安全資訊報告

攻擊英偉達的駭客洩露了三星資料

據報導，攻擊並洩露Nvidia的駭客組織LAPSUS$釋出了它所描述的“三星機密原始碼”。該駭客組織此前曾從Nvidia竊取機密資訊。

BleepingComputer報告稱，LAPSUS$洩露了近190GB的資料，據稱其中包括TrustZone環境使用的受信任小程式的原始碼、最近三星裝置的引導載入程式以及與三星帳戶相關的技術等。

LAPSUS$聲稱也洩露了“來自高通的機密原始碼”，以及“所有生物識別解鎖操作的演算法”。

在提供給SamMobile的一份宣告中，三星確認違反了“某些內部公司資料”，其中“涉及與Galaxy裝置操作相關的一些原始碼，但不包括我們消費者或員工的個人資訊。

“目前，我們預計不會對我們的業務或客戶產生任何影響。我們已採取措施防止此類事件進一步發生，並將繼續為我們的客戶提供服務而不會中斷。”三星補充道。

新聞來源：

https://www.pcmag.com/news/nvidia-hackers-shift-to-leaking-samsung-data

FortiGuard Labs：勒索軟體的攻勢沒有放緩

FortiGuard Labs釋出了最新的半年度全球威脅形勢報告，報告顯示，攻擊的自動化和速度有所提高，表明更先進的持續性網路犯罪策略更具破壞性和不可預測性。此外，混合工作者和混合IT不斷擴大的攻擊面是網路對手試圖利用的焦點。

威脅趨勢表明，殭屍網路正在演變為採用更新和更先進的網路犯罪攻擊技術。殭屍網路不再主要是單一的並且主要專注於DDoS攻擊，而是現在是利用各種更復雜的攻擊技術（包括勒索軟體）的多用途攻擊工具。

網路犯罪分子最大限度地利用“一切可能”，按地區評估惡意軟體變體的流行程度揭示了網路攻擊者會最大限度地利用遠端攻擊，各種形式的基於瀏覽器的惡意軟體很普遍，這通常採取網路釣魚誘餌或注入程式碼或將使用者重定向到惡意站點的攻擊形式。

資料顯示，勒索軟體並沒有從去年的峰值水平下降，相反，勒索軟體的複雜性、攻擊性和影響正在增加。威脅參與者繼續使用各種勒索軟體攻擊組織，通常會留下破壞痕跡。勒索軟體即服務(RaaS)商業模式使更多的威脅參與者能夠利用和分發惡意軟體，而無需自己建立勒索軟體。

新聞來源：

https://www.apnnews.com/fortiguard-labs-reports-ransomware-not-slowing-continues-to-be-relentless-and-more-destructive/

羅馬尼亞的Rompetrol加油站網路遭到Hive勒索軟體攻擊

羅馬尼亞的石油供應商Rompetrol宣佈它正在與“複雜的網路攻擊”作鬥爭。Hive勒索軟體團伙是這次攻擊的幕後黑手，他們要求支付數百萬美元的贖金。攻擊者還訪問了Petromdia煉油廠的內部IT網路。

Rompetrol是羅馬尼亞最大的煉油廠Petromidia Navodari的運營商，該煉油廠的年加工能力超過500萬噸。

KMG和Rompetrol網站截至今天都無法訪問，並且Fill&Go應用程式不再工作。不過，該公司的電子郵件系統（Microsoft Outlook）仍然正常工作。為了保護資料，該公司暫時暫停了網站和Fill&Go服務的運營，包括車隊和私人客戶。

BleepingComputer獲悉Hive勒索軟體團伙是對KMG子公司Rompetrol的攻擊的幕後黑手。Hive要求Rompetrol支付200萬美元的贖金，以接收解密器並且不洩露據稱被盜的資料。

新聞來源：

https://www.bleepingcomputer.com/news/security/rompetrol-gas-station-network-hit-by-hive-ransomware/

SharkBot銀行木馬透過Google Play商店上的假安卓防病毒軟體傳播

一個名為SharkBot的新興Android銀行木馬透過偽裝成防病毒應用程式成功地避開了Google Play商店的安全屏障。

SharkBot與眾不同的地方在於它能夠透過自動傳輸系統(ATS)執行未經授權的交易，這與TeaBot形成鮮明對比，TeaBot需要現場操作員與受感染的裝置進行互動完成攻擊。

2月28日在Google Play Store上發現的最新版本由多個安卓應用程式傳播，它們還利用Android的Direct Reply功能將自身傳播到其他裝置。偽裝成安卓防病毒軟體和清理軟體的惡意軟體被下載了5.7萬次。

SharkBot還具有豐富的功能，因為它使攻擊者能夠在官方銀行應用程式上注入欺詐性覆蓋，以竊取憑據、記錄擊鍵並獲得對裝置的完全遠端控制，但前提是受害者授予它可訪問性服務許可權。

新聞來源：

https://thehackernews.com/2022/03/sharkbot-banking-malware-spreading-via.html

安全漏洞威脅

“骯髒管道（DirtyPipe）”Linux漏洞細節被披露

一位網路安全研究人員釋出了Linux漏洞的詳細資訊，該漏洞允許攻擊者覆蓋任意只讀檔案中的資料。該漏洞-CVE-2022-0847-由Max Kellermann於2021年4月發現，但他又花了幾個月的時間才弄清楚實際發生了什麼。

該漏洞影響LinuxKernel5.8及更高版本，但在Linux5.16.11、5.15.25和5.10.102中已修復。

要利用此漏洞，需要：建立管道，用任意資料填充管道（在所有環條目中設定PIPE_BUF_FLAG_CAN_MERGE標誌），排空管道（在structpipe_inode_info環上的所有structpipe_buffer例項中設定標誌)，將目標檔案（使用O_RDONLY開啟）中的資料從目標偏移量之前拼接到管道中[並]將任意資料寫入管道。

Kellermann和其他專家將該漏洞與CVE-2016-5195“DirtyCow”進行了比較，但表示它更容易被利用。獲得root許可權的攻擊者可以完全控制目標系統，並可能利用該控制權到達其他系統。此漏洞的緩解因素是它需要本地訪問，這會稍微降低風險。漏洞可以讓攻擊者提升許可權、在網路內部橫向移動、執行任意程式碼並完全接管裝置。

新聞來源：

https://www.zdnet.com/article/dirty-pipe-linux-vulnerability-discovered-fixed/

鐵威馬TOS中的嚴重漏洞可能導致NAS裝置被駭客遠端攻擊

衣索比亞研究人員Paulos Yibelo表示，這些問題存在於TOS（TerraMaster作業系統的縮寫）中，並且“可以讓未經身份驗證的攻擊者僅透過IP地址就可以訪問受害者的NAS裝置”。

編號為CVE-2022-24990的漏洞，涉及一個名為“webNasIPS”元件的資訊洩漏案例，漏洞導致TOS韌體版本、預設閘道器介面的IP和MAC地址以及管理員密碼洩露。

第二個漏洞與名為“createRaid”（CVE-2022-24989）的PHP模組中的命令注入缺陷有關，聯合使用兩個漏洞可以提交特製命令實現遠端程式碼執行。

鐵威馬NAS裝置的使用者需要升級到最新韌體來修復漏洞。

新聞來源：

https://thehackernews.com/2022/03/critical-bugs-in-terramaster-tos-could.html

微軟修復了暴露客戶資料的關鍵Azure漏洞

Microsoft已解決Azure自動化服務中的一個漏洞，該漏洞可能允許攻擊者完全控制其他Azure客戶的資料。

Microsoft Azure自動化服務提供流程自動化、配置管理和更新管理功能，每個計劃作業在每個Azure客戶的隔離沙箱內執行。

該漏洞被Orca Security的雲安全研究員Yanir Tsarimi稱為AutoWarp，發現該漏洞後，攻擊者可以從管理其他使用者沙箱的內部伺服器竊取其他Azure客戶的託管身份驗證令牌。

Yanir Tsarimi指出，攻擊者可能會不斷地搶奪令牌，並且每個令牌都會將攻擊範圍擴大到更多的Azure客戶。這種攻擊可能意味著完全控制屬於目標帳戶的資源和資料，具體取決於客戶分配的許可權。

微軟公開披露了該漏洞，稱沒有發現任何證據表明託管身份令牌被濫用，或AutoWarp在攻擊中被利用。

新聞來源：

https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-critical-azure-bug-that-exposed-customer-data/