安全资讯报告
Xenomorph恶意软件在Google Play上伪装成一个名为“Fast Cleaner”的合法程序
尼日利亚通信委员会(NCC)已提醒尼日利亚公众注意新发现的恶意软件,其计算机安全事件响应小组(CSIRT)在安全建议中表示,已发现名为Xenomorph的恶意软件针对来自欧洲的56家金融机构,具有高影响力和高漏洞率。该软件会窃取用户在Android设备上的银行应用程序登录凭据。
“一旦在受害者的设备上启动并运行,Xenomorph可以收集设备信息和短信服务(SMS),拦截通知和新短信,执行覆盖攻击,并阻止用户卸载它。该威胁还要求提供辅助功能服务权限,这允许它授予自己更多权限。”
该恶意软件还通过在合法登录页面上覆盖虚假登录页面来窃取受害者的银行凭证,并指出由于它还可以拦截消息和通知,它允许其运营商绕过基于SMS的两因素身份验证和登录在没有提醒他们的情况下进入受害者的账户。
Xenomorph被发现针对56个网上银行应用程序,其中28个来自西班牙,12个来自意大利,9个来自比利时,7个来自葡萄牙,以及加密货币钱包和电子邮件服务等通用应用程序。
新闻来源:
https://nairametrics.com/2022/02/27/ncc-raises-alarm-over-malware-that-steals-banking-app-login-details/
阿联酋的移动恶意软件攻击稳步下降
卡巴斯基在2021年的移动威胁报告中强调,这种下降是由于网络犯罪分子巩固了他们的努力,转而专注于更复杂、危险和有利可图的威胁。与2020年相比,2021年阿联酋用户面临的移动恶意软件攻击减少了29%。
中东其他国家的移动恶意软件事件也有所减少。埃及下降了惊人的52%,其次是卡塔尔(47%)、科威特(46%)、阿曼(27%)和巴林(13%)。
报告显示,仅有两个动态不同的国家是沙特阿拉伯(增长19%)和土耳其(其份额异常增长了67%)。
这种动态反映了全球趋势,因为网络犯罪分子往往越来越少地投资于现代安全解决方案成功消除的主流威胁。相反,他们选择更多地投资于新的移动恶意软件,这种恶意软件变得越来越复杂,具有窃取用户银行和游戏凭证以及其他个人数据的新方法。
2021年,卡巴斯基在全球检测到超过95,000个新的移动银行木马,但使用此类恶意软件的攻击数量仍然相似。此外,木马(能够执行远程命令的恶意程序)的份额翻了一番,到2021年达到8.8%。
新闻来源:
https://www.itp.net/security/uae-mobile-malware-attacks-steady-decline-kaspersky
英伟达反击勒索软件团伙
Lapsus 勒 索 软 件 组 织 声 称 , 英 伟 达 最 近 几 天 对 L a p s u s 勒索软件组织声称,英伟达最近几天对Lapsus 勒索软件组织声称,英伟达最近几天对Lapsus勒索软件团伙发起了报复性打击,以防止该芯片制造商窃取的数据被泄露。
Lapsus 在 T e l e g r a m 上 表 示 , 访 问 N v i d i a 员 工 的 V P N 需 要 一 台 P C 注 册 移 动 设 备 管 理 ( M D M ) 。 据 勒 索 软 件 运 营 商 称 , 出 于 这 个 原 因 , N v i d i a 能 够 连 接 到 L a p s u s 在Telegram上表示,访问Nvidia员工的VPN需要一台PC注册移动设备管理(MDM)。据勒索软件运营商称,出于这个原因,Nvidia能够连接到Lapsus 在Telegram上表示,访问Nvidia员工的VPN需要一台PC注册移动设备管理(MDM)。据勒索软件运营商称,出于这个原因,Nvidia能够连接到Lapsus使用的虚拟机。
Nvidia能够成功加密Lapsus 的 数 据 , 但 勒 索 软 件 组 织 表 示 它 有 备 份 , 这 意 味 着 它 的 数 据 “ 不 受 影 响 ” L a p s u s 的数据,但勒索软件组织表示它有备份,这意味着它的数据“不受影响”Lapsus 的数据,但勒索软件组织表示它有备份,这意味着它的数据“不受影响”Lapsus声称它没有被竞争对手的勒索软件组织入侵。
据The National报道,2021年12月,Lapsus 据 称 入 侵 了 巴 西 卫 生 部 网 站 并 关 闭 了 多 个 系 统 , 其 中 一 个 系 统 包 含 有 关 国 家 免 疫 计 划 的 信 息 , 另 一 个 系 统 用 于 颁 发 数 字 疫 苗 接 种 证 书 。 目 前 尚 不 清 楚 L a p s u s 据称入侵了巴西卫生部网站并关闭了多个系统,其中一个系统包含有关国家免疫计划的信息,另一个系统用于颁发数字疫苗接种证书。目前尚不清楚Lapsus 据称入侵了巴西卫生部网站并关闭了多个系统,其中一个系统包含有关国家免疫计划的信息,另一个系统用于颁发数字疫苗接种证书。目前尚不清楚Lapsus的基地在哪里,或者他们是否与其他勒索软件团伙有联系。
新闻来源:
https://www.crn.com.au/news/nvidia-strikes-back-at-ransomware-gang-576607
伊朗黑客滥用Telegram Messenger API的新型间谍恶意软件
2021年11月,一名伊朗地缘政治关系威胁行为者部署了两个具有“简单”后门功能的新目标恶意软件,作为对未具名中东政府实体的入侵的一部分。
网络安全公司Mandiant将这次攻击归咎于它在绰号UNC3313下跟踪的未分类集群,它以“适度的信心”评估与MuddyWater国家赞助的组织相关的“中等信心”。
“UNC3313进行监视并收集战略信息以支持伊朗的利益和决策,”研究人员Ryan Tomcik、Emiel Haeghebaert和Tufail Ahmed说。“目标模式和相关诱饵显示出对具有地缘政治关系的目标的强烈关注。”
据说这些攻击是通过鱼叉式网络钓鱼消息精心策划的,以获得初始访问权限,然后利用公开可用的攻击性安全工具和远程访问软件进行横向移动并保持对环境的访问。
这些网络钓鱼邮件以职位晋升为诱饵,诱骗多名受害者单击URL下载托管在OneHub上的RAR存档文件,这为安装合法的远程访问软件ScreenConnect获得立足点铺平了道路。
攻击的后续阶段涉及提升权限、对目标网络执行内部侦察以及运行混淆的PowerShell命令以在远程系统上下载其他工具和有效负载。
还观察到了一个名为STARWHALE的以前未记录的后门,这是一个Windows脚本文件(.WSF),它执行通过HTTP从硬编码命令和控制(C2)服务器接收到的命令的命令。
在攻击过程中交付的另一个植入程序是GRAMDOOR,之所以如此命名,是因为它使用TelegramAPI与攻击者控制的服务器进行网络通信以逃避检测,再次强调了使用通信工具促进渗透数据的。
该调查结果还与来自英国和美国的网络安全机构的一项新联合咨询相吻合,该咨询指责MuddyWater集团针对全球国防、地方政府、石油和天然气以及电信部门发动了间谍攻击。
新闻来源:
https://thehackernews.com/2022/02/iranian-hackers-using-new-spying.html
制造业是巴西勒索软件攻击最多的行业
根据IBM发布的一份关于拉丁美洲安全威胁的报告,来自制造业的公司感受到了勒索软件团伙精心策划的攻击的最大影响。
制造公司是巴西受攻击最严重的部门,占2021年勒索软件攻击的20%。根据该研究,这反映了一种全球趋势,因为网络犯罪分子发现制造组织在全球供应链中发挥的关键作用向受害者施压支付赎金。
此外,研究人员指出,拉丁美洲的商业电子邮件泄露(BEC)攻击率高于世界任何其他地区,巴西从2019年的0%加速到2021年的26%。BEC是该地区第二常见的攻击类型。2021年,未修补的漏洞导致了18%的攻击。
该研究称,与上一年相比,拉丁美洲2021年的网络攻击增加了4%。研究表明,巴西、墨西哥和秘鲁是该地区去年受灾最严重的国家。
SonicWall本月早些时候发布的另一份关于网络威胁的报告发现,巴西在勒索软件攻击方面仅次于美国、德国和英国。该国在2021年的入侵尝试超过3300万次,在上一年的同一排名中排名第九,勒索软件攻击次数为380万次。
新闻来源:
https://www.zdnet.com/article/manufacturing-is-the-most-targeted-sector-by-ransomware-in-brazil/
丰田所有日本工厂停线:供应商遭网络攻击
据日经中文网消息,3月1日丰田在日本国内的所有工厂(14家工厂28条生产线)全部停工。原因是制造丰田汽车零部件的供应商遭到网络攻击,管理零部件供应的丰田系统受到了影响。丰田正在研究2日以后能否正常开工。日野汽车和大发工业的日本国内工厂也以相同理由停工。
受到网络攻击的是丰田的一家主要供应商——生产树脂零部件的小岛冲压工业。小岛冲压工业表示“由于受到网络攻击而发生了系统故障是事实”。
关于网络攻击的发起方、病毒种类及受害情况,小岛冲压工业表示“正在调查”。据相关人员表示,目前“丰田的负责人及网络安全专家已进入小岛冲压工业公司内部,正在调查原因和恢复方法”。
日野将暂停日本国内的共两家整车工厂。分别是面向日本国内外生产大中型卡车的茨城县古河工厂和生产丰田代工汽车及小型卡车的东京都羽村工厂。日野表示“2日以后的投产情况尚未确定”。在丰田停产的工厂中也包含子公司大发的京都工厂。据估计将造成数百辆汽车减产。
新闻来源:
http://finance.ce.cn/stock/gsgdbd/202203/01/t20220301_37365573.shtml
安全漏洞威胁
CISA警告Schneider和GE Digital的SCADA软件存在严重缺陷
美国网络安全和基础设施安全局(CISA)上周发布了一份工业控制系统(ICS)公告,该公告涉及影响施耐德电气Easergy中压保护继电器的多个漏洞。
该机构在2022年2月24日的公告中说:“成功利用这些漏洞可能会泄露设备凭据、导致拒绝服务状况、设备重启或允许攻击者完全控制中继。”可能会使电网失去保护。
两个高度严重的弱点会影响v30.205之前的Easergy P3版本和v01.401.101之前的Easergy P5版本。漏洞详情如下:
- CVE-2022-22722(CVSS分数:7.5)——使用硬编码凭证,可能被滥用来观察和操纵与设备相关的流量。
- CVE-2022-22723和CVE-2022-22725(CVSS评分:8.8)——一个缓冲区溢出漏洞,通过通过网络向中继发送特制数据包,可能导致程序崩溃和执行任意代码。
不到10天,CISA就施耐德电气的交互式图形SCADA系统(IGSS)中的多个严重漏洞发出了另一个警报,如果成功利用这些漏洞,可能会导致“数据泄露和使用IGSS的SCADA系统失去控制”。
美国联邦机构也对通用电气的Proficy CIMPLICITY SCADA软件拉响了警报,警告了两个安全漏洞,可被滥用以泄露敏感信息、实现代码执行和本地权限提升。
新闻来源:
https://thehackernews.com/2022/02/cisa-warns-of-high-severity-flaws-in.html
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
