安全资讯报告
新加坡将加强网络钓鱼诈骗后的安全措施
新加坡正在加强安全措施,以支持当地的银行和通信基础设施,其中包括短信服务提供商需要在发送消息之前检查注册表。预计银行还将开发“更通用”的人工智能(AI)模型来检测可疑交易。
额外的保护措施是在最近一连串短信网络钓鱼诈骗之后推出的,这些诈骗从790名华侨银行客户的账户中损失了1370万新加坡元(1017万美元)。诈骗者操纵了SMS发件人ID详细信息,以推送看似来自华侨银行的消息,敦促受害者解决他们的银行账户问题。然后他们被重定向到网络钓鱼网站,并被指示输入他们的银行登录详细信息,包括用户名、PIN和一次性密码(OTP)。
财政部长黄循财将此次事件描述为该国最严重的网络钓鱼诈骗,其中涉及冒充银行的虚假短信,并表示将采取各种措施来更好地降低此类诈骗的风险。黄周二在议会部长级声明中表示,这些将跨越整个生态系统,包括银行、电信、执法和消费者教育。这位部长也是新加坡金融管理局(MAS)的副主席。
华侨银行的骗局促使MAS上个月强制实施新的安全措施,其中包括要求银行从发送给消费者的电子邮件或SMS消息中删除超链接,并在激活移动软件令牌时延迟12小时。
银行将进一步加快使用移动银行应用程序来验证客户身份、授权交易和发送银行通知的进程。还正在对基于SMS的OTP的使用以及降低其使用风险所需的措施进行审查。
新闻来源:
https://www.zdnet.com/article/singapore-to-step-up-security-measures-in-aftermath-of-phishing-scams/
DDoS攻击袭击了乌克兰政府网站
一场强大的分布式拒绝服务(DDoS)攻击袭击了乌克兰,目标是该国武装部队、国防部、公共广播电台和两家最大的国家银行-Privatbank和Oschadbank-的网站,并使一些服务下线。这次袭击通过大量的网络流量淹没了网站,导致许多乌克兰人无法使用重要服务,并在俄罗斯军队沿边境集结时造成混乱。
从当地时间下午3点左右开始,Privatbank和Oschadbank宕机了两个小时,导致无法访问移动应用程序和在线支付。这次袭击并未影响乌克兰中央银行的网站。
大约五个小时后,银行表示他们的网站已经恢复并“正常运行”。为超过2000万乌克兰人提供服务的私人银行表示,“有可能再次遭到袭击。”
乌克兰国防部和武装部队的网站仍然无法访问。乌克兰公共广播电台也遭到攻击,但其网站并没有关闭,其总制作人Dmitry Khorkin在Facebook帖子中说。
新闻来源:
https://therecord.media/ddos-attacks-hit-websites-of-ukraines-state-banks-defense-ministry-and-armed-forces/
欧盟隐私监管机构希望禁止Pegasus间谍软件
欧盟数据保护监督员(EDPS)敦促欧盟官员禁止在整个欧洲使用和部署Pegasus商业间谍软件,理由是对整个欧洲的个人自由和法治造成了前所未有的风险和损害。
Pegasus由以色列软件公司NSO Group开发,是一种强大的间谍软件,能够感染Android和iOS设备。该工具作为监控即服务包的一部分出售,可以感染用户、从他们的设备中检索数据,并实时监控他们的移动和在线活动。
自2010年初作为商业产品推出以来,NSO Group声称它只将该工具出售给官方执法机构。然而,尽管该机构声称,最近的所有调查都在数十个国家的无数记者、政治人物、持不同政见者和活动家的手机上发现了Pegasus间谍软件,这些国家从专制政权到西方民主国家。
EDPS将间谍软件的高级功能、不受限制地访问手机的能力以及零点击感染能力作为其决定的主要原因。欧盟数据保护监管机构表示,不应允许在没有任何限制或监督的情况下在欧洲内部使用像Pegasus这样先进的工具,这会鼓励NSO的客户滥用。
新闻来源:
https://therecord.media/eu-privacy-watchdog-wants-pegasus-spyware-banned/
网络钓鱼攻击正在欺骗LinkedIn
分析师发现冒充LinkedIn的网络钓鱼电子邮件攻击激增232%,试图诱使求职者放弃其登录凭据。
这些电子邮件的主题会吸引希望引起注意的求职者,例如“谁在网上搜索你”、“你本周出现了4次搜索”甚至“你有1条新消息”。
报告补充说,网络钓鱼电子邮件内置了带有LinkedIn徽标、颜色和图标的HTML模板。分析人士说,诈骗者还对整个网络钓鱼电子邮件正文中的知名公司进行了名称检查,包括美国运通和CVSCarepoint,以使通信看起来更合法。
分析师指出,即使是电子邮件的页脚也提供了公司总部的地址,并包含“取消订阅”链接以增加电子邮件的真实性。一旦受害者点击电子邮件中的恶意链接,他们就会被引导到一个站点以获取他们的LinkedIn登录名和密码。
新闻来源:
https://threatpost.com/massive-linkedin-phishing-bot-attacks-hungry-job-seekers/178476/
美国称俄罗斯国家黑客破坏了国防承包商
自2020年1月以来,俄罗斯支持的黑客一直在瞄准和损害美国已获批准的国防承包商(CDC),以获取和窃取敏感信息,从而深入了解美国的国防和情报计划和能力。
自2020年1月以来,俄罗斯黑客组织已经侵入了多个CDC网络,在某些情况下,至少持续了六个月,定期窃取数百份文档、电子邮件和其他数据。
联邦调查局、国家安全局和中央情报局在今天发布的联合咨询中透露:被入侵的实体包括支持美国陆军、美国空军、美国海军、美国太空部队以及国防部和情报项目的CDC。这些持续的入侵使行为者能够获取敏感的、非机密的信息,以及CDC专有和出口控制的技术。
通过获取专有的内部文件和电子邮件通信,对手可能能够调整自己的军事计划和优先事项,加快技术开发努力,告知外交政策制定者美国的意图,并瞄准潜在的招募来源。
FBI、NSA和CISA在1月份所说,俄罗斯APT组织——包括APT29、APT28和Sandworm团队——使用破坏性恶意软件来攻击关键基础设施组织的工业控制系统(ICS)和运营技术(OT)。
新闻来源:
https://www.bleepingcomputer.com/news/security/us-says-russian-state-hackers-breached-defense-contractors/
自2020年以来,Trickbot恶意软件瞄准了60家知名公司的客户
臭名昭著的TrickBot恶意软件针对60家金融和技术公司的客户,其中包括主要位于美国的加密货币公司,尽管其运营商已使用新的反分析功能更新了僵尸网络。
CheckPoint研究人员Aliaksandr Trafimchuk和Raman Ladutska在今天发布的一份报告中说:“TrickBot是一种复杂且多功能的恶意软件,具有20多个可以按需下载和执行的模块。”
除了流行和持久之外,TrickBot还不断发展其策略以超越安全和检测层。为此,该恶意软件的“injectDll”网络注入模块负责窃取银行和凭证数据,利用反反混淆技术使网页崩溃并阻止审查源代码的尝试。
还设置了反分析护栏,以防止安全研究人员向C2服务器发送自动请求以检索新的Web注入。
作为TrickBot感染的一部分部署的第三个关键模块是“pwgrabc”,这是一种凭据窃取程序,旨在从Web浏览器和许多其他应用程序(如Outlook、Filezilla、WinSCP、RDP、Putty、OpenSSH、OpenVPN和TeamViewer)中窃取密码。
研究人员说:“TrickBot攻击知名受害者以窃取凭据,并为其运营商提供访问门户的敏感数据,从而造成更大的破坏。”
新闻来源:
https://thehackernews.com/2022/02/trickbot-malware-targeted-customers-of.html
安全漏洞威胁
谷歌发现利用Chrome零日漏洞的攻击
谷歌周一宣布为Chrome发布11个安全补丁,其中一个针对在野外利用的漏洞。
该漏洞被跟踪为CVE-2022-0609并被评为高严重性,被利用的漏洞被描述为Animation中的释放后使用问题。这是谷歌在2022年修补的第一个被利用的Chrome零日漏洞。
作为Chrome98.0.4758.102推出到Windows、Mac和Linux系统,新的浏览器迭代解决了外部研究人员报告的其他六个高严重性和一个中等严重性安全漏洞。
其中最重要的是CVE-2022-0603,它是文件管理器中的use-after-free。谷歌向报告研究人员支付了15,000美元的漏洞赏金奖励。
接下来是CVE-2022-0604(选项卡组中的堆缓冲区溢出)、CVE-2022-0605(WebstoreAPI中的use-after-free)和CVE-2022-0606(Angle中的use-after-free)。该公司为每一项发放了7,000美元的赏金。
此Chrome版本解决的其余高严重性缺陷是CVE-2022-0607(GPU中的use-after-free)和CVE-2022-0608(Mojo中的整数溢出)。跟踪为CVE-2022-0610的中等严重性安全漏洞被描述为GamepadAPI中的不适当实施问题。
据谷歌称,Chrome用户将在未来几天/几周内收到新的更新。可以通过转到菜单>帮助>关于谷歌浏览器立即触发更新。
新闻来源:
https://www.securityweek.com/google-discovers-attack-exploiting-chrome-zero-day-vulnerability
Apple发布iOS15.3.1补丁以解决“被积极利用”的安全漏洞
苹果本月早些时候发布了iOS15.3,但它没有包含一个针对现在在iOS15.3.1中解决的安全漏洞的修复程序。与往常一样,Apple提供的详细信息很少,但它提供了足够的信息表明这是一个严重的错误,因为它可能导致恶意代码执行,只需用户在Apple Safari浏览器中打开网页即可。
“处理恶意制作的Web内容可能会导致任意代码执行。Apple知道有报告称此问题可能已被积极利用,”Apple表示。
此更新适用于iPhone 6s及更新机型、iPad Pro、iPad Air 2及更新机型、iPad第5代及更新机型、iPad mini 4及更新机型以及iPod touch第7代。
新闻来源:
https://www.zdnet.com/article/get-updating-apple-releases-ios-15-3-1-patch-for-actively-exploited-security-flaw/
Apache Cassandra数据库中发现高风险RCE漏洞
从好的方面来说,只有具有非标准不推荐配置的实例才容易受到攻击。不利的一面是,这些配置不容易追踪,而且很容易被利用。
研究人员分享了Apache Cassandra开源NoSQL分布式数据库中一个现已修补的高严重性安全漏洞的详细信息,该漏洞很容易被利用,如果不打补丁,攻击者可能会获得远程代码执行(RCE)。
该漏洞涉及Cassandra如何创建用户定义的函数(UDF)以执行数据的自定义处理,该漏洞被跟踪为CVE-2021-44521,严重性等级为8.4。
该漏洞是由JFrog的安全研究团队发现的。在周二的一篇文章中,JFrog安全研究员OmerKaspi表示,从好的方面来说,唯一容易受到该漏洞影响的Cassandra系统是那些具有特定、非标准且特别是不推荐配置的系统。
不利的一面是,它很容易被利用,JFrog已经创建了一个概念验证(PoC)漏洞利用。另一个缺点:这个数据库无处不在。
“这个Apache安全漏洞很容易被利用,并且有可能对系统造成严重破坏,但幸运的是,它只体现在Cassandra的非默认配置中,”Kaspi在他的文章中说。
新闻来源:
https://threatpost.com/high-severity-rce-bug-found-in-popular-apache-cassandra-database/178464/
红十字会:黑客利用Zoho漏洞入侵了我们的网络
红十字国际委员会(ICRC)今天表示,上个月披露的针对其服务器的黑客攻击是一次有针对性的攻击。事件期间,攻击者在“重建家庭联系”计划中获得了超过515,000人的个人信息(姓名、位置和联系信息),该计划帮助因战争、灾难和移民而离散的家庭团聚。
红十字会在调查期间发现,在2021年11月9日发生首次入侵后,入侵者能够在70天内保持对其服务器的访问。
攻击者利用了Zoho的ManageEngine ADSelfService Plus企业密码管理解决方案中的一个未修补的严重漏洞(CVE-2021-40539),该漏洞允许他们在没有身份验证的情况下远程执行代码。
该漏洞允许恶意网络攻击者放置网络外壳并进行利用后的活动,例如泄露管理员凭据、进行横向移动以及窃取注册表配置单元和ActiveDirectory文件。
一旦进入我们的网络,黑客就能够部署攻击性安全工具,使他们能够伪装成合法用户或管理员。这反过来又允许他们访问数据,尽管这些数据是加密的。
红十字会并未将此次攻击归咎于特定的威胁行为者,并敦促黑客不要共享、泄露或出售事件期间访问的极其敏感的数据。
新闻来源:
https://www.bleepingcomputer.com/news/security/red-cross-state-hackers-breached-our-network-using-zoho-bug/
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
