黑客利用 Xeon Sender 发起大规模短信钓鱼攻击
恶意行为者正在使用一种名为 Xeon Sender 的云攻击工具,通过滥用合法服务大规模开展短信钓鱼和垃圾邮件活动。 SentinelOne安全研究员亚Alex Delamotte在与《黑客新闻》分享的一份报告中提到:攻击者可以利用Xeon通过多个软件即服务(SaaS)提供商,使用服务提供商的有效凭证发送信息。 据悉,用于大规模分发短信的服务包括亚马逊通知服务(SNS)、Nexmo、Plivo、Proovl、Send99、Telesign、Telnyx、TextBelt 和 Twilio。 值得注意的是,该活动并没有利用这些提供商的任何固有弱点,而是使用合法的 API 进行垃圾短信群发攻击。还引用了 SNS Sender 等工具,这些工具越来越多地成为批量发送钓鱼信息并最终获取目标敏感信息的途径。 其主要是通过 Telegram 和黑客论坛传播,其中一个旧版本归功于一个专门宣传破解黑客工具的 Telegram 频道。最新版本以 ZIP 文件形式提供下载,归功于一个名为 Orion Toolxhub的 Telegram 频道,该频道有 200 名成员。 Orion Toolxhub 创建于 2023 年 2 月 1 日,免费为成员提供可用于暴力破解攻击、IP 地址反向查询的软件,如 WordPress 网站扫描器、PHP web shell、比特币剪切器,以及一个名为 YonixSMS 的程序,该程序声称可提供无限短信发送功能。 Xeon Sender 也被称为 XeonV5 和 SVG Sender。这个基于 Python 的程序的早期版本最早在 2022 年被检测到。 Delamotte 表示:该工具的另一个化身是托管在带有图形用户界面的网络服务器上。这种托管方式消除了潜在的访问障碍,使那些可能不擅长运行 Python 工具并对其依赖关系进行故障排除的技术水平较低的攻击者也能使用。 无论使用哪种变体,Xeon Sender 都为用户提供了一个命令行界面,可用于与所选服务提供商的后台 API 通信,并协调垃圾短信群发攻击。 这也意味着威胁分子已经掌握了访问端点所需的 API 密钥。精心制作的 API 请求还包括发件人 ID、信息内容以及从文本文件中的预定义列表中选择的电话号码之一。 除了短信发送方法外,Xeon Sender还具有验证Nexmo和Twilio账户凭证、为给定的国家代码和地区代码生成电话号码以及检查所提供的电话号码是否有效等功能。 SentinelOne 表示,尽管该工具缺乏精细度,但源代码中充满了单个字母或字母加数字等模棱两可的变量,使调试工作更具挑战性。 Xeon Sender 主要使用供应商特定的 Python 库来制作 API 请求,这给检测带来了更大的挑战。因为每个库都是独一无二的,提供商的日志也是如此,团队可能很难检测到对特定服务的滥用行为。 因此,为了抵御 Xeon Sender 这样的威胁,企业应该监控与评估或修改短信发送权限相关的活动,或对分发列表的异常更改,如大量上传新的收件人电话号码。 转自FreeBuf,原文链接:https://www.freebuf.com/news/409012.html 封面来源于网络,如有侵权请联系删除
英国 IT 提供商因 2022 年勒索软件漏洞面临 770 万美元罚款
英国信息专员办公室 (ICO) 宣布了一项临时决定,对高级计算机软件集团有限公司 (Advanced) 处以 609 万英镑(774 万美元)的罚款,原因是该公司在 2022 年遭受勒索软件攻击时未能保护好数万人的个人信息。 Advanced 是英国国家医疗服务体系 (NHS) 签约的 IT 服务和托管供应商,于 2022 年 8 月 4 日遭到威胁行为者的攻击。 该事件影响了数百家公共和私人实体,包括 NHS 111 以及 Adastra、Caresys、Odyssey、Carenotes、Crosscare、Staffplan 和 eFinancials 等各种医疗保健产品。 此次泄密事件导致近 83,000 人的个人信息被泄露,其中包括 890 名接受居家护理人员的入院指导。 尽管所有受影响的人都已被告知并被警告采取行动降低风险,而且到目前为止,没有任何攻击数据在暗网上发布,但敏感数据泄露的潜在影响是巨大的。 “这一事件表明信息安全是多么重要。”英国信息专员约翰·爱德华兹表示,“失去对敏感个人信息的控制,会让那些别无选择只能信任医疗和护理机构的人感到痛苦。” 爱德华兹在谈到高级安全立场时补充道:“对于一个受信任处理大量敏感和特殊类别数据的组织来说,我们暂时发现其在此次事件之前的信息安全方法存在严重缺陷。” ICO 指出,实施基本措施(例如应用安全更新、启用多因素身份验证以及检查系统是否存在已知漏洞)对于保护敏感数据至关重要,所有组织都应遵循这些最低限度的步骤。 该临时决定的发布旨在提醒所有组织其安全义务以及一旦失败可能产生的后果。 但是770 万美元的罚款尚未实施,ICO 表示将等待 Advanced 的评论后再做出最终决定,因此罚款金额可能会发生变化。 如果Advanced无法提供令人信服的论据,且罚款仍为774万美元,则每位被曝光者的罚款将相当于93.3美元,与过去的类似事件相比,这个数字非常高。 消息来源:BleepingComputer,译者:YY; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
数十亿设备面临 BLESA 低功耗蓝牙重连欺骗攻击的安全威胁
研究人员刚刚曝光了低功耗蓝牙协议存在的一个严重安全漏洞,其全名为低功耗蓝牙欺骗攻击(简称 BLESA),预计有数十亿计的智能手机、平板 / 笔记本电脑、物联网设备首次影响。与此前普遍涉及配对操作的常见漏洞不同,新型 BLESA 攻击是在易被忽略的蓝牙重新连接过程之后发生的。作为经典蓝牙标准的瘦版本,其旨在节省电能和保障续航。 得益于省电节能的特性,低功耗蓝牙(BLE)已在过去十年里被广泛采用,但相关安全漏洞也不断被研究人员曝光。近日,普渡大学的 7 名学者,就在一项新研究中曝光了 BLE 的重连欺骗漏洞。 配对操作期间,两台 BLE 设备(客户 / 服务端)已经过相互认证,并沟通好了彼此的加密密钥。在将蓝牙设备移出范围,下次又返回时,即可对其进行自动重连。 然而研究团队指出,BLE 的官方规范,并未使用足够强的语言来描述重连过程。结果导致在软件供应链的下游,两套系统之间被引入了一个现实的安全隐患。 因为设备重连期间的身份验证是“可选”项,而不是强制性的。若用户设备无法强制 IoT 设备对通信的数据进行身份验证,便很有可能被其绕过。 若被附近攻击者绕过了重连验证,便为 BLESA 攻击敞开了大门。具体说来是,攻击者可将带有错误信息的欺骗数据发送到 BLE 设备,并诱使用户或自动化流程作出错误的决定。 目前已知的是,基于 Linux 的 BlueZ IoT 设备、基于 Android 的 Fluoride、以及 iOS 的 BLE 堆栈都易受到 BLESA 攻击,而 Windows 平台上的 BLE 堆栈则相对安全。 在上月发布的论文中,可知截止 2020 年 6 月,苹果已将 CVE-2020-9770 分配给该漏洞,并作出了修复。然而运行 Android 10 的 Google Pixel XL,仍未采取更加切实有效的防护措施。 好消息是,BlueZ 开发团队表示将弃用易受 BLESA 攻击的部分代码,并换成可适当实现 BLE 重连的修补代码。 不过就像此前的所有蓝牙漏洞一样,对所有易受攻击的设备进行修补,将是系统管理员的一个噩梦(数十亿计的设备)。 如需了解更多有关 BLESA 攻击的详情,还请查阅 8 月在 USENINX WOOT 2020 会议上发表的这篇论文,原标题为《BLESA:针对低功耗蓝牙的重连欺骗攻击》。 (稿源:cnBeta,封面源自网络。)