分类: 今日推送

欧盟网络安全局 ENISA 发布勒索软件报告,揭露欧盟当前机制缺陷

作为过去十年最具破坏性的网络安全攻击类型之一,勒索软件已经发展到影响全球各种规模的组织。 什么是勒索软件? 勒索软件是一种网络安全攻击,它允许威胁参与者控制目标的资产并要求赎金以保证这些资产的可用性和机密性。 报告分析了2021年5月至2022年6月报告期内欧盟、英国和美国共发生的 623 起勒索软件事件。数据来自政府和安全公司的报告、媒体、经过验证的博客,在某些情况下使用来自暗网的相关资源。 据悉,在 2021 年 5 月至 2022 年 6 月期间,勒索软件威胁参与者每月窃取大约 10 TB 的数据。58.2%的被盗数据包括员工个人数据。至少发现了47 个独特的勒索软件威胁参与者。对于 94.2% 的事件,我们不知道公司是否支付了赎金。但是,当协商失败时,攻击者通常会在他们的网页上公开数据并使其可用。这是一般情况下发生的情况,并且是 37.88% 事件的现实。 因此,我们可以得出结论,其余 62.12% 的公司要么与攻击者达成协议,要么找到了另一种解决方案。该研究还表明,各种规模和各行各业的公司都受到影响。 然而,上述数字只能描绘整体情况的一部分。实际上,研究表明勒索软件攻击的总数要大得多。目前这个总数是不可能的,因为太多的组织仍然没有公开他们的事件或没有向有关当局报告。 有关已披露事件的信息也非常有限,因为在大多数情况下,受影响的组织不知道威胁参与者是如何设法获得初始访问权限的。最后,组织可能会在内部处理该问题(例如决定支付赎金)以避免负面宣传并确保业务连续性。然而,这种方法无助于解决问题——相反,它反而助长了这种现象,在此过程中助长了勒索软件的商业模式。 正是在这些挑战的背景下,ENISA 正在探索改进这种事件报告的方法。修订后的网络和信息安全指令 (NIS 2) 有望改变通知网络安全事件的方式。新规定旨在支持对相关事件进行更好的映射和理解。 根据报告的分析,勒索软件攻击可以通过四种不同的方式针对资产:攻击可以锁定、加密、删除或窃取(LEDS)目标资产。目标资产可以是任何东西,例如来自文件、数据库、Web 服务、内容管理系统、屏幕、主引导记录 (MBR)、主文件表 (MFT) 等的文档或工具。 勒索软件的生命周期一直保持不变,直到 2018 年左右,勒索软件开始添加更多功能并且勒索技术成熟。我们可以确定勒索软件攻击的五个阶段:初始访问、执行、目标行动、勒索和赎金协商。这些阶段不遵循严格的顺序路径。 研究中出现了 4 种不同的勒索软件商业模式: 以个人攻击者为中心的模型 以群体威胁参与者为重点的模型 勒索软件即服务模型 数据中介模型 一种主要旨在将恶名作为成功勒索软件业务的关键的模型(勒索软件运营商需要保持一定的恶名声誉,否则受害者将不会支付赎金) 勒索软件生命周期的五个阶段 转自 E安全 ,原文链接:https://mp.weixin.qq.com/s/Wr6nKrGKPDBFjIt6UcGQLg 封面来源于网络,如有侵权请联系删除

官方 Twitter 账号被黑一周后仍未找回

AV-TEST 和 AV-Comparatives 是两家知名的反恶意软件评估公司。尽管久负盛名,但是前者遇到了一件尴尬的事情:官方 Twitter 账号于 7 月 25 日被黑了,但时间过去 1 周仍未恢复对其的控制。 虽然 AV-TEST 无法阻止其帐户遭到入侵,但它通过其德国帐户迅速做出回应,将该问题报告给 Twitter 支持。 然而,社交媒体的支持似乎并没有太大帮助,因为该公司在接下来的几天再次联系 Twitter,但未能成功恢复该账号。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1300273.htm 封面来源于网络,如有侵权请联系删除

Google Play 商店现 17 款 DawDropper 银行恶意软件

7月29日,趋势科技发布了一份报告,揭露了在Google Play应用商店内的一系列银行类恶意软件活动。 报告主要分析了17款伪装成生产力工具和实用应用程序的滴管应用程序,它们被统称为DawDropper。根据报告描述,这17款应用包括了文档扫描仪、VPN 服务、二维码阅读器和通话记录器等多种类型,共携带了四个银行木马系列,包括 Octo、Hydra、Ermac和TeaBot。它们都使用第三方云服务 Firebase Realtime Database 来逃避检测并动态获取有效载荷下载地址,并在 GitHub 上托管恶意有效载荷。 2021 年 3 月,趋势科技还发现了另一个名为Clast82的dropper,DawDropper 和 Clast82 都使用 Firebase 实时数据库作为 C&C 服务器。 研究人员指出,这类银行Drop恶意软件采用自己的分发和安装技术。比如在今年年初就观察到了带有硬编码的有效载荷下载地址的版本,而最新观察到版本能隐藏实际有效载荷的下载地址,有时还使用第三方服务作为其 C&C 服务器。 截至报告发布时,这些恶意应用程序已从 Google Play 中移除。但报告指出,网络犯罪分子一直在寻找逃避检测和感染尽可能多设备的方法。在半年的时间里已经看到银行木马如何改进其技术以避免被检测,例如将恶意负载隐藏在 Dropper 中。随着越来越多的银行木马通过 DaaS 提供,攻击者将有一种更简单、更经济高效的方式来分发伪装成合法应用程序的恶意软件。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/340693.html 封面来源于网络,如有侵权请联系删除

谷歌禁用第三方 Cookies 计划再次推迟

谷歌在本周周三表示,它再次将暂缓禁用Chrome网络浏览器中的第三方cookies的计划,该计划将会从2023年底推迟到2024年的下半年。 隐私沙盒项目的副总裁Anthony Chavez对外称他们收到大量反馈是需要更多时间来进行新隐私沙盒技术的评估和测试,之后再进行对Chrome浏览器中的第三方cookies的废弃和禁用。考虑到这一点,Anthony Chavez表示,谷歌正在采取一种 “审慎的方法”,在逐步淘汰第三方cookies之前,延长其正在进行的隐私沙盒举措的测试窗口。 Cookies是在访问网站时,网络浏览器在用户的电脑或其他设备上植入的数据,第三方cookies为大部分数字广告生态系统及其在不同网站上跟踪用户以显示目标广告的能力提供动力。隐私沙盒则是谷歌对一系列技术的总称,这些技术旨在通过限制跨网站和跨应用程序的追踪,并提供改进的、更安全的替代方案来提供基于兴趣的广告,从而改善用户在网络和安卓上的隐私。 虽然谷歌最初计划在2022年初推出隐私沙盒功能,但它在2021年6月修改了该计划,将第三方cookies过渡的三个月时期,定为2023年中期至2023年底,谷歌当时就已经指出整个生态系统需要更多的时间来完成。 第二个扩展是谷歌在2022年1月宣布主题API作为FLoC(Federated Learning of Cohorts的缩写)的替代品,随后在5月发布了Android的隐私沙盒的开发者预览。 2022年2月,英国竞争和市场管理局(CMA)正式接受了谷歌关于如何开发该技术的承诺,指出需要充实隐私沙盒,使其促进竞争,支持出版商从广告中获得收入,同时也保障消费者的隐私。 根据新的计划,隐私沙盒试验预计将在下个月扩大到全球用户,在今年余下时间和2023年,纳入测试的用户数量将不断增加。谷歌还强调,用户将看到一个提示,以管理他们的参与,并补充说,它打算在2023年第三季度前普遍提供API,第三方cookie支持暂定在2024年下半年禁用。CMA方面今天承认,它知道 “第三方正在开发的替代建议”,并且它 “正在与信息专员办公室合作,以更好地了解其可行性和可能的影响”。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/340535.html 封面来源于网络,如有侵权请联系删除

专家:Pegasus 间谍软件的威胁依然存在

专家们于当地时间周三告诉美国众议院情报委员会,政府和科技行业必须合作以保护美国公民不被像Pegasus这样的商业间谍软件盯上。该软件于去年被揭露感染了许多政府官员、人权活动家、记者和其他人的iPhone。 在这场罕见的公开听证会上,委员会听取了公民实验室高级研究员John Scott-Railton、Google威胁分析小组主任Shane Huntley和Carine Kanimba的证词,后者是一名活动人士,其手机被PegASUS间谍软件锁定。 Kanimba是人权活动家Paul Rusesabagina的女儿,他在卢旺达种族灭绝期间为拯救1000多名难民的生命所做的努力被记录在了电影《卢旺达旅馆》中。他是该国政府的公开反对者,去年在他的家人所说的虚假审判之后,他被判定为跟恐怖主义有关的指控并被监禁在卢旺达。美国政府认为Rusesabagina遭到了错误的拘留。 正在努力使其父亲获得自由的Kanimba表示,去年她被一群记者提醒她的手机可能感染了Pegasus病毒。法医后来证实了这些猜测。她表示,她毫不怀疑卢旺达政府是监视的幕后黑手,她仍对政府下一步可能采取的行动感到恐惧。 她告诉委员会:“他们知道我在做的一切,我在哪里,我和谁说话,我的私人想法和行动,这让我一直保持清醒。除非对滥用这种技术的国家和他们的帮凶有后果,否则我们都不安全。” 网络安全专家称Pegasus是目前商业上最复杂的监控间谍软件之一。它使用“零点击”的漏洞,这意味着它可以感染目标手机而无需用户主动去做诸如点击恶意链接或下载附件的事情。 Citizen Labs的Scott-Railton作证说道:“不是坐在咖啡馆里,连接到不安全的Wi-Fi。你的手机可能在凌晨两点放在你的床头柜上。前一分钟你的手机还是干净的,下一分钟数据就默默地流向一个大陆之外的对手。而你发觉不了任何东西。” 这种通过短信传递的间谍软件以iPhone为目标,其允许使用它的人悄悄地访问从设备的通话和短信到加密的聊天记录和设备的摄像头等一切信息。此后,苹果修补了这个被利用的软件漏洞。 Scott-Railton表示,虽然NSO可能已经将间谍软件卖给了世界各地的数百个政府,但没有办法确定。但根据它被发现的大量地方和在手机上发现它的各种人,很明显,该公司对它卖给谁并不特别在意。他敦促委员会对投资于NSO这样的公司的美国养老基金及作为这类公司的安全庇护所的国家采取行动。 11月,美国政府将NSO列入政府的实体名单从而阻止了向NSO出售美国技术的行为。NSO已经暂停了一些国家的Pegasus特权,但试图为其软件和它试图对其使用的控制进行辩护。 NSO坚持认为,该间谍软件只用于寻求追捕罪犯或恐怖分子的政府。但去年,研究人员开始在属于活动家、人权工作者、记者和商人的手机上发现它的身影。 根据Citizen Labs在7月份的一份报告得出启示–Pegasus感染了至少30名泰国活动家的手机。苹果在11月警告了那些受感染的手机。 为了尝试挫败此类攻击,苹果在iOS 16和即将到来的MacOS Ventura中建立了一个新的锁定模式。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1297825.htm 封面来源于网络,如有侵权请联系删除

新钓鱼平台 Robin Banks 出现,多国知名金融组织遭针对

近期出现了一个名为 “Robin Banks “的新型网络钓鱼服务(PhaaS)平台,提供现成的网络钓鱼工具包,目标是知名银行和在线服务的客户。 该钓鱼平台的目标包括了花旗银行、美国银行、Capital One、Wells Fargo、PNC、美国银行、劳埃德银行、澳大利亚联邦银行和桑坦德银行等各国知名金融机构。 此外,Robin Banks还提供了窃取微软、谷歌、Netflix和T-Mobile账户的模板。根据IronNet的相关报告显示,Robin Banks已经被部署在6月中旬开始的大规模钓鱼攻击活动中就已经出现了Robin Banks的身影,其通过短信和电子邮件针对受害者进行钓鱼攻击。 Robin Banks是一个网络犯罪集团的新项目,据消息推测至少从2022年3月起该平台就已经开始活动,其目的是为了快速制作高质量、以大型金融组织的客户为目标的钓鱼网页。 该平台提供两种层级的7*24小时服务模板,一种是提供单项目模板,价格为每月50美元;另一个是提供对所有模板的无限访问,价格为每月200美元。 该平台清算网网站的登录屏幕 注册后,威胁者会收到一个个人仪表板,其中包含有关其操作的报告、简易页面创建、钱包管理以及创建自定义钓鱼网站的选项。 Robin Banks仪表板(IronNet) 该平台还为用户提供了一些选项,如添加reCAPTCHA以挫败防护bot,或检查用户代理字符串以阻止特定受害者参与高目标的活动。 选择网络钓鱼的目标银行 (IronNet) IronNet在报告中指出,与16Shop和BulletProftLink相比,Robin Banks网站的webGUI更加复杂,但更具有用户友好性。这两个著名的网络钓鱼工具包也明显比Robin Banks更贵。 另外,新的PhaaS平台不断增加新的模板,并更新旧的模板,以反映目标实体的风格和色彩方案的变化。这些优势使得Robin Banks在网络犯罪领域很受欢迎,在过去几个月里,许多网络犯罪分子都采用了它。 在IronNet上个月发现的攻击活动中,Robin Banks的一个使用者通过短信针对花旗银行的客户,警告他们借记卡的 “异常使用”。 发送给随机目标的网络钓鱼信息(IronNet) 所提供的解除所谓安全限制的链接将受害者带到一个钓鱼网站页面,要求他们输入个人信息。在登陆钓鱼网站后,会自动对受害者的浏览器进行识别,以确定他们是在台式机还是手机上,并加载适当的网页版本。一旦受害者在钓鱼网站的表单字段上输入了所有需要的细节,一个POST请求就会被发送到Robin Banks API,其中包含两个独特的令牌,一个是活动运营商的,一个是受害者的。 转移被盗数据的POST请求(IronNet) 钓鱼网站为受害者填写的每一个网页发送一个POST请求,以尽可能多地窃取细节,因为钓鱼过程可能在任何时候因怀疑或其他原因而停止。所有发送到Robin Banks API的数据都可以从平台的webGUI中查看,供操作员和平台管理员使用。为方便起见,Robin Banks还提供了将被盗信息转发到运营商的个人Telegram频道的选项。 一个新的高质量PhaaS平台的出现对互联网用户是一个不好的消息,因为它促进了低技能的网络犯罪分子的钓鱼行为,并增强了有害信息的轰炸力。为了使互联网用户免受这些恶意企图的影响,IronNet建议千万不要点击通过短信或电子邮件发送的链接,并始终确认登陆的网站是官方的。最后建议用户在自己的所有账户上启用2FA,并使用一个私人电话号码来接收一次性密码。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/340362.html 封面来源于网络,如有侵权请联系删除

Lockbit 再次攻击两地公共部门

近期活动极为频繁的Lockbit勒索软件团伙近日又攻击了两处地方政府的设备,分别是加拿大的圣玛丽镇和意大利的税务机构。 圣玛丽斯当地政府相关的说明中解释道,攻击发生在上周三,攻击者锁定了一台内部服务器并加密了其中的数据,在得知这一事件后,工作人员立即采取了措施,以确保任何敏感信息的安全,包括锁定该镇的IT系统和限制对电子邮件的访问。该镇还通知了其法律顾问、斯特拉特福警察局和加拿大网络安全中心,调查此次攻击的来源,并全力消弭此次攻击的影响。当地的关键服务,包括消防、警察、交通和水/污水处理系统并没有受到该攻击事件的影响,但目前还不清楚是否有敏感数据在攻击中被盗。 不过意大利的被害情况却不容乐观,据报道,意大利的税收机构遭到Lockbit勒索软件的攻击导致78GB的数据被盗。黑客的攻击目标是意大利当地税收机构,所以这些数据理论上有非常高的可能性是包含高度敏感的个人和财务信息。 据当地的安莎通讯社报道,税务局已经要求意大利的有关机构调查报告,据相关消息透露,攻击者要求当地税务局在5天内缴纳赎金,否则将有被盗文件内容被公开。 针对这两起公共部门攻击事件,Adarma公司的威胁顾问Mike Varley认为,公共部门的组织往往更容易成为攻击的目标,因为黑客认为他们更有可能付钱。Mike Varley补充说:“寻求提高其整体勒索软件弹性的组织应该主动问自己,我们在哪里最容易受到外部威胁?’我们在保护什么?以及这些资产放在哪里?安全团队需要积极寻找控制方面的差距,并通过调整现有的控制措施、技术收购、进行额外的监测等多种方式来弥补这些差距。” 转自 FreeBuf,原文链接:https://www.freebuf.com/news/340268.html 封面来源于网络,如有侵权请联系删除

微软:IIS 扩展正越来越多地用作 Exchange 后门

据Bleeping Computer网站7月26日消息,微软 365 Defender 研究团队在当天公布的一项研究调查中表示,攻击者正越来越多地使用恶意 Internet 信息服务 (IIS) Web 服务器扩展,对未打补丁的 Exchange 服务器部署后门。 与Web Shell相比,利用IIS 扩展能让后门更加隐蔽,通常很难检测到其安装的确切位置,并且使用与合法模块相同的结构,为攻击者提供了近乎完美的持久性机制。 根据微软 365 Defender 研究团队的说法,在大多数情况下检测到的实际后门逻辑很少,如果不更广泛地了解合法 IIS 扩展的工作原理,就不能将其视为恶意进程,这也使得确定感染源变得更加困难。 对受感染服务器的持续访问 在利用托管应用程序中各种未修补的安全漏洞攻击服务器后,攻击者通常会在 Web Shell中 先部署一个有效负载,并在随后部署 IIS 模块以提供对被黑服务器更隐蔽和持久的访问。微软之前曾注意到攻击者利用ZOHO ManageEngine ADSelfService Plus和SolarWinds Orion漏洞后部署了自定义 IIS 后门。随后,恶意 IIS 模块允许攻击者从系统内存中获取凭证,从受害者的网络和受感染设备收集信息,并提供更多有效负载。 在今年1月至5月期间针对 Microsoft Exchange 服务器的活动中,微软注意到攻击者在文件夹 C:\inetpub\wwwroot\bin\ 中安装了一个名为 FinanceSvcModel.dll 的自定义 IIS 后门,以此来访问受害者的电子邮件邮箱、远程运行命令并窃取凭证和机密数据。 作为 IIS 处理程序安装的 IIS 后门示例 此外,卡巴斯基也曾注意到了类似的情况,去年 12 月,一个名为Owowa的恶意 IIS Web 服务器模块被用于针对东南亚和欧洲的政府组织和公共交通公司。卡巴斯基当时表示,一旦进入受害者的系统,攻击者就可以访问公司电子邮件,通过安装其他类型的恶意软件,秘密管理受感染的服务器来实施更进一步的恶意访问,并将这些服务器用作恶意基础设施。 为防御使用恶意 IIS 模块的攻击,微软建议用户保持 Exchange 服务器处于最新状态,在保持反恶意软件等防护程序开启的同时,检查敏感角色和组,限制对 IIS 虚拟目录的访问,确定告警的优先级并检查配置文件和 bin 文件夹。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/340245.html 封面来源于网络,如有侵权请联系删除

卡巴斯基发现 UEFI 恶意程序 CosmicStrand 华硕和技嘉主板受影响

反病毒厂商卡巴斯基的一支安全威胁研究团队近日发现了名为“CosmicStrand”的恶意程序。事实上,这款恶意程序并不是新病毒,而且曾在 2016-2017 年爆发“Spy Shadow”木马的更早版本。目前在华硕和技嘉的固件中发现了这款 UEFI 恶意程序,即使重新安装 Windows 系统也无法移除这款 UEFI 恶意程序。 卡巴斯基表示现阶段只有 Windows 系统受到攻击:“现阶段发现的所有攻击设备都运行 Windows 系统:每次电脑重启,在 Windows 重启之后将会执行一段恶意代码。该代码的目的是连接到 C2(命令和控制)服务器,并下载额外可执行的恶意程序”。 卡巴斯基在深度剖析 Securelist 文章中,对该恶意程序的运行机制进行了详细的描述: 工作流程包括连续设置钩子,使恶意代码持续到OS启动后。涉及的步骤是: 1. 整个链条的起始是感染固件引导 2. 该恶意软件在启动管理器中设置了恶意钩,允许在执行Windows的内核加载程序之前修改它。 3. 通过篡改OS加载器,攻击者可以在Windows内核的功能中设置另一个钩子。 4. 当后来在OS的正常启动过程中调用该功能时,恶意软件最后一次控制执行流程。 5. 它在内存中部署了一个壳牌码,并与C2服务器联系以检索实际的恶意有效载荷以在受害者的机器上运行。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1297309.htm 封面来源于网络,如有侵权请联系删除

Rust 编码的信息窃取恶意软件源代码公布,专家警告已被利用

黑客论坛上发布了一个用Rust编码的信息窃取恶意软件源代码,安全分析师警告,该恶意软件已被积极用于攻击。 该恶意软件的开发者称,仅用6个小时就开发完成,相当隐蔽,VirusTotal的检测率约为22%。 恶意软件开发者在一个暗网论坛上公布源代码 信息窃取恶意软件采用Rust(一种跨平台语言)编写的,可在多个操作系统使用。从其当前的使用范围看,它目前只针对Windows操作系统。但它采用Rust编写意味着将其移植到Linux或macOS并不复杂,所以原开发者或其他人可能在未来进行改写。 网络安全公司Cyble的分析师对该信息窃取软件进行了采样,并将其命名为 “Luca Stealer”。 采样报告显示,Luca Stealer具有明显的恶意功能,当执行时,它试图从30个基于Chromium的网络浏览器中窃取数据,它将窃取存储的信用卡、登录凭证和cookies等信息;它还针对”加密货币、浏览器钱包插件、Steam账户、Discord代币、Ubisoft Play等。 针对浏览器扩展程序 与其他信息窃取软件相比,Luca Stealer是密码管理器浏览器插件,可以窃取此类插件储存在本地的数据。它还会捕捉屏幕截图,将其保存为.png文件,执行 “whoami”对主机系统进行剖析,并将细节发送给其运营商。 收集主机系统信息 但Luca Stealer并不具备其他信息窃取软件都拥有的修改剪贴板内容功能,该功能可以劫持加密货币交易的剪切器。 Cyble分析师介绍,被盗数据通过Discord webhooks或Telegram bots渗出,具体取决于渗出的文件是否超过50MB。它使用Discord webhook将数据发回给攻击者,以获取更大的被盗数据日志。 被盗的数据压缩在ZIP文档中,并附有所包含内容的摘要,方便窃密者快速评估数据价值。 ZIP文件发送的被盗文件摘要 Cyble报告称,目前发现了至少25例Luca Stealer的在野利用,虽然源代码已被公布,但它是否会大规模部署还不得而知。但由于其源代码是免费公布,可能成为其滥用原因之一。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/340119.html 封面来源于网络,如有侵权请联系删除