安全快讯Top News
军事基地航拍照片泄露,美国法警局数百 GB 敏感数据遭黑客售卖
据外媒报道,一名黑客正在一个俄语论坛上出售据称是从美国法警局(USMS)服务器中窃取的350 GB数据。USMS是美国司法部下属的一个机构,通过执行联邦法院命令、确保证人及其家人的安全、查封非法所获资产等职责为联邦司法系统提供支持。 卖家在帖子中将该数据库标价15万美元,据称包含美国法警局文件服务器和工作电脑上从2021年到2023年2月的文件。这些文件包括具有精确坐标的军事基地和其他敏感区域的航拍视频及照片、护照及身份证明的副本、以及有关窃听和监视公民的细节,另外还有一些关于罪犯、黑帮头目等的信息。卖家还声称,其中一些文件被标记为机密和绝密,并且还包含证人保护计划的细节。 值得注意的是,此前USMS正在调查2月17日的一起勒索软件攻击事件。USMS发言人Drew Wade表示,该次事件中遭窃取的数据包括USMS的执法敏感信息,法律程序相关信息,与美国法警局调查对象、第三方、某些雇员有关的个人身份信息。但当时的说法是,攻击者并未获得USMS的证人安全文件信息系统(也被称为WITSEC或证人保护计划)数据库的访问权限。 除此之外,USMS还曾在2020年5月披露过另一起数据泄露事件,其曾于2019年12月泄露过超过38.7万名前囚犯及现囚犯的详细信息(包括姓名、出生日期、家庭地址和社会安全号码)。 可以看到,即使是政府机构也无法避免遭受网络攻击的损失,现下敏感信息盗窃威胁日益严重,所有组织都有必要在其运营中优先考虑网络安全措施,特别是那些涉及处理敏感信息的机构。并且需要注意到,事前采取预防措施远比事后响应更为妥当。 转自 安全内参,原文链接:https://mp.weixin.qq.com/s/Sq27-LyBWALY1uAuHd3FJA 封面来源于网络,如有侵权请联系删除
针对多国政府官员的黑客攻击还在继续……
自2021年以来,被称为Winter Vivern的高级持续威胁与针对印度、立陶宛、斯洛伐克和梵蒂冈政府官员的活动有关。 SentinelOne 在与黑客新闻分享的一份报告中称,该活动针对波兰政府机构、乌克兰外交部、意大利外交部以及印度政府内部的个人。 “特别令人感兴趣的是APT以私营企业为目标,包括在正在进行的战争中支持乌克兰的电信组织。”高级威胁研究员汤姆黑格尔说。 Winter Vivern,也被追踪为UAC-0114,上个月在乌克兰计算机应急响应小组(CERT-UA)详细介绍了针对乌克兰和波兰国家当局的新恶意软件活动后引起了人们的注意,该活动旨在传播一种名为 Aperetif 的恶意软件。 此前记录该组织的公开报告显示,它利用包含XLM宏的武器化Microsoft Excel文档在受感染主机上部署PowerShell植入程序。 虽然威胁行为者的来源尚不清楚,但攻击模式表明该集群符合支持白俄罗斯和俄罗斯政府利益的目标。 UAC-0114 采用了多种方法,从网络钓鱼网站到恶意文档,这些方法都是为目标组织量身定制的,以分发其自定义有效负载并获得对敏感系统的未授权访问。 在2022年,年中观察到的一批攻击中,Winter Vivern 设置了凭据网络钓鱼网页,以引诱印度政府合法电子邮件服务email.gov.in的用户。 典型的攻击链涉及使用伪装成病毒扫描程序的批处理脚本来触发 Aperetif 木马从参与者控制的基础设施(例如受感染的WordPress站点)的部署。 Aperetif 是一种基于 Visual C++ 的恶意软件,具有收集受害者数据、维护后门访问以及从命令和控制 (C2) 服务器检索额外有效载荷的功能。 “Winter Vivern APT 是一个资源有限但极富创造力的组织,他们在攻击范围内表现出克制,”黑格尔说,“他们引诱目标参与攻击的能力,以及他们以政府和高价值私营企业为目标,都表明了他们行动的复杂程度和战略意图。” 虽然 Winter Vivern 可能已经成功地在很长一段时间内避开了公众的视线,但一个不太担心保持低调的组织是 Nobelium,它与 APT29(又名 BlueBravo、Cozy Bear 或 The Dukes)有重叠。 因2020年12月的SolarWinds供应链妥协而臭名昭著的克里姆林宫支持的民族国家组织继续发展其工具集,开发新的自定义恶意软件,如MagicWeb和GraphicalNeutrino。 这也归因于另一场针对欧盟外交实体的网络钓鱼活动,特别强调“帮助乌克兰公民逃离该国并向乌克兰政府提供帮助”的机构。 “Nobelium 积极收集有关在俄乌战争中支持乌克兰的国家的情报信息,”黑莓表示。“威胁行为者会仔细跟踪地缘政治事件,并利用它们来增加成功感染的可能性。” 该公司的研究和情报团队发现的网络钓鱼电子邮件包含一个武器化文档,其中包含一个指向HTML文件的链接。 这些武器化的URL托管在位于萨尔瓦多的合法在线图书馆网站上,具有与LegisWrite和eTrustEx相关的诱饵,欧盟国家使用这两者进行安全文件交换。 活动中提供的HTML投放程序(称为ROOTSAW或EnvyScout)嵌入了一个ISO映像,而该映像又旨在启动一个恶意动态链接库 (DLL),该库有助于通过Notion的API传送下一阶段的恶意软件。 Recorded Future 曾于2023年1月披露了流行的笔记应用程序 Notion 用于C2通信的情况。值得注意的是,APT29使用了Dropbox、Google Drive、Firebase和Trello等各种在线服务,试图逃避检测。 “Nobelium 仍然非常活跃,同时针对美国、欧洲和中亚的政府组织、非政府组织(NGO)、政府间组织(IGO)和智库开展多项活动.”微软上个月表示。 调查结果发布之际,企业安全公司 Proofpoint 披露了自2021年初以来与俄罗斯结盟的威胁行为者TA499(又名Lexus和Vovan)策划的攻击性电子邮件活动,以诱骗目标参与录制的电话或视频聊天并提取有价值的信息。 该公司表示:“威胁行为者一直在从事稳定的活动,并将其目标扩大到包括为乌克兰人道主义工作提供大笔捐款或公开声明俄罗斯虚假信息和宣传的知名商人和知名人士。” 转自 E安全,原文链接:https://mp.weixin.qq.com/s/6YqWUKXS_bKSSkJR7xBIJA 封面来源于网络,如有侵权请联系删除
研报显示 2022 年超过 7.21 亿个密码在互联网上泄露
每当一个公司遭遇数据泄露时,密码是最常被泄露的信息之一。而当攻击背后的威胁者掌握了这些信息后,它们通常会在暗网上转卖,在那里它们可以被购买并用于身份和财务盗窃。 网络安全公司SpyCloud的2023年身份暴露报告证实了这一点。根据该文件,该公司的研究人员在2022年发现了7.215亿个在线曝光的凭证。在这个数字中,50%来自僵尸网络,这是一个由感染了恶意软件的计算机组成的网络,由威胁者作为一个群体控制,部署信息窃取的恶意软件。 “信息窃取者的普遍使用是一个危险的趋势,因为这些攻击为像凭据数据经纪人这样的不良行为者打开了大门,他们将包含准确认证数据的恶意软件日志出售给勒索软件集团和其他罪犯,”SpyCloud的安全研究总监Trevor Hilligoss说。”信息窃取者简单、便宜、可扩展,以’任何东西都是服务’的模式创造了一个繁荣的地下经济,使网络犯罪成为可能。这种经纪人-运营商的合作关系是一项利润丰厚的业务,进入成本相对较低”。 更糟糕的是,该研究发现,在2022年的数据泄露事件中,72%的被曝光的用户仍在重复使用以前被泄露的密码。超过32.7万个被曝光的密码与泰勒·斯威夫特和Bad Bunny有关,26.1万个与Netflix和Hulu等流媒体服务有关,超过16.7万个与英国王室和伊丽莎白女王的逝世有关。 该研究还发现,2022年有86亿个人身份信息资产外泄,这包括14亿全名,3.32亿国民身份证/完整的社会安全号码,以及6700万信用卡号码。 如果你的信息受到安全漏洞的影响,立即改变你的密码是值得的。你可以使用口令,这是一串不相关的词,或者让密码管理器为你生成一个强密码。开启多因素认证也有帮助,它要求你提供另一个身份证明来登录你的账户。这可以采取一次性密码、物理钥匙、或指纹或面部扫描的形式。这样,网络犯罪分子即使获得了你的凭证,也无法渗透到你的账户中。 转自 cnBeta,原文链接:https://www.toutiao.com/article/7210419867583775244/ 封面来源于网络,如有侵权请联系删除
FBI:勒索软件去年入侵了 860 个关键基础设施
近日,FBI(美国联邦调查局)在其2022年互联网犯罪报告中透露,勒索软件团伙2022年入侵了至少860个关键基础设施网络,与2021年(649个)相比大幅增长。 由于FBI的报告仅统计了向互联网犯罪投诉中心(IC3)报告的攻击,实际发生的攻击数量可能更高。 报告显示,在16个关键基础设施行业中,14个行业至少有1个实体在2022年遭受勒索软件攻击。 勒索软件受害者在2022年全年总共提交了2385起投诉,调整后的损失超过3400万美元。 按照攻击次数排名,2022年实施关键基础设施攻击的前三大勒索软件组织是Lockbit(149次),ALPHV/BlackCat(114次)和Hive(87次)。 此外,Ragnar Locker勒索软件至少入侵了52个关键基础设施实体,Cuba勒索软件攻击了至少49个美国关键基础设施实体,BlackByte勒索软件也成功入侵了至少三个关键基础设施实体。 FBI建议关键基础设施组织不要向网络犯罪分子支付赎金,因为付款并不能保证受害者会恢复他们的文件,反而会鼓励进一步的攻击,并且赎金很可能会被用来资助额外的攻击。 FBI还分享了勒索软件攻击防御清单: 更新操作系统和软件。 实施用户培训和网络钓鱼练习,以提高对可疑链接和附件风险的认识。 如果使用远程桌面协议(RDP),请保护并监视它。 对数据进行脱机备份。 CISA(关键基础设施管理局)本周一宣布,该机构自2023年1月30日以来一直在扫描关键基础设施实体的网络,查找易受勒索软件攻击的设备,在黑客入侵之前发出警告,帮助关键基础设施实体修复漏洞。 转自 GoUpSec,原文链接:https://mp.weixin.qq.com/s/nN0sOWXfW6ieic-qIeZ5Nw 封面来源于网络,如有侵权请联系删除
三星 Exynos 芯片组爆出 18 个零日漏洞,影响多款产品
Bleeping Computer 网站披露,谷歌 Project Zero 安全团队在三星用于移动设备、可穿戴设备和汽车的Exynos 芯片组中发现了 18 个漏洞,包括 Pixel 6 系列、Pixel 7 系列、三星 Galaxy S22 系列和 Galaxy A53 等产品均受影响。 Exynos 芯片组中的安全漏洞发生在 2022 年末至 2023 年初,其中四个被评为高危漏洞,允许攻击者从互联网到基带执行远程代码。这些互联网到基带远程代码执行(RCE)漏洞(包括 CVE-2023-24033 和其它三个仍在等待 CVE-ID的漏洞)允许攻击者在没有任何用户交互的情况下,远程危害易受攻击的设备。 三星在一份描述 CVE-2023-24033 漏洞的安全咨询中表示,基带软件没有正确检查 SDP 指定接受的格式类型,可能导致三星基带调制解调器中的拒绝服务或代码执行。 Project Zero 安全团队负责人 Tim Willis 指出,潜在攻击者只要有受害者的电话号码,就可以发动袭击。更糟糕的是,只要稍微认真研究一下,经验丰富的攻击者便可以在不引起目标注意的情况下,轻而易举的利用漏洞远程攻击易受攻击的设备。 其余 14个 漏洞主要包括 CVE-2023-24072、CVE-2023-204073、CVE-202 3-24074、CVE-2022 3-24075、CVE-2020 3-24076 以及其它 9 个等待 CVE ID 的漏洞,虽然这些漏洞不会造成很严重的后果,但仍存在安全风险。 受影响设备列表包括但不限于: 三星的移动设备,包括 S22、M33、M13、M12、A71、A53、A33、A21、A13、A12 和 A04 系列。 Vivo 的移动设备,包括 S16、S15、S6、X70、X60 和 X30 系列。 谷歌的 Pixel 6 和 Pixel 7 系列设备。 任何使用 Exynos W920 芯片组的可穿戴设备。 以及任何使用 Exynos Auto T5123 芯片组的车辆。 受影响设备可采取的解决方法 目前,虽然三星已经向其它厂商提供了漏洞安全更新,但这些补丁并不对所有用户公开。此外,每个制造商对其设备打补丁的时间表也有所不同,例如,谷歌已经在 2023 年 3 月的安全更新中针对受影响的 Pixel 设备解决了 CVE-2023-24033 问题。 好消息是,在安全补丁可用之前,用户可以通过禁用 Wi-Fi 呼叫和 Vo-over-LTE(VoLTE)来消除攻击媒介,从而挫败针对其设备中的三星 Exynos 芯片组的基带 RCE 利用尝试。 转自 Freebuf,原文链接:https://www.freebuf.com/news/360767.html 封面来源于网络,如有侵权请联系删除
SAP 修复五个高危漏洞,请尽快安装更新
Bleeping Computer 网站披露,软件供应商 SAP 发布了 19 个漏洞的安全更新,其中 5 个被评为高危漏洞。 此次修复的安全漏洞影响多款 SAP 产品,其中高危漏洞主要影响 SAP Business Objects Business Intelligence Platform(CMC)和 SAP NetWeaver。 此次修复的五个高危漏洞如下: CVE-2023-25616: SAP Business Intelligence Platform 中存在的高危(CVSS v3:9.9)代码注入漏洞,允许攻击者访问仅对特权用户开放的资源,影响版本 420 和 430。 CVE-2023-23857:严重程度(CVSS v3:9.8)的信息泄露、数据操纵和 DoS 漏洞,影响 SAP NetWeaver AS for Java 7.50 。该漏洞允许未经身份验证的攻击者连接到开放接口并通过目录 API 访问服务来执行未经授权的操作。 CVE-2023-27269:影响 SAP NetWeaver Application Server for ABAP 的严重性(CVSS v3:9.6)目录遍历漏洞。该漏洞允许非管理员用户覆盖系统文件,影响版本 700、701、702、731、740、750、751、752、753、754、755、756、757 和 791。 CVE-2023-27500:APRSBRO 中的目录遍历漏洞,允许具有非管理权限的攻击者利用该漏洞重写系统文件。在这种攻击中,无法读取任何数据,但可能会过度写入关键 OS 文件,从而导致系统不可用。 CVE-2023-25617: SAP Business Objects Business Intelligence Platform 版本 420 和 430 中存在严重性(CVSS v3:9.0)命令执行漏洞。该漏洞允许远程攻击者在特定条件下使用 BI Launchpad、中央管理控制台或基于公共 java SDK 的自定义应用程序在操作系统上执行任意命令。 除上述之外,SAP 还修复了其它四个高严重性漏洞以及十个中等严重性漏洞。 SAP 漏洞影响广泛 SAP 是世界上最大的 ERP 供应商,在 180 个国家拥有 42.5 万客户,占全球市场份额的 24%。超过 90% 的《福布斯全球 2000 强》使用其 ERP、SCM、PLM 和 CRM 产品。因此,其产品中存在的安全漏洞是威胁攻击者的绝佳目标,可以作为侵入企业系统的入口。 早在 2022 年 2 月,美国网络安全和基础设施安全局(CISA)就敦促其管理员修补一组影响 SAP 业务应用程序的严重漏洞,以防止数据被盗、勒索软件攻击以及任务关键流程和操作中断。 转自 Freebuf,原文链接:https://www.freebuf.com/articles/360507.html 封面来源于网络,如有侵权请联系删除
国家支持的黑客利用多年前的漏洞入侵美国联邦机构
美国政府警告说,多个网络犯罪团伙,包括一个国家支持的黑客组织,利用一个四年前的软件漏洞损害一个美国联邦政府机构。CISA、联邦调查局和多国信息共享和分析中心(称为MS-ISAC)周三发布的一份联合警报显示,来自多个黑客团伙的黑客利用了网络服务器的用户界面工具Telerik的已知漏洞。 这个软件旨在为网络应用程序构建组件和主题,在多个美国机构面向互联网的网络服务器上运行。 CISA没有说出被入侵的联邦文职行政部门(FCEB)机构的完整名字,但这个名单包括国土安全部、财政部和联邦贸易委员会。 Telerik漏洞被追踪为CVE-2019-18935,漏洞严重程度评级为9.8(满分10.0),被列为2020年和2021年最常被利用的漏洞之一。该漏洞在2019年首次被发现,美国国家安全局此前警告说,该漏洞已被国家支持的黑客积极利用,以持有”敏感知识产权、经济、政治和军事信息”的计算机网络为目标。 CISA说,该漏洞允许恶意攻击者在该机构的网络服务器上”成功执行远程代码”,暴露了对该机构内部网络的访问。公告指出,该机构的漏洞扫描器未能发现该漏洞,因为Telerik的软件被安装在扫描器通常不扫描的地方。 根据CISA的咨询,该网络安全机构表示,从2022年11月到2023年1月初,它观察到多个黑客组织在利用这个漏洞,包括国家支持的黑客组织,以及一个与越南有联系的信用卡盗刷行为者,称为XE Group。 CISA已经发布了入侵防御指导,并敦促运行有漏洞的Telerik软件的组织确保应用安全补丁。 CISA本周还将一个Adobe ColdFusion漏洞添加到其已知的被利用的漏洞列表中,警告说该漏洞–被追踪为CVE-2023-26360,严重性评分为8.6–可以被利用,允许攻击者实现任意代码执行。 转自 cnBeta,原文链接:https://www.toutiao.com/article/7211131095138435599/ 封面来源于网络,如有侵权请联系删除
美国硅谷银行倒闭,黑客趁机发动网络攻击
3月10日,美国硅谷银行(Silicon Valley Bank,SVB)宣布倒闭,为全球金融体系带来冲击,影响不少新创公司,同时也带来了各种安全问题。 SVB的崩溃非常严重,许多初创公司现在面临财务不稳定甚至可能裁员的情况。因此,这些受影响的公司寻求替代融资方式来维持业务运营。 然而,这种对金融稳定的追求使他们成为威胁行为者的主要目标,这些威胁行为者利用当前形势进行各种恶意活动。 系统网路安全协会(SANS Institute)旗下的Internet Storm Center发出警告,他们发现黑客在美国硅谷银行宣布倒闭后,大肆注册与SVB有关的网域名称,很有可能将其用于攻击行动。 Cyble Research & Intelligence Labs (CRIL)也观察到相关攻击行动。其中一起假借SVB的名义,声称要回馈稳定币USDC(USD Coin)给用户,然而使用者若是依照指示透过加密货币钱包App扫描骇客提供的QR Code,他们的加密货币就有可能遭到洗劫一空。 CRIL已经确定了几个在SVB倒闭后出现的可疑网站。 一些网站在2023年3月10日SVB倒闭之后出现,这引发了对潜在威胁的担忧。这些网站似乎是由希望利用当前形势谋取私利的助教开发的。 3月13日,美国财政部、美联储和 FDIC 发布了一份联合声明,以保护所有储户的资金并确保他们可以使用他们的钱。尽管对受影响的存款人来说是一种解脱,但威胁行为者已经开始使用此公告来发起他们的恶意活动。 利用 SVB 崩溃危机进行的加密欺诈就是这种趋势的典型例子。在监控网络钓鱼活动的同时,CRIL已经检测到几种加密网络钓鱼计划,这些计划利用围绕SVB崩溃的当前情况来欺骗毫无戒心的受害者。 这些钓鱼网站,如svb-usdc.com和svb-usdc.net,已经建立了一个虚假的 USDC 奖励计划,声称“硅谷银行正在积极分发 USDC 作为 SVB USDC 回报计划的一部分给符合条件的 USDC持有人。” 如果用户单击“点击此处领取”按钮以在钓鱼网站上接收承诺的 USDC,则会显示一个二维码。受害者被指示使用任何加密货币钱包扫描此二维码,例如 Trust、Metamask 或 Exodus。但是,扫码会导致用户钱包账户被盗。 此外,Circle 表示,USDC 仍可按 1 换 1 的比例用美元兑换。在此公告发布后不久,CRIL 注意到几个钓鱼网站冒充 Circle 并宣传 1 USDC 换 1 美元的交易。 一个网址为hxxps://circle-reserves.com 的网站,它模拟了 Circle。该欺骗性网站向符合条件的持有者提供 USDC 空投代币,要求用户通过扫描二维码领取代币。但是,扫描代码会导致用户的钱包被盗用。 它经常利用正在进行的场景和事件发起大规模感染活动,用户可能会因恐惧、虚假的紧迫感和缺乏关注而上当受骗。 CRIL 发现的钓鱼网站旨在针对受SVB崩溃影响的组织,通过向受害者提供免费的 USDC 来窃取受害者账户中的加密货币。因此,受影响的组织必须保持警惕并采取积极措施来保护其敏感数据免受潜在的网络威胁。 列出了一些基本的网络安全最佳实践,这些最佳实践创建了针对攻击者的第一线控制,建议遵循以下最佳实践: 避免从未知网站下载文件。 在连接的设备(包括 PC、笔记本电脑和移动设备)上使用知名的防病毒和互联网安全软件包。 不要在未先验证其真实性的情况下打开不受信任的链接和电子邮件附件。 教育员工保护自己免受网络钓鱼/不受信任的 URL 等威胁。 监控网络级别的信标,以阻止恶意软件或 TA 的数据泄露。 在员工系统上启用数据丢失防护 (DLP) 解决方案。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/X3YyakS9uw79J-Ojz3lyrg 封面来源于网络,如有侵权请联系删除
新的加密货币 Dero 挖矿活动,正以 Kubernetes 集群为目标进行
CrowdStrike在一份新报告中说:新的Dero加密货币开采活动集中定位在Kubernetes集群,该集群在Kubernetes API上启用了匿名访问,并在可从互联网访问的非标准端口上进行监听。 这一发展标志着从Monero的一个明显转变,Monero是此类活动中普遍使用的加密货币。这可能与Dero 提供更大的奖励和更好的匿名功能有关。 这些攻击是由一个不知名的攻击者进行的,首先是扫描Kubernetes集群,认证设置为–anonymous-auth=true,这允许匿名请求服务器,从三个不同的美国IP地址投放初始有效载荷。 这包括部署一个名为 “proxy-api “的Kubernetes DaemonSet,反过来,它被用来在Kubernetes集群的每个节点上投放一个恶意的pod,以启动采矿活动。 同时,DaemonSet的YAML文件被安排运行一个Docker镜像,其中包含一个 “暂停 “二进制文件,这实际上是Dero币的矿工。 该公司指出:在合法的Kubernetes部署中,pause容器被Kubernetes用来启动一个pod。攻击者可能使用相同的名字来混入,以避免常规的检测。 这家网络安全公司说,它发现了一个平行的Monero挖矿活动,也针对暴露的Kubernetes集群,试图删除与Dero活动相关的现有 “proxy-api “DaemonSet。 这表明加密劫持团体之间正在进行角力,他们争夺云资源,以获取并保留对机器的控制权,并消耗其所有资源。这两个活动都在试图寻找未被发现的Kubernetes攻击面,并正在进行争夺。 转自 Freebuf,原文链接:https://www.freebuf.com/news/360635.html 封面来源于网络,如有侵权请联系删除
谷歌爆料!微软安全功能遭绕过,对勒索软件放行
一份最新报告显示,有黑客正出于经济动机利用微软SmartScreen安全功能中的零日漏洞,用以传播Magniber勒索软件。 谷歌威胁分析小组(TAG,下文简称谷歌小组)的研究人员表示,自2022年12月以来,恶意黑客就已经能够利用SmartScreen中的零日漏洞。谷歌小组在2月15日向微软报告了相关发现及勒索软件团伙的利用行为。微软在3月14日(3月补丁日)发布针对该漏洞(CVE-2023-24880)的修复补丁。 SmartScreen旨在捕捉网络钓鱼企图和恶意软件,属于Windows 10/11以及微软Edge网络浏览器的组成部分。微软公司发言人表示,客户只要安装最新补丁即可获得保护。 谷歌小组指出,自2023年1月以来,他们发现勒索软件活动中使用的恶意msi文件已被下载超10万次,其中80%的下载量来自欧洲用户。msi文件类似于我们熟悉的.exe文件,二者都可用于安装和启动Windows程序。 研究人员提到,Magniber勒索软件常被用于针对韩国和中国台湾地区的组织。大约六年前,就有网络安全企业对其展开跟踪。 图:Magniber受害者来源分布 SmartScreen多次爆出零日漏洞 谷歌小组的发现,是Magniber恶意黑客在过去半年里,第二次利用零日漏洞规避SmartScreen检测,并诱导计算机用户从受感染的网站处下载经过伪装的勒索软件。 谷歌小组的这次研究建立在此前惠普安全专家的工作上。2022年10月,惠普公司发现Magniber在攻击中利用CVE-2022-44698漏洞,这是另一个影响SmartScreen的独立漏洞。并且在2022年12月微软为该漏洞发布补丁之前,还有其他黑客曾经利用这个漏洞。 当时,Magniber恶意黑客使用带有错误签名的JScript文件强制令SmartScreen返回错误,最终允许黑客绕过安全警告并传播恶意软件。 在微软封锁这条路径后,Magniber团伙又找到了另一种类似方法来破坏SmartScreen。 谷歌小组发现,受感染的MSI文件会致使SmartScreen出现与之前使用JScript文件时相同的反应:Microsoft功能返回错误,允许攻击者绕过安全警告。新方法针对的是SmartScreen中的一个对话框,它会在文件运行与Mark-of-the-Web(MOtW)发生冲突时弹出,属于浏览器中的恶意文件防范功能。 微软频繁发补丁,但修复一直不完全 谷歌小组指出,“由于SmartScreen安全绕过背后的根本原因没有得到解决,所以恶意黑客能够迅速发现原始漏洞的不同变体。”微软应该“正确且全面地”解决这类问题。 “此前Project Zero就已经发现,这类安全绕过正成为网络攻击的新趋势。厂商虽然频繁发布针对性补丁,但由于修复范围不足,导致恶意黑客仍有机会迭代并发现新的攻击变种。在安全修复当中,狭义层面的可靠修复与问题根本原因难以彻底解决之间已经形成了尖锐矛盾。” Magniber勒索软件于2018年底被首次发现,在韩国活跃多年,后又蔓延至中国台湾。 此前,Magniber恶意团伙还曾利用其他几个微软漏洞开展攻击,包括CVE_2022-41091(同样属于MotW漏洞)以及臭名昭著的PrintNightmare漏洞CVE-2021-34527。 至少自2018年起,Magniber团伙就已经在使用Magnitude漏洞利用工具包(可通过浏览器漏洞感染用户Web应用程序)来分发恶意载荷。 转自 安全内参,原文链接:https://mp.weixin.qq.com/s/NHYkI6AIGJrqbPLYwGXI6g 封面来源于网络,如有侵权请联系删除