谷歌發現利用零日漏洞的攻擊、駭客透過漏洞入侵紅十字會|2月17日全球網路安全熱點

騰訊安全發表於2022-02-17

圖片



安全資訊報告


新加坡將加強網路釣魚詐騙後的安全措施

 

新加坡正在加強安全措施,以支援當地的銀行和通訊基礎設施,其中包括簡訊服務提供商需要在傳送訊息之前檢查登錄檔。預計銀行還將開發“更通用”的人工智慧(AI)模型來檢測可疑交易。

 

額外的保護措施是在最近一連串簡訊網路釣魚詐騙之後推出的,這些詐騙從790名華僑銀行客戶的賬戶中損失了1370萬新加坡元(1017萬美元)。詐騙者操縱了SMS發件人ID詳細資訊,以推送看似來自華僑銀行的訊息,敦促受害者解決他們的銀行賬戶問題。然後他們被重定向到網路釣魚網站,並被指示輸入他們的銀行登入詳細資訊,包括使用者名稱、PIN和一次性密碼(OTP)。

 

財政部長黃循財將此次事件描述為該國最嚴重的網路釣魚詐騙,其中涉及冒充銀行的虛假簡訊,並表示將採取各種措施來更好地降低此類詐騙的風險。黃週二在議會部長級宣告中表示,這些將跨越整個生態系統,包括銀行、電信、執法和消費者教育。這位部長也是新加坡金融管理局(MAS)的副主席。

 

華僑銀行的騙侷促使MAS上個月強制實施新的安全措施,其中包括要求銀行從傳送給消費者的電子郵件或SMS訊息中刪除超連結,並在啟用移動軟體令牌時延遲12小時。

 

銀行將進一步加快使用移動銀行應用程式來驗證客戶身份、授權交易和傳送銀行通知的程式。還正在對基於SMS的OTP的使用以及降低其使用風險所需的措施進行審查。

 

新聞來源:

https://www.zdnet.com/article/singapore-to-step-up-security-measures-in-aftermath-of-phishing-scams/


DDoS攻擊襲擊了烏克蘭政府網站

 

一場強大的分散式拒絕服務(DDoS)攻擊襲擊了烏克蘭,目標是該國武裝部隊、國防部、公共廣播電臺和兩家最大的國家銀行-Privatbank和Oschadbank-的網站,並使一些服務下線。這次襲擊透過大量的網路流量淹沒了網站,導致許多烏克蘭人無法使用重要服務,並在俄羅斯軍隊沿邊境集結時造成混亂。

 

從當地時間下午3點左右開始,Privatbank和Oschadbank當機了兩個小時,導致無法訪問移動應用程式和線上支付。這次襲擊並未影響烏克蘭中央銀行的網站。

 

大約五個小時後,銀行表示他們的網站已經恢復並“正常執行”。為超過2000萬烏克蘭人提供服務的私人銀行表示,“有可能再次遭到襲擊。”

 

烏克蘭國防部和武裝部隊的網站仍然無法訪問。烏克蘭公共廣播電臺也遭到攻擊,但其網站並沒有關閉,其總製作人Dmitry Khorkin在Facebook帖子中說。


新聞來源:

https://therecord.media/ddos-attacks-hit-websites-of-ukraines-state-banks-defense-ministry-and-armed-forces/

 

歐盟隱私監管機構希望禁止Pegasus間諜軟體

 

歐盟資料保護監督員(EDPS)敦促歐盟官員禁止在整個歐洲使用和部署Pegasus商業間諜軟體,理由是對整個歐洲的個人自由和法治造成了前所未有的風險和損害。

 

Pegasus由以色列軟體公司NSO Group開發,是一種強大的間諜軟體,能夠感染Android和iOS裝置。工具作為監控即服務包的一部分出售,可以感染使用者、從他們的裝置中檢索資料,並實時監控他們的移動和線上活動。

 

自2010年初作為商業產品推出以來,NSO Group聲稱它只將該工具出售給官方執法機構。然而,儘管該機構聲稱,最近的所有調查都在數十個國家的無數記者、政治人物、持不同政見者和活動家的手機上發現了Pegasus間諜軟體,這些國家從專制政權到西方民主國家。

 

EDPS將間諜軟體的高階功能、不受限制地訪問手機的能力以及零點選感染能力作為其決定的主要原因。歐盟資料保護監管機構表示,不應允許在沒有任何限制或監督的情況下在歐洲內部使用像Pegasus這樣先進的工具,這會鼓勵NSO的客戶濫用。


新聞來源:

https://therecord.media/eu-privacy-watchdog-wants-pegasus-spyware-banned/

 

網路釣魚攻擊正在欺騙LinkedIn

 

分析師發現冒充LinkedIn的網路釣魚電子郵件攻擊激增232%,試圖誘使求職者放棄其登入憑據。


這些電子郵件的主題會吸引希望引起注意的求職者,例如“誰在網上搜尋你”、“你本週出現了4次搜尋”甚至“你有1條新訊息”。

 

報告補充說,網路釣魚電子郵件內建了帶有LinkedIn徽標、顏色和圖示的HTML模板。分析人士說,詐騙者還對整個網路釣魚電子郵件正文中的知名公司進行了名稱檢查,包括美國運通和CVSCarepoint,以使通訊看起來更合法。

 

分析師指出,即使是電子郵件的頁尾也提供了公司總部的地址,幷包含“取消訂閱”連結以增加電子郵件的真實性。一旦受害者點選電子郵件中的惡意連結,他們就會被引導到一個站點以獲取他們的LinkedIn登入名和密碼。


新聞來源:

https://threatpost.com/massive-linkedin-phishing-bot-attacks-hungry-job-seekers/178476/


美國稱俄羅斯國家駭客破壞了國防承包商

 

自2020年1月以來,俄羅斯支援的駭客一直在瞄準和損害美國已獲批准的國防承包商(CDC),以獲取和竊取敏感資訊,從而深入瞭解美國的國防和情報計劃和能力。


2020年1月以來,俄羅斯駭客組織已經侵入了多個CDC網路,在某些情況下,至少持續了六個月,定期竊取數百份文件、電子郵件和其他資料。


聯邦調查局、國家安全域性和中央情報局在今天釋出的聯合諮詢中透露:被入侵的實體包括支援美國陸軍、美國空軍、美國海軍、美國太空部隊以及國防部和情報專案的CDC。這些持續的入侵使行為者能夠獲取敏感的、非機密的資訊,以及CDC專有和出口控制的技術。

 

透過獲取專有的內部檔案和電子郵件通訊,對手可能能夠調整自己的軍事計劃和優先事項,加快技術開發努力,告知外交政策制定者美國的意圖,並瞄準潛在的招募來源。


FBI、NSA和CISA在1月份所說,俄羅斯APT組織——包括APT29、APT28和Sandworm團隊——使用破壞性惡意軟體來攻擊關鍵基礎設施組織的工業控制系統(ICS)和運營技術(OT)。

 

新聞來源:

https://www.bleepingcomputer.com/news/security/us-says-russian-state-hackers-breached-defense-contractors/


自2020年以來,Trickbot惡意軟體瞄準了60家知名公司的客戶


臭名昭著的TrickBot惡意軟體針對60家金融和技術公司的客戶,其中包括主要位於美國的加密貨幣公司,儘管其運營商已使用新的反分析功能更新了殭屍網路。

 

CheckPoint研究人員Aliaksandr Trafimchuk和Raman Ladutska在今天釋出的一份報告中說:“TrickBot是一種複雜且多功能的惡意軟體,具有20多個可以按需下載和執行的模組。”

 

除了流行和持久之外,TrickBot還不斷髮展其策略以超越安全和檢測層。為此,該惡意軟體的“injectDll”網路注入模組負責竊取銀行和憑證資料,利用反反混淆技術使網頁崩潰並阻止審查原始碼的嘗試。

 

還設定了反分析護欄,以防止安全研究人員向C2伺服器傳送自動請求以檢索新的Web注入。

 

作為TrickBot感染的一部分部署的第三個關鍵模組是“pwgrabc”,這是一種憑據竊取程式,旨在從Web瀏覽器和許多其他應用程式(如Outlook、Filezilla、WinSCP、RDP、Putty、OpenSSH、OpenVPN和TeamViewer)中竊取密碼。

 

研究人員說:“TrickBot攻擊知名受害者以竊取憑據,併為其運營商提供訪問門戶的敏感資料,從而造成更大的破壞。”

 

新聞來源:

https://thehackernews.com/2022/02/trickbot-malware-targeted-customers-of.html


安全漏洞威脅


谷歌發現利用Chrome零日漏洞的攻擊

 

谷歌週一宣佈為Chrome釋出11個安全補丁,其中一個針對在野外利用的漏洞。

 

該漏洞被跟蹤為CVE-2022-0609並被評為高嚴重性,被利用的漏洞被描述為Animation中的釋放後使用問題。是谷歌在2022年修補的第一個被利用的Chrome零日漏洞。

 

作為Chrome98.0.4758.102推出到Windows、Mac和Linux系統,新的瀏覽器迭代解決了外部研究人員報告的其他六個高嚴重性和一箇中等嚴重性安全漏洞。

 

其中最重要的是CVE-2022-0603,它是檔案管理器中的use-after-free。谷歌向報告研究人員支付了15,000美元的漏洞賞金獎勵。

 

接下來是CVE-2022-0604(選項卡組中的堆緩衝區溢位)、CVE-2022-0605(WebstoreAPI中的use-after-free)和CVE-2022-0606(Angle中的use-after-free)。該公司為每一項發放了7,000美元的賞金。

 

此Chrome版本解決的其餘高嚴重性缺陷是CVE-2022-0607(GPU中的use-after-free)和CVE-2022-0608(Mojo中的整數溢位)。跟蹤為CVE-2022-0610的中等嚴重性安全漏洞被描述為GamepadAPI中的不適當實施問題。

 

據谷歌稱,Chrome使用者將在未來幾天/幾周內收到新的更新。可以透過轉到選單>幫助>關於谷歌瀏覽器立即觸發更新。

 

新聞來源:

https://www.securityweek.com/google-discovers-attack-exploiting-chrome-zero-day-vulnerability

 

Apple釋出iOS15.3.1補丁以解決“被積極利用”的安全漏洞

 

蘋果本月早些時候釋出了iOS15.3,但它沒有包含一個針對現在在iOS15.3.1中解決的安全漏洞的修復程式。與往常一樣,Apple提供的詳細資訊很少,但它提供了足夠的資訊表明這是一個嚴重的錯誤,因為它可能導致惡意程式碼執行,只需使用者在Apple Safari瀏覽器中開啟網頁即可。

 

“處理惡意製作的Web內容可能會導致任意程式碼執行。Apple知道有報告稱此問題可能已被積極利用,”Apple表示。

 

此更新適用於iPhone 6s及更新機型、iPad Pro、iPad Air 2及更新機型、iPad第5代及更新機型、iPad mini 4及更新機型以及iPod touch第7代。

 

新聞來源:

https://www.zdnet.com/article/get-updating-apple-releases-ios-15-3-1-patch-for-actively-exploited-security-flaw/


Apache Cassandra資料庫中發現高風險RCE漏洞

 

從好的方面來說,只有具有非標準不推薦配置的例項才容易受到攻擊。不利的一面是,這些配置不容易追蹤,而且很容易被利用。

 

研究人員分享了Apache Cassandra開源NoSQL分散式資料庫中一個現已修補的高嚴重性安全漏洞的詳細資訊,該漏洞很容易被利用,如果不打補丁,攻擊者可能會獲得遠端程式碼執行(RCE)。

 

該漏洞涉及Cassandra如何建立使用者定義的函式(UDF)以執行資料的自定義處理,該漏洞被跟蹤為CVE-2021-44521,嚴重性等級為8.4。

 

該漏洞是由JFrog的安全研究團隊發現的。在週二的一篇文章中,JFrog安全研究員OmerKaspi表示,從好的方面來說,唯一容易受到該漏洞影響的Cassandra系統是那些具有特定、非標準且特別是不推薦配置的系統。

 

不利的一面是,它很容易被利用,JFrog已經建立了一個概念驗證(PoC)漏洞利用。另一個缺點:這個資料庫無處不在。

 

“這個Apache安全漏洞很容易被利用,並且有可能對系統造成嚴重破壞,但幸運的是,它只體現在Cassandra的非預設配置中,”Kaspi在他的文章中說。


新聞來源:

https://threatpost.com/high-severity-rce-bug-found-in-popular-apache-cassandra-database/178464/

 

紅十字會:駭客利用Zoho漏洞入侵了我們的網路

 

紅十字國際委員會(ICRC)今天表示,上個月披露的針對其伺服器的駭客攻擊是一次有針對性的攻擊。事件期間,攻擊者在“重建家庭聯絡”計劃中獲得了超過515,000人的個人資訊(姓名、位置和聯絡資訊),該計劃幫助因戰爭、災難和移民而離散的家庭團聚。

 

紅十字會在調查期間發現,在2021年11月9日發生首次入侵後,入侵者能夠在70天內保持對其伺服器的訪問。

 

攻擊者利用了Zoho的ManageEngine ADSelfService Plus企業密碼管理解決方案中的一個未修補的嚴重漏洞(CVE-2021-40539),該漏洞允許他們在沒有身份驗證的情況下遠端執行程式碼。

 

該漏洞允許惡意網路攻擊者放置網路外殼並進行利用後的活動,例如洩露管理員憑據、進行橫向移動以及竊取登錄檔配置單元和ActiveDirectory檔案。

 

一旦進入我們的網路,駭客就能夠部署攻擊性安全工具,使他們能夠偽裝成合法使用者或管理員。這反過來又允許他們訪問資料,儘管這些資料是加密的。

 

紅十字會並未將此次攻擊歸咎於特定的威脅行為者,並敦促駭客不要共享、洩露或出售事件期間訪問的極其敏感的資料。

 

新聞來源:

https://www.bleepingcomputer.com/news/security/red-cross-state-hackers-breached-our-network-using-zoho-bug/


相關文章