2024-06-10 星期一
Vol-2024-139
1
.
DDoS攻击目标欧盟政党,选举期间网络安全面临威胁
2.
乌克兰揭示俄罗斯武器中西方集成电路的广泛使用
3.
SORBS 终止:反垃圾邮件社区的损失
4.
纽约时报内部数据泄露事件引发网络安全担忧
5.
伊朗妇女抵制数字控制的斗争
6.
警用无人机:技术进步与隐私权的较量
7.
“蓝狼人”黑客组织攻击俄罗斯关键行业
8.
眼科护理管理服务公司Panorama Eyecare数据泄露影响近40万人
9.
Akira勒索软件攻击松下澳大利亚公司,新加坡政府警告不要支付赎金
10.
SolarWinds发布新版本修复关键安全漏洞
11.
PHP发布Windows所有版本的RCE漏洞修复
12.
GoldPickaxe恶意软件瞄准Apple设备窃取面部识别数据
13.
警惕假冒谷歌Chrome更新弹窗安装恶意软件
14.
Sticky Werewolf组织利用LNK文件的新攻击策略
15.
伪装印度大使邀请的Wineloader:APT29的新型攻击链
16.
朝鲜Kimsuky组织针对西欧武器制造商的间谍活动
1. DDoS攻击目标欧盟政党,选举期间网络安全面临威胁
随着欧盟议会选举在荷兰拉开帷幕,并将在未来几天内在欧盟的其他26个国家开始,黑客分子对代表和推动反对其利益的政党进行了DDoS(分布式拒绝服务)攻击。据Cloudflare报告,已有至少三波DDoS攻击针对荷兰的选举相关网站和几个政党。6月5日和6日的攻击分别达到了每小时1.15亿次请求和每小时4400万次请求。黑客组织“HackNeT”在Telegram上声称对此次攻击负责,目标包括荷兰的自由党(PVV)和民主论坛党(FvD),尽管这两个右翼政党对欧盟和北约持怀疑态度,并对俄罗斯表现出同情。德国也报告了对基督教民主联盟(CDU)网络的“严重网络攻击”,该党支持对俄罗斯的制裁。德国当局正与联邦宪法保卫局合作调查和应对这一威胁。
来源:https://www.bleepingcomputer.com/news/security/ddos-attacks-target-eu-political-parties-as-elections-begin/
2. 乌克兰揭示俄罗斯武器中西方集成电路的广泛使用
乌克兰政府最近公布了一份数据库,列出了近期生产的俄罗斯武器中使用的西方零部件。数据库显示,俄罗斯对西方制造商的零部件依赖程度惊人。例如,伊朗制造的 Shahed 无人机使用了大量德州仪器的零部件,以及一些 Maxim、英特尔和 Xilinx 的零部件。这些零部件大多是 MCU 和 FPGA,但也包含其他供应商的多种零部件。数据库中的零部件清单来自志愿者拆解和记录的几十件设备。乌克兰政府建议根据这些数据对零部件进行限制,以阻止俄罗斯获取关键的集成电路,从而影响其硬件生产。这个数据库不仅对政策制定者有价值,也对普通黑客具有吸引力,因为它展示了许多我们平常不认为会用于军事用途的常规部件。
来源:https://hackaday.com/2024/06/08/how-many-western-ics-are-there-in-russias-weapons/
3. SORBS 终止:反垃圾邮件社区的损失
网络安全公司Proofpoint宣布终止其著名的垃圾邮件阻止服务SORBS(垃圾邮件和开放中继阻止系统)。SORBS多年来通过其DNSBL数据库提供已知垃圾邮件来源信息,帮助超过20万个组织创建阻止列表。该服务涵盖分发垃圾邮件、网络钓鱼攻击和其他恶意电子邮件的服务器。Proofpoint表示,终止服务是经过仔细考虑后做出的,并于2024年6月5日正式停用。虽然存在多种替代产品,Proofpoint并未推荐具体的替代方案。随着服务的关闭,SORBS的“区域”数据被清除,但由于代码库保持完整,将来恢复数据相对容易。反垃圾邮件社区对此感到惋惜,并讨论了可能接管和管理该资源的途径。尽管有SpamCop和Spamhaus等替代服务,但SORBS以其透明和开放的方式受到高度评价。社区希望合法组织接管SORBS,以继续其反垃圾邮件的使命。
来源:https://www.securitylab.ru/news/549052.php
4. 纽约时报内部数据泄露事件引发网络安全担忧
2024年6月6日,一名匿名黑客声称在4chan上泄露了《纽约时报》(NYT)的270GB内部数据和源代码,包括超过5000个代码库和360万份文件。泄露的数据据称含有知名游戏Wordle的蓝图、电子邮件营销活动和广告报告等。尽管泄露的真实性尚未得到独立验证,但网络安全专家和媒体对此表示了严重关切。如果泄露属实,可能会暴露《纽约时报》数字基础设施的漏洞,增加网络犯罪分子发起进一步攻击的风险。此外,泄露可能包含敏感个人信息。此次事件与2013年叙利亚电子军对《纽约时报》等媒体的攻击以及2016年疑似俄罗斯网络间谍对《纽约时报》等美国新闻机构邮箱的入侵类似,凸显了大型企业和媒体组织面临的网络安全威胁。
来源:https://cybersecuritynews.com/new-york-times-code-leak/
5. 伊朗妇女抵制数字控制的斗争
伊朗利用人工智能加强对妇女的控制,尤其是针对不正确佩戴头巾的女性。2023年9月通过的《头巾和贞操法案》要求警方使用智能系统识别“罪犯”,私营企业需交出监控录像,不遵守将导致利润损失。未正确遮盖头发的女性面临罚款、社交媒体账户关闭、护照没收及长达10年的监禁。法案通过前,伊朗已开始安装新的摄像头,向违规女性发送警告短信,并没收车辆。国际特赦组织报告称,2023年4月至2024年3月期间,因车内女性遮盖不当而任意没收车辆,并有女性被判监禁或鞭打。联合国专家建议美国与欧洲合作,控制技术出口,加强对伊朗的制裁,以阻止其利用人工智能加强数字镇压。
来源:https://www.securitylab.ru/news/549055.php
6. 警用无人机:技术进步与隐私权的较量
加州丘拉维斯塔市自2018年10月启动无人机急救计划以来,无人机已成为警方日常巡逻的一部分。这些配备高清摄像头和热成像仪的无人机能够实时向警方传输视频,缩短响应时间,减少与公民的不必要接触。然而,无人机更多地在贫困地区巡逻,引发了对持续监视和隐私侵犯的担忧。飞行分析显示,无人机常被用于处理轻微事件,加剧了社会不平等。居民担心无人机数据可能与移民当局共享。尽管市政府官员保证数据访问受限,但宪法专家和社区成员仍对无人机使用的监督和透明度表示担忧。专家呼吁加强监管,确保技术进步不以牺牲公民权利为代价。
来源:https://www.securitylab.ru/news/549053.php
7. “蓝狼人”黑客组织攻击俄罗斯关键行业
“蓝狼人”黑客组织在过去三个月内利用紫水晶(Amethyst)信息窃取程序攻击了300多家俄罗斯公司,目标行业包括教育、制造业、科技、国防和航空航天工程。该组织使用开源的SapphireStealer的一个分支进行攻击,能够收集Telegram配置文件、密码、cookie数据库、浏览器历史记录等敏感信息。黑客通过伪装成官方命令的网络钓鱼手段将恶意软件传送给受害者,包括伪造来自中央选举委员会和俄罗斯总统普京的命令。俄罗斯网络公司BI.ZONE自3月以来一直在跟踪“蓝狼人”的活动。目前尚不清楚该组织背后的组织者是谁,以及其是否受到政府支持或出于经济动机。本周早些时候,另一家俄罗斯公司Positive Technologies(受到美国制裁)发布了报告,揭露了另一国家支持的黑客组织Milan HellHounds使用Decoy Dog恶意软件攻击俄罗斯多个关键行业。
来源:https://therecord.media/sapphire-werewolf-spying-russia-infostealer
8. 眼科护理管理服务公司Panorama Eyecare数据泄露影响近40万人
2023年,科罗拉多州的眼科护理管理服务公司Panorama Eyecare遭受网络攻击,导致近40万人的敏感医疗保健信息被盗。受影响信息包括姓名、社会安全号码、出生日期等。Panorama Eyecare为落基山地区的多家眼科诊所提供IT、人力资源、工资单等服务。该公司在2023年6月3日发现攻击,调查发现黑客自5月22日起已访问其网络,可能已访问并删除某些文件。受害者将获得两年免费身份保护服务。此次事件再次凸显了医疗行业面临的网络安全挑战。Recorded Future News报道,管理服务提供商WebTPA和病理学服务公司Synnovis也遭受了网络攻击。参议院财政委员会主席罗恩·怀登敦促美国卫生与公众服务部要求系统重要性医疗保健公司改善网络安全实践,以应对针对医疗保健行业的网络攻击泛滥,这些攻击直接损害了患者、服务提供商和国家安全。
来源:https://therecord.media/data-breach-eye-care-company-cyberattack
9. Akira勒索软件攻击松下澳大利亚公司,新加坡政府警告不要支付赎金
2024年6月7日,Akira勒索软件组织声称对松下澳大利亚公司发起攻击,并在其暗网泄密网站上宣布已窃取该公司数据。松下澳大利亚是松下控股公司的地区子公司,生产多种电子设备和装置。新加坡网络安全局(CSA)和个人数据保护委员会(PDPC)随后发布咨询报告,建议受影响的公司不要支付赎金,这是对Akira攻击新加坡律师事务所Shook Lin & Bok并索取赎金的回应。Akira勒索软件组织曾针对多家知名组织发起攻击,索取数百万美元赎金。此次事件对松下澳大利亚公司的潜在影响尚不清楚,但可能对保密性造成严重责任。新加坡CSA警告称,支付赎金并不能保证数据解密或阻止威胁者发布数据,且可能使组织成为未来攻击的软目标。新加坡当局提出了一系列安全建议,包括执行强密码策略、实施多因素身份验证、使用防病毒软件、定期扫描系统漏洞、进行备份和制定业务连续性计划等,以提高对勒索软件攻击的准备程度。
来源:https://thecyberexpress.com/akira-ransomware-panasonic-australia-singapore/
10. SolarWinds发布新版本修复关键安全漏洞
2024年6月8日,软件公司SolarWinds发布了其产品版本2024.2,其中包括多项新功能和升级,并修复了三个安全漏洞。特别值得注意的是,其中一个高危SWQL注入漏洞(CVE-2024-28996,CVSS评分7.5)是由与北大西洋公约组织(NATO)有关联的渗透测试员Nils Putnins报告给SolarWinds安全的。此次更新还修复了一个高危跨站脚本漏洞(CVE-2024-29004,CVSS评分7.1)和一个影响Web控制台的中等严重性的竞态条件漏洞(CVE-2024-28999,CVSS评分6.5)。SolarWinds表示,没有证据表明这些漏洞在野外被利用过。SolarWinds曾在2020年遭受臭名昭著的攻击,当时一个国家级行为者成功入侵了包括美国联邦政府机构在内的许多知名组织。
来源:https://www.darkreading.com/vulnerabilities-threats/solarwinds-flaw-flagged-by-nato-pen-tester
11. PHP发布Windows所有版本的RCE漏洞修复
2024年6月7日,一项新的PHP for
Windows远程代码执行(RCE)漏洞被披露,编号为CVE-2024-4577,由Devcore首席安全研究员Orange Tsai发现,并向PHP开发人员报告。该漏洞影响了自5.x版本以来的所有发布版本,可能影响全球大量服务器。针对此漏洞已由PHP项目维护者发布。该漏洞是由于Windows系统字符编码错误,而构建的字符序列绕过了特定的字符序列。修复策略包括升级到包含补丁支持PHP版本,如PHP 8.3.8、PHP8.2.20和PHP 8.1.29。对于无法立即升级的系统和使用EoL版本用户,建议应用mod_rewrite规则来阻止攻击。DEVCORE还建议系统管理员考虑从CGI迁移到更安全的版本,如FastCGI、PHP-FPM等。
来源:https://www.bleepingcomputer.com/news/security/php-fixes-critical-rce-flaw-impacting-all-versions-for-windows/
12. GoldPickaxe恶意软件瞄准Apple设备窃取面部识别数据
网络犯罪分子正将目标对准iOS和macOS设备,特别是利用名为GoldPickaxe的恶意软件来窃取面部识别数据和银行账户信息。随着Apple设备在用户中的普及,加上欧洲可能对第三方应用商店放宽限制,App Store和iCloud的安全问题日益受到关注。GoldPickaxe恶意软件代表了针对iOS设备的新型威胁,它通过修改现有的Android恶意代码以适应iOS平台。该恶意软件利用了2019年发现的Checkm8硬件漏洞,这是一个无法通过软件更新修复的bootrom漏洞,允许攻击者绕过iOS的安全措施,对设备进行越狱和数据窃取。由于Checkm8漏洞是一个硬件级别的缺陷,它在旧设备上尤为危险,因为苹果已经对新芯片实施了缓解措施,但旧设备仍然易受攻击。为了应对这类威胁,安全研究人员建议使用专业的工具进行iOS设备的越狱和取证分析,如Palera1n和bagbak等,以减少对设备的影响并提取必要的数据。
来源:https://gbhackers.com/goldpickaxe-ios-malware/
13. 警惕假冒谷歌Chrome更新弹窗安装恶意软件
自2024年4月底起,假冒Chrome更新的网络攻击活动持续活跃。这些攻击通过在网站中注入恶意代码,向访问者显示欺骗性的浏览器更新弹窗。截至目前,已有341个网站显示此类假冒更新弹窗。Sucuri的报告指出,这些弹窗信息甚至会显示给非Chrome浏览器用户,进一步凸显其欺骗性。用户点击“更新”按钮后,会被引导至多个恶意URL,这些URL最初用于从服务器185.196.9[.]156下载名为GoogleChrome-x86.msix的恶意文件。攻击者通过访问WordPress管理界面,利用插件的“导入”功能上传恶意代码。这种方法已在其他WordPress感染活动中使用,如VexTrio DNS TXT重定向和Sign1恶意软件。建议网站管理员实施“用或弃”策略、生成强密码、启用双因素认证、限制访问WordPress管理界面、及时更新软件并使用网络应用防火墙。
来源:https://cybersecuritynews.com/fake-chrome-update-pop-ups/
14. Sticky Werewolf组织利用LNK文件的新攻击策略
网络威胁组织Sticky Werewolf改变了其攻击策略,从发送带有恶意文件下载链接的网络钓鱼电子邮件转变为使用LNK文件的存档附件进行攻击。这些LNK文件作为WebDAV服务器上恶意可执行文件的快捷方式,当用户点击LNK时,会触发批处理脚本并启动AutoIt脚本,直接注入恶意软件。Sticky Werewolf组织主要瞄准航空业,发送伪装成俄罗斯航空航天公司AO OKB Kristall的商业邀请的网络钓鱼邮件,包含恶意LNK文件和诱饵PDF文件。点击LNK文件会触发NSIS自解压归档,从网络共享下载并运行恶意可执行文件。此外,LNK文件还会添加注册表项以实现持久性,并显示诱饵错误消息分散用户注意力。批处理脚本会结合合法的AutoIt可执行文件和恶意脚本执行,如果检测到特定的防病毒进程,会延迟执行并可能重命名文件以逃避检测。
来源:https://gbhackers.com/sticky-werewolf-lnk-files-attacks/
15. 伪装印度大使邀请的Wineloader:APT29的新型攻击链
2024年6月7日,ARC Labs分析了由APT29(又称NOBELIUM或COZY BEAR)使用的Wineloader后门程序。这款复杂工具被用于鱼叉式网络钓鱼攻击,主要通过假冒印度大使邀请参加品酒活动的邮件启动感染链。用户点击钓鱼邮件中的链接后,会被重定向到一个恶意网站,下载包含混淆JavaScript代码的HTA文件。执行HTA文件后,进一步下载Wineloader有效载荷。Wineloader通过sqlwriter.exe侧载恶意DLL文件,并通过创建计划任务或修改注册表键值实现持久化。ARC Labs提供了识别Wineloader活动的检测指导和KQL查询,以帮助防御者应对这一威胁。通过了解感染链、混淆技术和持久化机制,组织可以更好地保护自己免受此类复杂攻击。
来源:https://cybersecuritynews.com/wineloader-mimic-as-ambassador/
16. 朝鲜Kimsuky组织针对西欧武器制造商的间谍活动
2024年6月7日Divya报道,朝鲜国家支持Kimsuky组织发起了一场网络间谍活动,针对欧洲西部一家知名的武器制造商。此次攻击于2024年5月16日在LinkedIn上被发现,突显国家支持网络行动对全球关键国防基础设施日益严重的威胁。Kimsuky 组织利用新型间谍工具进行攻击,采用欺骗手段,将“通用动力”品牌作为视觉诱饵欺骗目标。攻击以钓鱼邮件形式开始,包含名为“安全经理 JD (通用动力人力资源第二分部)。jse”的恶意JavaScript文件附件,伪装成来自通用Dynamics的招聘文件。流程包括解码两个base64数据块,其中一个为无害PDF文件,另一个包含恶意负载。该间谍工具具有多种功能,包括举文件和文件、截取并发送截图、建立套接字连接等。C2门户涉及多个域名和IP地址,与Kimsuky的其他行动重叠。这次攻击是朝鲜国家支持的网络活动一部分,突显了网络战对关键军工行业的影响,并潜在地缘政治影响。
来源:https://gbhackers.com/north-korean-kimsuky-attacking/
