VirusTotal 揭露恶意软件攻击中的假冒软件

Hackernews 编译,转载请注明出处: 越来越多黑客模拟Skype、Adobe Reader和VLC Player等合法应用程序,以此作为滥用信任关系的手段,并增加社会工程攻击成功的可能性。 VirusTotal的分析显示,其他被模拟最多的合法应用程序包括7-Zip,TeamViewer,CCleaner,Microsoft Edge,Steam,Zoom和WhatsApp。 黑客通过欺骗不知情的用户下载和运行看似无害的可执行文件,从而采取各种方法来损害端点,这并不奇怪。 这主要是通过利用真实域来实现的,以绕过基于IP的防火墙防御。一些被滥用的顶级域名是discordapp[.]com、squarespace[.]com、amazonaws[.]com、mediafire[.]com和qq[.]com。 Alexa排名前1000的网站共有101个域名,其中至少有250万个可疑文件被检测到。 另一种常用的技术是,用从其他软件制造商那里窃取的有效证书对恶意软件进行签名。该恶意软件扫描服务表示,自2021年1月以来,它发现了100多万个恶意样本,其中87%在首次上传到其数据库时具有合法签名。 VirusTotal表示,自2020年1月以来,它还发现了1816个样本,这些样本伪装成合法软件,将恶意软件打包到其他流行软件的安装程序中,如Google Chrome、Malwarebytes、Zoom、Brave、Mozilla Firefox和Proton VPN。 当黑客设法侵入合法软件的更新服务器或未经授权访问源代码时,这种分发方法还可能导致供应链攻击,从而以特洛伊木马二进制文件的形式潜入恶意软件。 或者,合法的安装程序与恶意软件一起打包在压缩文件中,其中包括合法的Proton VPN安装程序和安装Jigsaw勒索软件的恶意软件。 第三种方法虽然更复杂,但需要将合法安装程序作为可移植的可执行资源合并到恶意样本中,以便在恶意软件运行时也执行安装程序,从而产生软件按预期工作的假象。 研究人员说:“当把这些技术作为一个整体考虑时,可以得出结论,攻击者在短期和中期滥用(如被盗证书)既有机会主义因素,也有常规(最有可能)自动化程序,攻击者旨在以不同的方式直观复制应用程序。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Google 修补 Android 中的关键远程代码执行漏洞

Hackernews 编译,转载请注明出处: Google修补了Android操作系统中的一个关键漏洞,跟踪为CVE-2022-20345,可利用该漏洞通过蓝牙实现远程代码执行。 Google没有透露有关该漏洞的其他细节。 “本节中最严重的漏洞可能导致通过蓝牙远程执行代码,而不需要额外的执行权限。”Google发布的安全公告中写道。 Google通过发布安全补丁级别“2022-08-01”和“2022.08-05”解决了这个问题。 CVE-2022-20345漏洞是Google本月唯一被评为“严重”的漏洞。其他所有漏洞都被评为“高危”。这些漏洞影响了框架、媒体框架、系统、内核、想象技术、联发科技、Unisoc和高通组件。 Google还修补了Google Pixel设备中的数十个安全漏洞,包括四个关键的远程代码执行漏洞,跟踪如下: CVE REFERENCES TYPE SEVERITY COMPONENT CVE-2022-20237 A-229621649 * RCE Critical Modem CVE-2022-20400 A-225178325* RCE Critical Modem CVE-2022-20402 A-218701042 * RCE Critical Modem CVE-2022-20403 A-207975764 * RCE Critical Modem   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

新 ParseThru 走私漏洞影响基于 Golang 的应用程序

Hackernews 编译,转载请注明出处: 安全研究人员发现了一个名为ParseThru的新漏洞,该漏洞会影响基于Golang的应用程序,这些应用程序可能会被滥用以未经授权访问基于云的应用程序。 以色列网络安全公司Oxeye在与The Hacker News分享的一份报告中表示:“由于使用了该语言内置的不安全URL解析方法,新发现的漏洞允许黑客在某些情况下绕过验证。” 这个问题的核心在于,与引入Golang的URL解析逻辑(在“net/url”库中实现)的更改导致的不一致有关。 虽然1.17之前的编程语言版本将分号视为有效的查询分隔符(例如,example.com?a=1;b=2&c=3),但此行为已被修改为在找到包含分号的查询字符串时引发错误。 现在,带有非百分比编码分号的设置将被拒绝,在请求URL中遇到警告时,net/http服务器将向‘Server.ErrorLog’记录警告。 当构建在版本1.17或更高版本上的基于Golang的公共API与运行早期版本的后端服务进行通信时,就会出现问题,从而导致黑客可以走私包含查询参数的请求,否则这些请求将被拒绝。 简而言之,这个想法是发送在查询字符串中包含分号的特制请求,面向Golang API的用户会忽略该请求,但内部服务会处理它。 Oxeye表示,它在Harbor、Traefik和Skipper等开源项目中发现了几个ParseThru实例,这使得绕过现有的验证并执行未经授权的操作成为可能。在向各供应商披露后,这些问题已得到解决。 这不是URL解析第一次引起安全问题。今年1月初,Claroty和Snyk披露了用C、JavaScript、PHP、Python和Ruby语言编写的第三方库中多达八个漏洞,这些漏洞源于URL解析中的混乱。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文  

针对影响多个产品的新漏洞,VMware 发布安全补丁

Hackernews 编译,转载请注明出处: 虚拟化服务提供商VMware周二发布了更新,以解决影响多个产品的10个安全漏洞,这些漏洞可能被未经身份验证的攻击者滥用以执行恶意操作。 从CVE-2022-31656到CVE-202-31665(CVSS评分:4.7-9.8)跟踪的漏洞会影响VMware Workspace ONE Access、Workspace ONE Access Connector、Identity Manager、Identity Manager Connector、vRealize Automation、Cloud Foundation和vRealize Suite Lifecycle Manager。 其中最严重的漏洞是CVE-2022-31656 (CVSS评分:9.8),这是一个影响本地域用户的身份验证绕过漏洞,具有网络访问权限的黑客可以利用该漏洞来获得管理访问权限。 VMware还解决了与JDBC和SQL注入相关的三个远程代码执行漏洞(CVE-2022-31658、CVE-022-31659和CVE-202-31665),这些漏洞可能被具有管理员和网络访问权限的对手武器化。 在其他地方,它还修复了一个反映的跨站点脚本(XSS)漏洞(CVE-2022-31663),该漏洞是用户清理不当的结果,可能会导致恶意JavaScript代码的激活。 其他补丁包括三个本地权限升级漏洞(CVE-2022-31660、CVE-2022-31661和CVE-2022-31664),它们允许具有本地访问权限的参与者将权限升级为“root”,URL注入漏洞(CVE-2022-31657)和路径遍历漏洞(CVE-2022-31662)。 虽然成功利用CVE-2022-31657可以将经过身份验证的用户重定向到任意域,但CVE-202-31662可能会让攻击者以未经授权的方式读取文件。 VMware表示,它不知道有人在野外利用这些漏洞,但敦促使用易受攻击产品的客户立即应用补丁以缓解潜在威胁。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

奥地利称 DSIRF 公司涉嫌开发 Subzero 间谍软件

Hackernews 编译,转载请注明出处: 一家奥地利公司DSIRF开发了针对律师事务所、银行和咨询公司的间谍软件。 7月底,微软威胁情报中心和微软安全响应中心的研究人员将一个名为Knotweed的威胁组织与奥地利一家名为DSIRF的监视公司联系起来,该公司因使用多个Windows和Adobe零日漏洞而闻名。该组织使用一种名为Subzero的监视工具瞄准欧洲和中美洲的实体。 微软表示,多篇新闻报道已将该公司与Subzero恶意软件工具集联系起来,该工具集用于破解各种设备,手机、计算机以及网络和互联网连接设备。 研究人员发现有证据表明DSIRF与Knotweed的操作有关,包括Subzero使用的C2基础设施,以及向DSIRF颁发的代码签名证书,用于对漏洞进行签名。 上周,奥地利宣布正在调查一份报告,该报告称DSIRF与至少三个国家的间谍软件目标实体有关。 奥地利内政部表示,它不清楚该事件,也没有与之建立业务关系。 “当然,国家安全情报院会核实这些指控。到目前为止,没有证据表明上述公司使用了间谍软件。”奥地利内政部发表的一份声明表示。 奥地利的Kurier报纸证实,DSIRF开发了Subzero监视软件,但补充说,该软件没有被滥用,是专门为欧盟国家当局开发的——该报纸还补充说,间谍软件没有商业价值。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

研究人员发现近 3200 个移动应用程序泄露 Twitter API 密钥

Hackernews 编译,转载请注明出处: 研究人员发现了一份3207个应用程序的列表,其中一些应用程序可以用来获取未经授权的Twitter帐户访问权限。 研究人员说:“在3207个应用程序中,有230个应用程序泄漏了所有四个身份验证凭据,可用于完全接管其Twitter帐户,并执行任何关键/敏感操作。” 从阅读直接消息到执行任意操作,如转发、点赞和删除推文,关注任何帐户,删除关注者,访问帐户设置,甚至更改帐户头像。 访问Twitter API需要生成密钥和访问令牌,这些密钥和令牌充当应用程序的用户名和密码,并代表发出API请求的用户。 因此,拥有这些信息的黑客可以创建一个Twitter机器人军队,该军队可能被用来在社交媒体平台上传播错误/虚假信息。 此外,在CloudSEK解释的一个假设场景中,从移动应用程序中获取的API密钥和令牌可以嵌入到一个程序中,通过验证帐户运行大规模恶意软件活动,以锁定其追随者。 除此之外,应该注意的是,密钥泄漏不仅仅限于Twitter API。过去,CloudSEK研究人员已经从未受保护的移动应用程序中发现了GitHub、AWS、HubSpot和Razorpay帐户的密钥。 为了缓解此类攻击,建议查看代码中是否有直接硬编码的API密钥,同时定期轮换密钥,以降低泄漏可能带来的风险。 研究人员说:“环境中的变量是引用和隐藏密钥的另一种方法,而不是将它们嵌入源文件。变量可以节省时间并提高安全性,应充分注意确保源代码中不包含环境变量的文件。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

黑客称已入侵欧洲导弹制造商 MBDA

Hackernews 编译,转载请注明出处: 名为Adrastea的黑客称已经入侵了这家跨国导弹制造商MBDA。 MBDA是由法国、英国和意大利的主要导弹系统公司(Aérospatiale-Matra、BAE Systems和Finmeccanica(现为Leonardo))合并而成的欧洲跨国导弹开发商和制造商。MBDA这个名字来源于导弹公司名称的首字母缩写:Matra、BAe Dynamics和Alenia。 Adrastea表示,他们发现了公司基础设施中的关键漏洞,并窃取了60 GB的机密数据。 攻击者称,被盗数据包括该公司参与军事项目、商业活动、合同协议以及与其他公司通信的员工信息。 “你好!我们是‘Adrastea’ —— 一个由网络安全领域的独立专家和研究人员组成的团队。我们发现您的网络基础设施中存在严重漏洞,并获得了对公司文件和机密数据的访问权限。目前,下载的数据量约为60 GB。”该组织在一个流行的黑客论坛上发布的adv中写道。“下载的数据包含贵公司员工的保密信息,这些员工参与了MBDA封闭军事项目(PLANCTON、CRONOS、CA SIRIUS、EMADS、MCDS、B1NT等)的开发。以及有关贵公司为欧盟国防部的利益而进行的商业活动(防空、导弹系统和海岸保护系统的设计文件、图纸、演示文稿、视频和照片(3D)材料、合同协议以及与Rampii Carlo、Netcomgroup、Rafael、Thales、ST Electronics等其他公司的通信)。” 作为黑客入侵的证据,Adrastea分享了一个受密码保护的链接存档,其中包含与项目和通信相关的内部文件。 目前尚不清楚这些黑客是否只入侵了该公司的一个国家部门,他们没有透露有关攻击的详细信息。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

最新关键 Atlassian Confluence 漏洞已被广泛利用

Hackernews 编译,转载请注明出处: 一周前,Atlassian为Confluence Server和Confluence Data Center的Confluence应用程序发布了补丁,其中包含一个关键漏洞,现在这个漏洞已经被广泛利用。 该漏洞追踪为CVE-2022-26138,它涉及在应用程序中使用硬编码密码,未经验证的远程攻击者可能会利用该密码获得对Confluence中所有页面的无限制访问权。 在Twitter上发布硬编码凭据之后,这家澳大利亚软件公司开始优先考虑补丁,以缓解针对该漏洞的潜在威胁。 值得注意的是,这个漏洞只在Confluence应用程序启用时才存在。也就是说,卸载Confluence应用程序并不能修复漏洞,因为在卸载应用程序后,创建的帐户不会自动删除。 建议受影响产品的用户尽快将其本地实例更新到最新版本(2.7.38和3.0.5),或采取措施禁用/删除该帐户。 Palo Alto Networks在其2022年Unit 42事件响应报告中发现,黑客在公开披露新的安全漏洞后15分钟内,会扫描易受攻击的端点。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Akamai 阻止了针对其欧洲客户的最大规模 DDoS 攻击

Hackernews 编译,转载请注明出处: 本月,Akamai阻止了攻击欧洲一家组织的最大规模分布式拒绝服务(DDoS)攻击。 该攻击针对东欧的一位Akamai客户,该客户在过去30天内遭受了75次多种类型的DDoS攻击,包括UDP、UDP碎片、ICMP洪水、RESET洪水、SYN洪水、TCP异常、TCP碎片、PSH ACK洪水、FIN推送洪水和PUSH洪水。 Akamai发布的帖子中写道:“2022年7月21日星期四,Akamai检测到并缓解了有史以来在Prolexic平台上针对欧洲客户发起的最大DDoS攻击,全球分布式攻击流量在14小时内达到峰值853.7 Gbps和659.6 Mpps。该攻击以大量客户IP地址为目标,形成了Prolexic平台上最大的全球横向攻击。” 据Akamai称,黑客使用由受感染设备组成的高度复杂的全球僵尸网络来发起攻击。 去年9月,俄罗斯互联网巨头Yandex遭受了Runet历史上最大规模的DDoS攻击。Runet是独立于万维网的俄罗斯互联网,旨在确保该国对互联网关闭的恢复能力。该攻击由Mēris僵尸网络发起,达到2180万RPS(每秒请求数)。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

两名男子对放射性警报网络进行网络攻击,被西班牙警方逮捕

Hackernews 编译,转载请注明出处: 西班牙警方逮捕了两名涉嫌在2021年3月至6月期间攻击该国放射性警报网络的黑客。 RAR系统是一个由γ辐射检测传感器组成的网状系统,部署在全国各地,用于检测异常辐射水平,并采取保护措施,防止对环境和人口造成损害。传感器通过电话连接到DGPCE总部的控制中心,该控制中心收集测量数据并向传感器发送必要的命令。 嫌疑人是一家负责RAR系统维护公司的前员工,因此,他们对该系统有技术知识。 这两名嫌疑人可以访问民防和紧急情况总局(DGPGE)的网络,并且能够断开传感器与系统的连接,即使是在核电站环境中也降低了传感器的探测能力。 国家警察网络攻击小组在DGPGE的帮助下确定,一旦攻击者获得网络访问权限,就试图删除控制中心中的RAR管理Web应用程序。嫌疑人瞄准了现有800个传感器中的300多个。 与此同时,这两人对传感器发起了单独攻击,在遍布西班牙的800个传感器中摧毁了300个,基本上切断了他们与控制中心的联系,并破坏了数据交换。 在西班牙当局发现安全漏洞后,针对RAR的网络攻击于2021年6月停止。 “在调查过程中发现,这两名被拘留者通过DGPCE签约的一家公司负责RAR系统的维护计划,他们对此有深入的了解,更容易实施攻击,并帮助他们努力掩盖其作者身份,大大增加了调查的难度。”Policia National发布的公告表明。 警方没有提供此次攻击事件的更多细节,目前尚不清楚攻击动机。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文