分类: 今日推送

英伟达泄露数据正被用来制作伪装成驱动的病毒

由于自称为 Lapsus$ 的组织泄露了与英伟达黑客攻击相关的数据,被盗的代码签名证书被用于远程访问未受保护的 PC,其他情况下则被用来部署恶意软件。 根据 Techpowerup 的报道,这些证书被用于“开发一种新型恶意软件”,BleepingComputer 将 Cobalt Strike 信标、Mimikatz、后门和远程访问木马 (RAT) 列为通过这种方式部署的一些恶意软件。 代码签名证书是开发人员在将可执行文件和驱动程序发布给公众之前用来签署它们的东西。对于 Windows 和其他系统用户来说,这是一种更安全的方式来验证原始文件的所有权。微软要求对内核模式驱动程序进行代码签名,否则操作系统将拒绝打开文件。 如果某些流氓使用来自英伟达的正版代码签署恶意软件,用户的 PC 可能无法在恶意软件解包,对系统造成严重破坏之前拦截它。 现在,这些代码与 Quasar RAT 一起被用于签署 Windows 驱动程序的证书。VirusTotal 目前显示“46 家安全供应商和 1 个沙箱将此文件标记为恶意文件。” 由于安全研究人员 Kevin Beaumont 和 Will Dormann 的热心报道,BleepingComputer 注意到以下序列号需要注意: · 43BB437D609866286DD839E1D00309F5 · 14781bc862e8dc503a559346f5dcc518 这两个代码实际上都是过期的英伟达签名,但您的操作系统仍会让它们以同样的方式通过。   (消息及封面来源:cnBeta)

乌克兰和美国在俄对乌采取军事行动前成为网络攻击目标

现在,不少新报告指出了跟俄罗斯对乌克兰采取的军事行动直接或间接有关的黑客行动。许多专家预测,俄罗斯将在乌克兰发动重大网络攻击,如关闭该国的电网。虽然大规模的行动还没有实现,但关于小规模攻击的报告已经开始出现。 当地时间周一,Google表示,它发现了针对乌克兰官员和波兰军队的广泛的网络钓鱼攻击。安全公司Resecurity Inc也分享了针对美国天然气供应公司的协调黑客攻击活动的证据。在这两种情况下,攻击可能跟与俄罗斯及其盟友有关的团体有关。 Google的威胁分析小组(TAG)指出,钓鱼活动的目标是乌克兰媒体公司UkrNet的用户以及“波兰和乌克兰政府和军事组织”。攻击是由包括白俄罗斯团体Ghostwriter和俄罗斯威胁行为者Fancy Bear在内的团体展开。后者跟俄罗斯军事情报机构GRU有关,另外还对2016年的美民主党电子邮件黑客攻击负责。 Google的Shane Huntley在一篇博文中写道:“在过去的两周里,TAG观察到来自一系列我们定期监测并为执法部门所熟知的威胁者的活动,其中包括FancyBear和Ghostwriter。这种活动的范围从间谍活动到网络钓鱼活动。我们正在分享这些信息以帮助提高安全社区和高风险用户的意识。” 而针对美国天然气公司的活动则成功渗透了100多台属于这些公司雇员和前雇员的电脑。至于该行动的动机目前还不清楚,但Resecurity将这项工作描述为“预先部署”–入侵机器进而为某种更大的行动做准备。 这些攻击则是在俄罗斯对乌克兰采取军事行动前两周开始的,而确保在美国天然气供应商中占有一席之地无疑将为地缘政治杠杆提供大量机会。作为一系列经济制裁的一部分,欧洲国家正在试图摆脱俄罗斯的天然气,对此,美国的能源公司已经加强了供应,进而使美国成为世界上最大的液化天然气或液化天然气供应商。 Resecurity CEO Gene Yoo告诉媒体,他认为这次攻击是由国家支持的黑客展开,不过他没有去猜测背后的可能黑手。彭博社指出,其中一名涉案的黑客跟Fancy Bear进行的攻击有联系。   (消息及封面来源:cnBeta)

TerraMaster 操作系统漏洞可能使 NAS 设备遭到远程黑客攻击

Hackernews 编译,转载请注明出处: 研究人员披露了 TerraMaster NAS设备的关键安全漏洞的细节,这些设备可以链接到未经身份验证的远程代码执行,且具有最高权限。 埃塞俄比亚网络安全研究公司 Octagon Networks 的 Paulos yibello 在分享给 The Hacker News 的一份声明中表示,这些问题存在于 TerraMaster 操作系统(TOS)中,“只要知道受害者的 IP 地址,就能让未经认证的攻击者进入受害者的保险箱。” TOS 是为 TNAS 设备设计的操作系统,使用户能够管理存储、安装应用程序和备份数据。经过严谨的披露,上周3月1日发布的 TOS 版本4.2.30中,这些漏洞被修补。 其中一个漏洞被追踪为 CVE-2022-24990,与一个名为“ webNasIPS”的组件中的信息泄露案例有关,导致 TOS 固件版本、默认网关接口的 IP 和 MAC 地址以及管理员密码的散列暴露。 另一方面,第二个漏洞涉与一个名为“ createRaid”(CVE-2022-24989)的 PHP 模块中的命令注入漏洞有关,导致出现这样一种情况,即这两个漏洞可以同时出现,以提交一个特别制作的命令来实现远程代码执行。 “总而言之,这是一个非常有趣的任务,”Yibelo说。“我们使用了信息泄漏的多个组件,另一个是机器时间的信息泄漏,并将其与经过身份验证的操作系统命令注入链接起来,以根用户身份实现未经身份验证的远程代码执行。 TerraMaster NAS 设备也受到 Deadbolt 勒索软件的攻击, 与 QNAP 和  ASUSTOR 一样也是受害者,该公司称,它解决了 TOS 版本4.2.30 中可能被黑客利用来部署 勒索软件的漏洞。 目前尚不清楚 Octagon Networks 发现的一系列漏洞和被武器化用于 Deadbolt感染的漏洞是同一种。我们已经联系 TerraMaster 进行进一步的查验,如果有进展,我们将更新相关报道。 “修正了与 Deadbolt 勒索软件攻击有关的安全漏洞,”该公司声明,并建议用户“重新安装最新版本的 TOS 系统(4.2.30或更高版本) ,以防止未加密文件被加密。     消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

两个Mozilla Firefox 零日漏洞曝光

Hackernews 编译,转载请注明出处: Mozilla 在其 Firefox 浏览器中加入了带外数据软件升级,包含了两个高影响力的安全漏洞。 Mozilla 称,这两个漏洞正在被大肆利用。 标记为 cve-2022-26485和 cve-2022-26486的零日漏洞被描述为影响 XSLT 参数处理和 WebGPU 行程间通讯(IPC)框架的use-after-free 漏洞。 XSLT 是一种基于 XML 的语言,用于将 XML 文档转换为网页或 PDF 文档,而 WebGPU 是一种新兴的 web 标准,被宣传为当前 WebGL JavaScript 图形库的继承者。 这两个漏洞的描述如下- CVE-2022-26485-在处理过程中删除 XSLT 参数可能导致 use-after-free 漏洞 CVE-2022-26486-WebGPU IPC 框架中的一条意外消息可能导致use-after-free漏洞和沙箱逃离 Use-after-free 漏洞(可以用来破坏有效数据并在受损系统上执行任意代码)主要源于“程序负责释放内存的部分的混乱” Mozilla 承认,“我们收到了这两个漏洞成为攻击武器的报告”,但没有透露任何与入侵或利用这些漏洞的恶意黑客的身份有关的技术细节。 考虑到这些漏洞,建议用户尽快升级到 Firefox 97.0.2,Firefox ESR 91.6.1,Firefox for Android 97.3.0,Focus 97.3.0和 Thunderbird 91.6.2。   消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Adafruit 披露了前员工 GitHub 储存库中的数据泄露

Hackernews 编译,转载请注明出处: Adafruit 披露了一个数据泄露事件,这个事件是由于一个可公开查看的 GitHub 存储库引起的。 该公司怀疑这可能允许攻击者对2019年或之前对某些用户的信息进行“未经授权的访问”。 Adafruit 总部位于纽约市,自2005年以来一直是开源硬件组件的供应商。该公司设计,制造和销售电子产品,工具和配件。 前雇员的 GitHub 储存库拥有真实的客户数据 On Friday, March 4th, Adafruit announced that a publicly-accessible GitHub repository contained a data set comprising information on some user accounts. This information included: 3月4日,星期五,Adafruit 宣布一个可公开访问的 GitHub 存储库包含了一个包含一些用户账户信息的数据集。这些信息包括: 名字 邮件地址 运输/帐单地址 订单详情 支付程序或PayPal上的订单状态 根据 Adafruit 的说法,这些数据集不包含任何用户密码或信用卡等财务信息。然而,包括订单细节在内的真实用户数据可能会被垃圾邮件黑客和网络钓鱼者用来攻击 Adafruit 的客户。 有趣的是,数据泄漏并不是来自 Adafruit 的 GitHub 存储库,而是来自一位前雇员。一名前雇员在他们的 GitHub 储存库 中使用真实的客户信息进行培训和数据分析操作。 该公司解释说: “ Adafruit 在得到关于意外泄露信息的通知后15分钟内,就与这名前雇员取得联系,删除了相关的 GitHub 存储库,Adafruit 团队开始了检测程序,以确定是否有任何访问权限,以及哪类数据被影响了。” 用户需要正确的通知 目前,Adafruit 并不知道这些暴露的信息被对手滥用,并声称其披露这一事件是为了“透明度和责任感”。 然而,该公司决定不向每一位用户发送这一事件有关的电子邮件。 Adafruit 解释说,尽管所有的安全信息都公布在公司的博客和安全页面上,但用户并没有采取任何行动,因为数据集中没有显示任何密码或支付卡信息。 “我们评估了风险,咨询了我们的隐私律师和法律专家,并采取了我们认为合适的解决问题的方法,同时保持公开和透明,我们并不认为直接发送电子邮件在这种情况下有帮助,”Adafruit 的常务董事Phillip Torrone和创始人 Limor“ Ladyada” Fried说。 But, not all Adafruit customers are convinced, with some demanding email notifications be sent out with regards to the incident: 但是,并不是所有的 Adafruit 用户都信服了,他们提出了自己的需求: 用户的一个主要担心是在前团队成员的 GitHub repo 中使用了真实的客户信息,而不是使用自动生成的“假”临时数据,以及这些信息如何被网络钓鱼者滥用: 值得注意的是,在 GitHub 存储库中保存真实的客户数据,即使是私有的存储库,也是十分危险的。 去年,电子商务巨头 Mercari 遭遇了一起数据泄露事件,这起事件是他们的 GitHub 储存库泄露了超过17000份客户记录,其中包括银行信息。Rapid7还遭受了一次私人 GitHub 储存库制造成的数据泄露,影响到了“一小部分客户”。 Adafruit 表示: “此外,我们正在实施更多的协议和访问控制,以避免未来可能出现的任何数据曝光,并限制员工培训使用的访问权限。” 用户应对任何可能接收到冒充 Adafruit 职员的钓鱼诈骗或通信保持警惕。该公司特别敦促人们注意可能诱使受害者泄露密码的虚假“重置密码”提醒。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文  

NVIDIA 拒绝支付赎金后 威胁者利用代码签署恶意软件 可在 Windows 中加载

利用窃取过来的 NVIDIA 代码,威胁者利用签名证书来签署恶意软件,使其看起来值得信赖,并允许在 Windows 中加载恶意驱动程序。本周,NVIDIA 公司证实,他们遭受了一次网络攻击,使威胁者得以窃取员工的证书和专有数据。 对本次泄露事件负责的勒索集团 Lapsus$ 表示,他们已经窃取了 1TB 的数据,并在 NVIDIA 拒绝与他们谈判后开始在网上泄露这些数据。泄漏的数据包括 2 份被盗的代码签名证书,这些证书是 NVIDIA 开发人员用来签署其驱动程序和可执行文件的。 代码签名证书允许开发人员对可执行文件和驱动程序进行数字签名,以便 Windows 和终端用户能够验证文件的所有者,以及它们是否被第三方篡改过。为了提高 Windows 的安全性,微软还要求内核模式的驱动程序在操作系统加载之前必须进行代码签名。 在 Lapsus$ 泄露了英伟达的代码签名证书后,安全研究人员很快发现,这些证书被用来签署恶意软件和威胁者使用的其他工具。根据上传到 VirusTotal 恶意软件扫描服务的样本,被盗的证书被用来签署各种恶意软件和黑客工具,如 Cobalt Strike 信标、Mimikatz、后门和远程访问木马。 例如,一个威胁者用该证书签署了一个 Quasar 远程访问特洛伊木马[VirusTotal],而另一个人用该证书签署了一个 Windows 驱动程序[VirusTotal]。虽然这 2 个被盗的英伟达证书都已过期,但Windows仍然允许在操作系统中加载用这些证书签名的驱动程序。   (消息及封面来源:cnBeta)

警告:针对 ASUSTOR NAS 设备的 Deadbolt 勒索软件

Hackernews 编译,转载请注明出处: ASUSTOR 网络附属存储(NAS)设备已经成为 Deadbolt 勒索软件的最新受害者,不到一个月前,类似的攻击受害者是QNAP 网络附加存储设备。 为了应对感染,该公司发布了固件更新(ADM 4.0.4.RQO2)来“解决相关的安全问题”该公司还敦促用户采取以下行动,以保持数据安全: 更改密码 使用强密码 更改默认 HTTP 和 HTTPS 端口。默认端口分别为8000和8001 更改 web 服务器端口(默认端口为80和443) 关闭终端/SSH 和 SFTP 服务以及其他您不使用的服务,并 定期备份并确保备份是最新的 这些攻击主要影响运行 ADM 操作系统的网络公开 ASUSTOR NAS 模型,包括但不限于 AS5104T、 AS5304T、 AS6404T、 AS7004T、 AS5202T、 AS6302T 和 AS1104T。 就像针对 QNAP NAS 设备的入侵一样,黑客声称使用了一个0day漏洞来加密 ASUSTOR NAS 设备,要求受害者支付0.03比特币(约合1150美元)来恢复访问权限。 勒索软件运营商在发给 ASUSTOR 的另一条信息中表示,如果该公司支付比特币7.5比特币,他们愿意分享该漏洞的详细信息,此外,他们还愿意出售通用解密密钥,总金额为50btc。 使用的安全漏洞的具体细节尚不清楚,但是我们怀疑攻击向量与EZ Connect 功能中的一个漏洞有关,该漏洞允许远程访问 NAS 设备,该公司已敦促禁用该功能作为预防措施。 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

TrickBot 团伙转移阵地,Emotet 成新选择

Hackernews 编译,转载请注明出处: TrickBot 是一个臭名昭著的“ Windows 犯罪软件即服务”(Windows crimeware-as-a-service,简称 caa)解决方案,被各种黑客用来提供下一阶段的有效载荷,比如勒索软件。TrickBot似乎正在做出转变,自今年年初以来没有新的活动记录。 Intel 471的研究人员在与The Hacker News分享的一份报告中说,恶意软件活动的暂停“部分是由于 Trickbot 运营商的重大转变,变化包括与 Emotet 运营商的合作”。 最近一次涉及 TrickBot 的攻击发生在2021年12月28日,但与该恶意软件相关的命令与控制(C2)基础设施一直在为僵尸网络中受感染的节点提供额外的插件和网络注入。 有趣的是,TrickBot 团伙活动量的减少也伴随着与 Emotet 操作者密切的合作 ,在执法部门解决恶意软件10个月之后,Emotet 在去年年底死灰复燃。 2021年11月首次观察到的攻击包含一个感染序列,使用 TrickBot 作为下载和执行 Emotet 二进制文件的渠道,而在攻击之前,Emotet 经常被用来传递 TrickBot 的样本。 研究人员说: “很有可能,TrickBot 的运营者已经将 TrickBot 的恶意软件从他们的运营中剔除,转而使用其他平台,比如 Emotet。”“毕竟,TrickBot 是一个相对老旧的恶意软件,还没有进行过大规模的更新。” 此外,Intel 471表示,它观察到 TrickBot 在2021年11月 Emotet 回归后不久将 Qbot 安装到被破坏的系统中,这再次暗示了幕后重组正在转移到其他平台。 随着 TrickBot 在2021年越来越多地受到执法者的关注,它背后的攻击者正在积极地试图改变战术和更新他们的防御措施。 根据 Advanced Intelligence (AdvIntel)上周发布的另一份报告,Conti 勒索软件团伙据信已经人才并购了 TrickBot 的几名精英开发者,让他们放弃这种恶意软件,转而使用BazarBackdoor 等增强型工具。 研究人员指出: “也许研究员对 TrickBot 的不必要的关注和更新、改进后的恶意软件平台的可用性使得 TrickBot 的操作者放弃了它。”“我们怀疑恶意软件控制基础设施(C2)仍在维护,因为剩下的机器人仍然有一些经济价值。” 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

俄对乌克兰展开新一轮恶意软件攻击

Hackernews 编译,转载请注明出处: 网络安全公司ESET 和Broadcom的Symantec表示,他们发现了一种新的数据雨刷恶意软件,用于对乌克兰数百台电脑的新一轮攻击。俄罗斯军队正式对乌克兰展开全面军事行动。 这家斯洛伐克公司将这款雨刷命名为”HermeticWiper” (又名 KillDisk.NCV) ,其中一个恶意软件样本编写于2021年12月28日,这意味着攻击的准备工作可能已经进行了近两个月。 ESET 在一系列推文中说: “雨刷二进制文件是使用Hermetica 数字有限公司签发的代码签名证书签名的。”“雨刮器使用 EaseUS Partition Master 软件的合法驱动程序,以破坏数据。最后,雨刮会重新启动计算机。” 其中至少有一次入侵涉及直接从 Windows 网域控制器中部署恶意软件,这表明攻击者已经控制了目标网络。 数据清除攻击的规模和影响尚不清楚,感染背后的黑客身份也不得而知。但这是今年第二次有破坏性的恶意软件被部署到乌克兰的计算机系统中,第一次是在1月中旬  WhisperGate 攻击事件。 此前,在乌克兰发生了第三波“大规模”分布式拒绝服务(DDoS)攻击,数家乌克兰政府和银行机构在周三遭到攻击,乌克兰外交部(Ministry of Foreign Affairs)、部长内阁(Cabinet of minister)和议会(Rada)的网络门户遭到破坏。 上周,乌克兰最大的两家银行 PrivatBank 和 Oschadbank,以及乌克兰国防部和武装部队的网站由于来自不明角色的 DDoS 攻击而瘫痪,英国和美国政府将矛头指向俄罗斯总参谋部情报部(GRU),克里姆林宫否认了这一指控。 使用 DDoS 攻击的行为会产生大量垃圾信息,目的是压倒目标,使他们无法访问。随后,CERT-UA 对2月15日事件的分析发现,这些事件是通过类似 Mirai和 Mēris这样的僵尸网络,利用感染的 MikroTik 路由器和其他物联网设备实现的。 此外,据说仅在2022年1月,乌克兰国家机构的信息系统就遭受了多达121次的网络攻击。 这还不是全部。Accenture本周早些时候发布的一份报告显示,暗网上的网络犯罪分子正试图利用目前的政治紧张局势,在 RaidForums 和 Free Civilian 市场上推销他们的数据库和网络访问,因为其中包含乌克兰公民和重要基础设施实体的信息,“希望获得高额利润”。 自今年年初以来,破坏性的恶意网络行为不断发生,乌克兰执法机构将这些攻击描述为散布焦虑、削弱人们对国家保护公民能力的信心,以及破坏国家团结的行为。 2月14日,乌克兰安全局(SSU)表示: “乌克兰正面临着有组织地制造恐慌、传播虚假信息和歪曲事实的行动”。“所有这些加在一起,只不过是又一场大规模的混合战争。”     消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

快速清洁 APP 要慎用,银行木马可能藏身其中

Hackernews 编译,转载请注明出处: 一个新的安卓银行木马通过官方的 Google Play Store 分发,安装量超过50,000次,其目的是针对56家欧洲银行,从受损的设备中获取敏感信息。 这款恶意软件被荷兰安全公司ThreatFabric命名为 Xenomorph,据说它与另一个名为 Alien 的银行木马有很多相同部分,同时在功能方面也与其前身“截然不同”。 公司的创始人兼首席执行官 Han Sahin 说: “尽管目前还在进行中,Xenomorph 已经开始在官方应用程序商店中进行有效的覆盖和积极的分发。”“此外,它具有一个非常详细和模块化的引擎,可以随意使用无障碍服务,这在未来可以提供非常先进的能力,如 ATS。” Alien,一个远程访问木马(RAT),具备通知嗅探和基于认证的2FA盗窃功能,在2020年8月臭名昭著的Cerberus恶意软件消失不久后就出现了。从那时起,发现了其他的Cerberus分支,包括2021年9月的  ERMAC。 跟 Alien 和 ERMAC 一样,Xenomorph 也是一个 Android 银行木马的例子。这种木马通过伪装成“快速清洁”(Fast Cleaner)等生产力应用程序,欺骗不知情的受害者安装恶意软件,从而绕过谷歌 Play Store 的安全保护。 值得注意的是,去年11月,一款名为GymDrop 的健身训练滴管应用程序被发现装载了Alien木马病毒,并将其伪装成“一套新的健身锻炼”。该应用程序有1万多次安装量。 手机应用市场情报公司 Sensor Tower 的数据显示,“Fast Cleaner”在葡萄牙和西班牙最受欢迎,其软件包名为“ vizeeva.Fast.Cleaner”,目前仍可在应用商店购买。2022年1月底,“Fast Cleaner”首次出现在 Play Store 上。 此外,用户对该应用程序的评论还警告说,“该应用程序含有恶意软件”,并且“要求持续确认更新”另一位用户说: “它在设备上安装了恶意软件,除此之外,它还有一个自我保护系统,所以你不能卸载它。” Xenomorph 还使用了一种经典的策略,即引导受害者授予其无障碍服务特权,并滥用权限进行覆盖攻击,其中,恶意软件在来自西班牙、葡萄牙、意大利和比利时的目标应用上注入流氓登录屏幕,以窃取凭证和其他个人信息。 此外,它还配备了通知拦截功能,可以提取通过 SMS 接收的双因素身份验证令牌,并获取已安装的应用程序列表,其结果将被提取到远程命令控制服务器。 研究人员表示: “ Xenomorph 的出现再次表明,黑客正将注意力集中在官方市场的应用上。”“现代银行恶意软件的发展速度非常快,犯罪分子开始采用更精细的开发实践来支持未来的更新。”  消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文