstage进行身份验证,请同时在前端和后端启用它。”   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

研究人员披露了 Zendesk Explore 中的严重 SQLi 和访问缺陷漏洞

Hackernews 编译,转载请注明出处: 网络安全研究人员已经披露了Zendesk Explore中现已修补的漏洞的详细信息,攻击者可能利用这些漏洞从启用了该功能的客户帐户中获取未经授权的信息访问权限。 Varonis在与The Hacker News共享的一份报告中表示:“在修补之前,该漏洞将允许黑客在启用Explore的情况下访问Zendesk帐户中的对话、电子邮件地址、票证、评论和其他信息。” 这家网络安全公司表示,没有证据表明这些问题在现实世界的攻击中被积极利用。客户无需采取任何行动。 Zendesk Explore是一种报告和分析解决方案,允许组织“查看和分析有关客户和支持资源的关键信息”。 根据该安全软件公司的说法,利用该漏洞首先需要攻击者以新的外部用户身份注册受害者Zendesk帐户的票务服务,该功能可能默认启用,以允许最终用户提交支持票证。 该漏洞与GraphQL API中的SQL注入有关,该注入可能被滥用,以管理员身份泄露数据库中存储的所有信息,包括电子邮件地址、票证以及与实时代理的对话。 第二个漏洞涉及与查询执行API相关的逻辑访问问题,该API被配置为在不检查进行调用的“用户”是否有足够权限的情况下运行查询。 这意味着新创建的最终用户可以调用此API,更改查询,并从目标Zendesk帐户的RDS中的任何表中窃取数据,而无需SQLi。 Varonis表示,这些问题已于8月30日向Zendesk披露,随后该公司于2022年9月8日纠正了这些漏洞。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

CERT-UA警告称,乌克兰多个组织遭到了 Somnia 勒索软件攻击

Hackernews 编译,转载请注明出处: 俄罗斯黑客使用了一个名为Somnia的新勒索软件来攻击乌克兰的多个组织。 政府专家将这些攻击归咎于“来自俄罗斯的爱”(FRwL)(又名Z-Team,UAC-0118)组织,据信这是一个亲俄罗斯的黑客活动组织。 CERT-UA发布的公告称:“FRwL(又名Z-Team)的活动由CERT-UA以标识符UAC-0118进行监控,对未经授权干预攻击目标的自动化系统和电子计算机的操作负责。” 调查发现,最初的入侵是由于下载和运行了一个模仿“高级IP扫描仪”软件的文件,但实际上包含了Vidar恶意软件。 根据警报,乌克兰组织最初被相关访问代理入侵,然后将泄露的数据转移给FRwL集团,该集团利用该数据进行网络攻击。 用作诱饵的“高级IP扫描仪”软件实际上包含了Vidar恶意软件,这是一种窃取数据的恶意软件,还能够捕获Telegram会话数据并接管受害者的帐户。 然后,黑客滥用受害者的Telegram帐户来窃取VPN配置数据(身份验证和证书)。如果VPN帐户未受到双重身份验证的保护,则黑客可以使用VPN连接获得公司网络的未经授权的连接。 一旦获得对目标网络的访问权限,攻击者就会使用Netscan等工具进行侦察,并在泄露数据之前部署Cobalt Strike Beacons。 需要强调的是,Somnia攻击背后的黑客并不要求支付赎金,他们的行动旨在破坏目标的网络。 CERT-UA还报告说,Somnia恶意软件正在不断发展。该恶意软件的第一个版本使用对称3DES算法,而第二个版本使用AES算法,同时,考虑到密钥和初始化向量的动态性,根据攻击者的理论计划,这个版本的Somnia不提供数据解密的可能性。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

用于挖掘加密和发起 DDoS 攻击的新型 KmsdBot 恶意软件劫持系统

Hackernews 编译,转载请注明出处: 一个新发现的规避恶意软件利用Secure Shell(SSH)加密协议进入目标系统,目的是挖掘加密货币并实施分布式拒绝服务(DDoS)攻击。 Akamai安全情报响应团队(SIRT)将基于Golang的恶意软件称为KmsdBot,它针对从游戏到豪华汽车品牌再到安全公司的各种公司。 Akamai研究员Larry W.Cashdollar表示:“僵尸网络通过使用弱登录凭据的SSH连接感染系统,为了逃避检测,恶意软件不会在被感染的系统上持续存在。” 该恶意软件的名称来自一个名为“kmsd.exe”的可执行文件,该文件是在成功入侵后从远程服务器下载的。它还旨在支持多种体系结构,如Winx86、Arm64、mips64和x86_64。 KmsdBot具有执行扫描操作并通过下载用户名和密码组合列表进行自我传播的能力。它还可以控制挖掘过程并更新恶意软件。 Akamai表示,该恶意软件的第一个目标是一家名为FiveM的游戏公司,这是一款《侠盗猎车手5》的多人模式,允许玩家访问自定义角色扮演服务器。 该网络基础设施公司观察到的DDoS攻击包括第4层和第7层攻击,其中发送大量TCP、UDP或HTTP GET请求,以压垮目标服务器的资源并阻碍其处理和响应能力。 Cashdollar表示:“这个僵尸网络是安全复杂性及其演变程度的一个很好的例子。最初似乎是一个游戏应用程序的机器人,现在已经转向攻击大型奢侈品牌。” 卡巴斯基的遥测数据显示,越来越多的脆弱软件被用于部署加密货币矿工,从2022年第一季度的12%跃升至第三季度的17%。近一半的恶意挖掘软件分析样本(48%)秘密挖掘Monero(XMR)。 这家俄罗斯网络安全公司表示:“有趣的是,2022年第三季度最受攻击的国家是埃塞俄比亚(2.38%),在那里使用和开采加密货币是非法的。哈萨克斯坦(2.13%)和乌兹别克斯坦(2.01%)位居第二、三位。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

乌克兰警方逮捕了每年获利 2 亿欧元的诈骗团伙成员

Hackernews 编译,转载请注明出处: 乌克兰网络警察和欧洲刑警组织逮捕了一个跨国诈骗集团的五名成员,该集团每年造成超过2亿美元的损失。 这些逮捕行动是在阿尔巴尼亚、芬兰、格鲁吉亚、德国、拉脱维亚和西班牙执法人员的支持下进行的联合行动的结果。在这些国家,该团伙建立了办事处和呼叫中心,雇佣了2000多人进行犯罪活动。 该组织通过加密货币和证券的伪投资计划欺骗投资者,调查始于2020年。 投资者被诱骗进行了一系列虚假投资。该团伙运营其网站和平台,向储户提供加密货币投资和证券(股票、债券、期货、期权)交易的超额利润。他们还通过这些平台模拟资产增长,但投资者无法提取资金。 据欧洲刑警组织称,全球数十万人受到跨国集团非法活动的影响。每年损失估计超过2亿欧元。执法人员在涉案人员的家中,以及基辅和伊万诺-弗兰基夫斯克呼叫中心的地址进行了搜查,查获了500多件电脑设备和手机,同时,在其他国家对该团伙其余成员的居住地进行了搜查。 警察在被捕者的家中以及基辅和伊万诺-弗兰基夫斯克呼叫中心的办公室进行了搜查。 已根据《乌克兰刑法》第190条(欺诈)第3部分启动刑事诉讼。该条款的制裁规定最高可判处8年监禁。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

监控供应商利用三星手机零日漏洞

Hackernews 编译,转载请注明出处: 谷歌Project Zero研究人员报告称,一家监控供应商正在使用三星手机的三个零日漏洞,分别追踪为CVE-2021-25337、CVE-2021-25369和CVE-2021-25370。 这三个漏洞是: CVE-2021-25337:SMR MAR-2021第1版之前的三星移动设备中剪贴板服务访问控制不当,允许不受信任的应用程序读取或写入某些本地文件。 CVE-2021-25369:SMR MAR-2021第1版之前的sec_log文件中存在一个不正确的访问控制漏洞,导致敏感的内核信息暴露给用户空间。 CVE-2021-25370:SMR Mar-2021第1版之前,dpu驱动程序中处理文件描述符的实现不正确,导致内存损坏,从而导致内核崩溃。 研究人员指出,这家监控公司在其间谍软件中包含了这三个漏洞,而这些漏洞在被利用时是零日漏洞。 这个野外漏洞利用链是一个很好的例子,它展示了与我们过去看到的许多Android漏洞不同的攻击面和“形状”。该链中的三个漏洞都在制造商的自定义组件中,而不是在AOSP平台或Linux内核中。并且3个漏洞中有2个是逻辑和设计漏洞,而不是内存安全漏洞。 监控供应商利用上述漏洞入侵三星手机。 TAG团队仅获得了可能处于测试阶段的三星手机的部分漏洞链。专家透露,该样本可追溯到2020年底。 该链值得进一步分析,因为它是一个3个漏洞链,其中所有3个漏洞都在三星自定义组件中,包括Java组件中的漏洞。 专家们解释说,该漏洞样本针对的是运行内核4.14.113和Exynos SOC的三星手机。在欧洲和非洲销售的手机使用这种特定的SOC,该漏洞依赖于Exynos三星手机的Mali GPU驱动程序和DPU驱动程序。 2020年末运行4.14.113内核的三星手机包括S10、A50和A51。 Google在2020年末发现这些漏洞后立即向三星报告,该供应商于2021年3月解决了这些漏洞。 谷歌没有透露监控供应商的名字,只是强调了与其他针对Android用户活动的相似之处,即意大利和哈萨克斯坦。 Project Zero指出,三星针对这些漏洞发布的公告并未提及它们在野外的利用。 当已知漏洞在野外被利用时,标记对于目标用户和安全行业都很重要。如果野外零日漏洞没有被披露,那么我们无法使用该信息来进一步保护用户,使用补丁分析和变体分析来了解攻击者已经知道的情况。 对这个漏洞链的分析为我们提供了新见解,让我们了解到了攻击者是如何瞄准Android设备的。这突出了对制造商特定组件进行更多研究的必要性。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

IceXLoader 恶意软件破坏了全球数千名受害者的计算机

Hackernews 编译,转载请注明出处: 名为IceXLoader的恶意软件加载程序的更新版本涉嫌破坏了全球数千台个人和企业Windows计算机。 IceXLoader是一种商品恶意软件,在地下论坛上以118美元的价格出售,终身许可。它主要用于在被入侵的主机上下载和执行其他恶意软件。 今年6月,Fortinet FortiGuard实验室表示,他们发现了一个用Nim编程语言编写的特洛伊木马版本,目的是逃避分析和检测。 Minerva实验室的网络安全研究员Natalie Zargarov在周二发表的一份报告中表示:“虽然6月份发现的版本(v3.0)看起来像是一个正在进行中的工作,但我们最近发现了一个新的v3.3.3加载器,它看起来功能齐全,并且包括一个多级交付链。” IceXLoader传统上是通过网络钓鱼活动分发的,包含ZIP档案的电子邮件是部署恶意软件的触发因素。感染链利用IceXLoader提供DarkCrystal RAT和加密货币矿工。 在Minerva实验室详细描述的攻击序列中,发现ZIP文件包含一个dropper,该dropper会丢弃一个基于.NET的下载程序,从硬编码的URL下载PNG图像(“Ejvffhop.png”)。 这个图像文件(另一个dropper)随后被转换为字节数组,允许它有效地解密并使用一种称为进程空心的技术将IceXLoader注入到一个新进程中。 IceXLoader的3.3.3版本与其前身一样,是用Nim编写的,它可以收集系统元数据,所有元数据都会被泄露到远程攻击者控制的域中,同时等待服务器发出进一步的命令。 这些命令包括重新启动和卸载恶意软件加载程序并停止其执行的功能。但它的主要功能是在磁盘上或内存中无文件下载和执行下一阶段的恶意软件。 Minerva实验室表示,命令和控制(C2)服务器中托管的SQLite数据库文件正在不断更新数千名受害者的信息,并补充说,该文件正在通知受影响的公司。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文