安全快讯Top News

KdcSponge,NGLite,Godzilla Webshell 在定向攻击中的应用

2021年9月16日,美国网络安全和基础设施安全局(CISA)发布了一个警报,警告APT攻击组织的攻击者正在积极利用一个漏洞,该漏洞是在自助密码管理和单点登录解决方案 ManageEngine ADSelfService Plus 中新发现的。该警告解释说,我们观察到恶意攻击者部署特定的 webshell 和其他技术,以保持受害者环境中的持久性; 然而,在随后的日子里,我们观察到第二个不同的攻击行为,是利用了同一漏洞。 早在9月17日,这位攻击者就利用美国的租赁基础设施扫描了互联网上数百个易受攻击的组织。随后,对漏洞的利用在9月22日开始了,可能持续到了10月初。在此期间,这个攻击者成功地攻击至少9个全球实体,涉及科技、国防、医疗、能源和教育等行业。     更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1756/ 消息来源:paloaltonetworks,封面来自网络,译者:Zoeppo。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

苦等 12 个月:研究人员正式披露评级 9.8 分的高危安全漏洞

ARSTechnica 报道称:约有上万台 Palo Alto Networks 的 GlobalProtect 企业虚拟专用网服务器,受到了 CVE-2021-3064 安全漏洞的影响。然而为了修复这个评级 9.8 / 10 的高危漏洞,Randori 也苦等了 12 个月。这家安全公司指出,在最初发现后的大部分时间里,他们一直在私下努力帮助客户努力应对现实世界的威胁。 (图自:Palo Alto Networks) 按照通用漏洞披露流程,安全专家更希望厂商尽快修复安全漏洞。至于 CVE-2021-3064 这个缓冲区溢出漏洞,它会在解析堆栈上固定长度位置的用户提供的输入时出现问题。 从 Randori 开发的概念验证方法可知,该漏洞或造成相当大的危害。研究人员在上周三指出: 我公司团队能够访问受影响目标 Shell、敏感配置数据、并提取相关凭证。一旦攻击者控制了防火墙,就可以在企业内网肆无忌惮地扩散。 由于过去几年,黑客积极利用了来自 Citrix、微软和 Fortinet 等企业的大量防火墙 / 虚拟专用网漏洞,政府已于今年早些时候发出过一份安全警示。 同样遭殃的还有来自 Pulse Secure 和 Sonic Wall 等厂商的产品,以及最新披露的 Palo Alto Networks 的 GlobalProtect 解决方案。 据悉,GlobalProtect 提供了一个管理门户,可锁定网络端点、保护可用网关信息、连接所需的可用证书、控制应用软件的行为、以及分发到 macOS 和 Windows 终端的应用。 庆幸的是,CVE-2021-3064 仅影响 PAN-OS 8.1.17 之前版本的 GlobalProtect 虚拟专用网软件。 尴尬的是,尽管已经过去了一年,Shodan 数据还是显示有上万台互联网服务器正在运行(早期预估为 70000)。 独立研究员 Kevin Beaumont 表示,其开展的 Shodan 检索表明,所有 GlobalProtect 实例中、约有一半是易受攻击的。 最后,安全专家建议任何使用 Palo Alto Networks 公司 GlobalProtect 平台的组织,都应仔细检查并尽快修补任何易受攻击的服务器。   (消息及封面来源:cnBeta)

美国 FBI 系统被入侵 黑客向 10 万邮箱发送假冒邮件

美国当地时间周六,黑客入侵了美国联邦调查局(FBI)的外部邮件系统。根据跟踪垃圾邮件和相关网络威胁的非营利组织Spamhaus Project提供的信息,黑客使用FBI的电邮账号发送了数万封电子邮件,就可能发生的网络攻击发出警告。 FBI表示,该局和美国网络安全与基础设施安全局“已经注意到今晨发生的使用@ic.fbi.gov电邮账号发送虚假邮件的事件”。“目前,事件还在发展中,我们此刻无法提供更多额外信息。”FBI在一份声明中称。FBI督促消费者保持谨慎,报告任何可疑活动。 非机密邮件系统 网络安全公司BlueVoyant专业服务主管奥斯汀·巴格拉斯(Austin Berglas)表示,FBI拥有多个邮件系统,周六疑似被入侵的是面向公众的系统,被FBI探员和员工用来与公众进行邮件沟通的。他表示,当探员传输机密信息时,他们需要使用另外一个不同的邮件系统。 “被入侵的不是机密系统,”巴格拉斯称,他还是前助理特别探员,负责FBI纽约办公室网络分部,“这是一个对外帐户,用于共享和交流非机密信息。” 黑客发动的假冒邮件 Spamhaus称,这次攻击事件始于纽约时间周六午夜,随后的活动从凌晨2点开始。该组织预计,黑客发送的垃圾邮件最终到达了至少10万个邮箱中。 这些邮件使用的主题是“紧急:系统中存在威胁行动者”,由美国国土安全部签署。黑客在邮件中警告收件人称,威胁行动者似乎是网络安全专家维尼·特罗亚(Vinny Troia)。去年,特罗亚曾对黑客组织“黑暗霸王”(Dark Overlord)进行过调查。 Spamhaus表示,这些邮件并没有附带恶意软件。该组织推测称,黑客可能试图在抹黑特罗亚,或者发动骚扰攻击用公众打来的大量电话让FBI应接不暇。 特罗亚尚未置评。   (消息及封面来源:cnBeta)

报告:医院处于网络攻击的高风险中,但患者没有意识到

俄亥俄州朴茨茅斯的一家非营利性医院–南方俄亥俄医疗中心在当地时间周四遭到网络攻击后取消了今日(当地时间 1月12日 )的预约并将救护车改道行驶。这是过去两年中对医疗机构一系列不断升级的攻击的一部分–这一趋势可能对病人护理产生严重后果。 资料图  但根据网络安全公司Armis的一份新报告,虽然信息技术专家清楚地意识到损害病人数据和关闭计算机系统的网络攻击的风险正在上升,但病人似乎并不清楚。事实上,在新报告中接受调查的公众中,超60%的人称他们在过去两年中没有听说过任何医疗领域的网络攻击。 尽管2020年对医疗机构的网络攻击增加了一倍,像对连锁医院Universal Health Services的攻击这样高调的事件以及来自使用勒索软件Ryuk的团体的重大威胁。COVID-19大流行期间的攻击规模令专家们震惊,他们表示,勒索软件团伙比以前更积极地针对医院。跟对银行或学校的攻击不同,这些攻击也很常见,有可能直接伤害到人。 网络安全咨询公司CynergisTek的CEO Caleb Barlow去年告诉The Verge:“它跨越了一条我认为整个网络安全界都认为不会很快被跨越的界限。” Armis的报告调查了400名医疗行业的IT专业人士和2000多名可能成为美国各地医疗机构病人的普通民众。虽然被调查的人数不多,但调查结果表明,公众一般不知道医疗行业的网络攻击,除非他们直接受到网络攻击的影响。 虽然61%的受访潜在患者没有听说过近年来医疗行业的网络攻击,但约有1/3的受访者表示,他们曾是医疗系统网络攻击的受害者。 Armis的医疗保健首席技术官Oscar Miranda表示:“对医院系统的攻击在直接影响到你之前真的不是最重要的。” 该报告还指出了人们对医疗网络攻击的认识和他们对该问题的关注程度之间的差距。大约一半的受访者表示,如果发生网络攻击他们会更换医院,超70%的人说他们认为攻击会对他们的治疗产生影响。 这些担忧是有道理的:医疗机构表示,勒索软件会拖延病人的手术并可能导致住院时间延长。美国网络安全和基础设施安全局的一项分析也表明,在COVID-19大流行期间,跟勒索软件攻击作斗争的医院比没有处理过的医院更快达到与超额死亡有关的临界点。 网络安全历来不是医疗机构的优先事项,许多医疗机构没有资源来投资该领域。但在过去的两年里,对医院的勒索软件攻击激增,再加上新的研究显示网络攻击和健康结果之间的联系正在推动集团做出改变。在Armis的调查中,3/4的IT专家表示,关于勒索软件攻击的新闻的稳定脉动导致推动了对网络安全的更多投资。 Miranda说道:“我相信我们在最终真正解决勒索软件方面正在取得进展。”   (消息及封面来源:cnBeta)

美国黑客入侵 Booking.com 公司管理层却对此保持沉默

2016年初,一名美国黑客闯入酒店网站Booking.com的服务器,盗取了中东地区国家数千家酒店的预订细节。经过两个月的研究,四名Booking.com的IT专家确定,该黑客是一名与美国情报部门关系密切的人。 Booking.com请求荷兰情报部门AIVD帮助其调查这一广泛的数据泄露事件,但没有通知受影响的客户或荷兰数据保护局(AP)。管理层称,根据霍金路伟律师事务所的建议,它当时没有法律要求这样做。 据相关人士透露,Booking公司IT专家对管理层对数据泄露保持沉默的决定感到不舒服。专家们对这一决定也持批评态度。根据当时适用的隐私法,当有关的数据泄露可能会对个人私人生活产生不利影响时,公司必须通知受影响的人。根据莱顿大学法律和数字技术教授Gerrit-Jan Zwenne的说法,Booking公司不能假设相关人员不会受到间谍活动的影响,这种被窃取的信息可以用来将人们列入禁飞名单,禁止他们进入特定国家或对他们进行窃听。 周四出版的《De Machine》(《机器》)一书中描述了美国的这种间谍行为。在书中,荷兰国家报纸NRC的三名记者调查了美国荷兰酒店预订网站的崛起、盛况和最近的(COVID-19)危机。Booking.com今年庆祝成立25周年,Booking.com是世界上最大的预订平台,拥有2800万个住宿提供给客户。 Booking.com在2016年初意外地发现了间谍活动。该公司阿姆斯特丹总部安全部门的一名员工发现,一个身份不明的人通过一个安全性差的服务器进入了Booking系统。该黑客进入了中东地区(包括沙特阿拉伯、卡塔尔和阿拉伯联合酋长国)的数千家酒店预订系统。该漏洞让黑客获得Booking客户的姓名和他们的旅行计划。 该事件在内部被称为”PIN泄露”,因为预订的PIN被盗,该事件由Booking的三名前安全专家和一名管理层成员独立证实。在美国私人调查员的协助下,Booking.com的安全部门在两个月后确定了黑客的身份,他是一个美国人,在一家执行美国情报部门任务的公司工作。   (消息及封面来源:cnBeta)

深入研究 Snake Keylogger 的新变种恶意软件

Fortinet 的 FortiGuard 实验室最近发现了一个用于传播恶意软件的微软 Excel 样本。在研究了它的行为之后,我发现它是 Snake Keylogger 恶意软件的一个新变种。 Snake Keylogger是一个模块化的`.NET`键盘记录器。它最早出现在2020年末,主要行为是从受害者的设备中窃取敏感信息,包括保存的证书、受害者的按键、受害者屏幕的截图和剪贴板数据。 2021年7月,Snake Keylogger 首次进入 TOP 10大流行恶意软件报告,这意味着 Snake Keylogger 影响力正在增加,并威胁更多人的设备和敏感数据。 在这个威胁研究博客中,你将了解 Snake Keylogger 的变体是如何通过捕获的 Excel 样本下载和执行的,这个变体使用了什么技术来保护它不被分析,它从受害者的机器上窃取了什么敏感信息,以及它如何将收集到的数据提交给攻击者。     更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1752/   消息来源:Fortinet,封面来自网络,译者:Zoeppo。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Windows 10应用程序安装程序在 BazarLoader 恶意软件攻击中被滥用

TrickBot团伙运营商现在正在滥用Windows 10应用程序安装程序,将其BazarLoader恶意软件部署到目标系统上,这是一场针对性很强的垃圾邮件攻击。 BazarLoader(又名BazarBackdoor、BazaLoader、BEERBOT、KEGTAP和Team9Backdoor)是一种隐秘的后门木马,通常用于破坏高价值的目标网络,并将对受损设备的访问权出售给其他网络罪犯。 它还被用来提供额外的有效载荷,如cobalt strike信标,帮助威胁者访问受害者网络,并最终部署危险的恶意软件,包括但不限于Ryuk勒索软件。 SophosLabs首席研究员安德鲁·布兰特(Andrew Brandt)在最近的一次活动中发现,攻击者的垃圾邮件使用了威胁性语言,还冒充一名公司经理,用来引发受害者紧迫感,攻击者要求提供有关客户投诉电子邮件收件人的更多信息。 据称,该投诉可以从微软自己的云存储(位于*.web.core.windows.net域名上)上的网站以PDF格式进行审查。 为了增加诈骗效果,这些垃圾邮件攻击的接收端被双重诱惑,被诱使使用adobeview子域安装BazarLoader后门,这进一步增加了该计划的可信度。 布兰特说:“攻击者整天使用两个不同的网址来托管这个伪造的‘PDF下载’页面。” “这两个网页都托管在Microsoft的云存储中,这会给它带来一种(并不切实的)真实感,.appinstaller和.appbundle文件都托管在每个网页存储的根目录中。” 但是,钓鱼网站上的“预览PDF”按钮不会指向PDF文档,而是打开一个带有ms appinstaller:前缀的URL。 单击按钮时,浏览器将首先显示一条警告,询问受害者是否允许该站点打开应用程序安装程序。但是,大多数人在地址栏中看到adobeview.*.web.core.windows.net域时可能会忽略它。 单击警告对话框中的“打开”将启动Microsoft的应用程序安装程序(自2016年8月发布Windows 10 1607版以来的内置应用程序),以假冒Adobe PDF组件的形式在受害者的设备上部署恶意软件,该软件作为AppX应用包发布。 一旦启动,应用安装程序将首先开始下载攻击者的恶意.appinstaller文件和一个附加的.appxbundle文件,其中包含名为Security.exe的最终有效负载,它嵌套在UpdateFix子文件夹中。 有效负载下载并执行一个额外的DLL文件,该文件启动并生成一个子进程,该子进程接着生成其他子进程,最终将恶意代码注入无头的基于Chromium的Edge浏览器进程,从而结束字符串。 在受感染的设备上部署后,BazarLoader将开始收集系统信息(例如,硬盘、处理器、主板、RAM、本地网络上具有面向公众IP地址的活动主机)。 该信息被发送到C&C服务器,伪装成通过HTTPS GET或POST头信息传递的cookie。 布兰特说:“把恶意软件放入应用程序安装包中在攻击中并不常见。不幸的是,现在这个方法已经被证明有用,它可能会引起更多的关注。” “安全公司和软件供应商需要有适当的保护机制来检测和阻止它,并防止攻击者滥用数字证书。” 在收到Sophos的通知后,微软于11月4日关闭了攻击者用来存放这些攻击中的恶意文件的页面。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

截图曝光 Robinhood 黑客扒取了广泛的受害者账户信息

由 Motherboard 分享的大量被打码的屏幕截图可知,Robinhood 黑客接触到了该交易平台“相当广泛的账户的详细信息”。除了访问标有“禁用 MFA(多因素身份验证)”和“添加到受信任设备邮件代码白名单”的信息,黑客还触及到了有关登录账户的设备和转账记录等细节。 (图 via Motherboard) Motherboard 声称从一名与黑客有关联的爆料人那里拿到了这份截图,而 Robinhood 方面在接受 TheVerge 采访时称,其调查未发现黑客有篡改任何内容的迹象。 尽管大约有 700 万用户数据被黑客摸到,但 Robinhood 在其公告中声称,大多数人只是被泄露了电子邮件地址或全名,仅十人被扒走了更广泛的账户详情。 Robinhood 证实,Motherboard 展示的这张客服记录截图,也是这十个账户的其中一个。然而另一份屏幕截图,还披露了客户的账户余额、投资组合、以及通过验证的电话号码。 周一的时候,Robinhood 公布了本次黑客攻击事件。调查发现一位客户支持雇员遭遇了黑客的社工攻击,进而或了对公司某些客服工具的访问权限。 Robinhood 指出,这些工具使得攻击者能够接触到某些用户信息,但并不涉及社保号码或银行卡信息,目前该公司正在与受影响的客户取得联系。 最后,Robinhood 证实黑客试图勒索钱财,但他们并未屈服。   (消息及封面来源:cnBeta)

多伦多交通委员会承认数万员工个人信息被泄漏

多伦多交通委员会(TTC)近日承认,由于上个月其系统受到勒索软件的攻击,数万名员工的个人信息可能已经被泄露。TTC 负责运营多伦多公交车、地铁、有轨电车和辅助交通系统等等,在近日发布的声明中表示,泄漏的数据包括 25000 名离职和现职员工的姓名、地址和身份证号码等。该机构说,它正在继续调查是否有“少数”客户和供应商也受到了影响。 图片来自于 WikiMedia 该机构补充说,虽然“没有证据”表明任何信息被滥用,但它正在通知那些受影响的个人,并将向他们提供信用监测和身份盗窃保护。TCC 还建议员工给他们的银行打电话,提醒他们注意安全漏洞。 TTC 首席执行官 Rick Leary 说,10 月 29 日的勒索软件攻击导致了车辆跟踪和“next bus”系统的瘫痪,以及 Wheel-Trans 在线预订系统的宕机。他补充说,这次事件导致 TTC 的一些服务器被加密和锁定。虽然大多数面向客户的系统已经恢复,但 TTC 的内部电子邮件系统仍然处于离线状态。 Leary 表示:“我想代表整个组织,向可能受到影响的所有人表达我对发生这种情况的深深遗憾。我不会忘记,像我们这样的组织被赋予了大量的个人信息,我们必须尽最大努力保护这些信息。在未来几周,我们将继续重建其余受影响的服务器和内部服务,如重新建立外部电子邮件功能。但事实上,根据其他组织的经验,这可能需要一些时间”。   (消息及封面来源:cnBeta)

美国财政部正在购买私人应用程序数据以锁定调查对象

美国财政部近几个月来扩大了其数字监控权力,一份泄露的合同显示,它转向了有争议的公司Babel Street,批评者说它帮助联邦调查员买通了第四修正案的规定。 通过《信息自由法》申请获得的两份合同,以及研究和倡导组织”技术调查”与”拦截者”分享的合同显示,在过去四个月中,财政部从Babel Street获得了两个强大的新数据源,其中一个用于其制裁执法部门,另一个用于国内税收局。这两个数据源使政府能够使用私人公司收集不受正当程序限制的敏感数据。批评者特别震惊的是,美国财政部获得了智能手机应用程序中获取的位置和其他数据;用户往往不知道应用程序是如何广泛分享这些信息。 第一份合同的日期为7月15日,费用为154982美元,是与美国财政部外国资产控制办公室(OFAC)签订的,该办公室是一个准情报部门,负责对伊朗、古巴和俄罗斯等外国政权实施经济制裁。纽约大学法学院布伦南司法中心(Brennan Center for Justice)6月份的一份报告发现,OFAC庞大的执法权力需要国会的更大监督。该报告批评对OFAC可以制裁的对象缺乏法律限制,并指出OFAC甚至在制裁授权后还可以自由地将人加入制裁名单。 根据合同文件,OFAC的调查人员现在可以使用名为Locate X的Babel Street工具,在没有搜查令的情况下追踪个人的行动。Locate X为客户提供从移动应用程序中收集的地理位置数据,这些应用程序通常通过广告或嵌入的预包装代码将你的坐标传递给难以计数的第三方,以提供应用程序的社交网络功能或研究用户的统计数据。这种商业位置数据在很大程度上存在于监管真空中,由无数的应用程序获得,并在世界各地的广告技术公司和数据经纪人当中一个令人难以置信的,巨大和不断增长的生态系统之间购买、出售和交换,最终落入Babel Street的手中,然后将搜索权限出售给政府客户,如OFAC。 该软件的批评者说,它基本上允许国家买通第四修正案,该修正案保护美国人免受不合理的搜查。合同指出,OFAC的全球目标办公室将使用Locate X来分析手机广告技术数据,以研究恶性活动和识别恶性行为者,进行网络开发,检查公司结构,并确定实际所有权,这是美国政府罕见地公开承认其使用用现金而不是法官手令获得的个人定位数据。该合同没有表明Locate X是否会被用来对付美国人或外国人。   (消息及封面来源:cnBeta)