-
美国网络安全和基础设施安全局遭黑客攻击
-
网络钓鱼攻击:冒充美国税务局的新骗局
加密骗局CryptoChameleon和LabHost的威胁分析
Tag:CryptoChameleon, LabHost
事件概述:
网络安全公司Lookout和Fortra近期揭示了两个新的网络威胁:CryptoChameleon和LabHost。CryptoChameleon模仿了Scattered Spider的技术,尤其是模仿Okta和使用熟悉的域名,但其具有独特的能力和指挥控制(C2)基础设施。CryptoChameleon的起源仍然是个谜,使得网络安全专家不确定这是否是一个威胁行动者的作品,或是多个团体使用的工具。与此同时,LabHost是一家针对加拿大金融机构的网络钓鱼服务(PhaaS)团体,已经超过了其竞争对手Frappo的流行度。LabHost使用名为LabRat的实时活动管理工具执行中间人(AiTM)攻击,捕获凭证和2FA代码。LabHost的服务为威胁行动者提供了现成的模板,实时活动管理工具和SMS诱饵,使得恶意行动者能够采用各种策略针对各种金融机构,突显了网络威胁的日益复杂。
CryptoChameleon和LabHost的出现,体现了网络威胁的复杂性和多样性。
CryptoChameleon模仿成功的方法,通过模仿Okta和使用熟悉的域名进行欺诈。
这种模仿行为是威胁行动者常用的策略,通过复制成功的方法来提高其攻击的成功率。
LabHost则通过实时活动管理工具LabRat和SMS垃圾邮件工具LabSend进行大规模的网络钓鱼攻击。
这些工具使得威胁行动者能够实时捕获凭证和2FA代码,自动化地发送钓鱼链接,大大提高了攻击的效率。
这些威胁行动者的行为,突显了网络安全措施的重要性,特别是多因素认证、威胁情报共享和自动化安全措施的重要性。
来源:
https://securityboulevard.com/2024/03/crypto-phishing-kit-impersonating-login-pages-stay-informed/
国际货币基金组织公开邮件账户遭黑客攻击事件
Tag:多因素认证, 网络攻击
事件概述:
国际货币基金组织(IMF)周五公开了一起网络攻击事件,今年早些时候,11个IMF电子邮件账户遭到未知攻击者的入侵。IMF在今年2月份检测到这起事件,并正在进行调查以评估攻击的影响。到目前为止,IMF没有发现攻击者获取了对除被入侵电子邮件账户之外的其他系统或资源的访问权限。尽管IMF没有提供关于此次入侵的其他细节,但该组织确认其使用的是Microsoft 365云端电子邮件平台。
该事件再次凸显了多因素认证、威胁情报共享和自动化安全措施的重要性。IMF在检测到这起事件后,立即进行了调查,并采取了补救措施。这显示了IMF对网络安全的重视,并证明了其在应对网络攻击方面的能力。此外,IMF还确认其使用的是Microsoft 365云端电子邮件平台。这也表明,即使是使用最新的云端电子邮件平台,也不能完全防止网络攻击。因此,企业和组织在选择电子邮件平台时,应考虑到安全性,并采取适当的安全措施。总的来说,这起事件提醒我们,无论是个人还是企业,都应提高对网络安全的重视,并采取有效的防护措施。
来源:
https://www.bleepingcomputer.com/news/security/international-monetary-fund-email-accounts-hacked-in-cyberattack/
美国网络安全和基础设施安全局遭黑客攻击
Tag:CISA, Ivanti产品的漏洞
美国网络安全和基础设施安全局(CISA)近日遭到黑客攻击,攻击者利用了CISA使用的Ivanti产品的漏洞。
CISA在今年2月份就已经发布警告,指出网络威胁行为者正在利用Ivanti Connect Secure和Ivanti Policy Secure网关中之前发现的漏洞。
这次攻击导致CISA的两个系统被入侵,系统立即被下线。
据报道,被攻击的系统是基础设施保护(IP)网关和化学安全评估工具(CSAT)。
IP网关包含关于美国基础设施相互依赖性的关键信息,而CSAT包含私营部门的化学安全计划。
虽然CISA没有确认或否认哪些系统被下线,但这次攻击仍引起了关注。
CISA在今年1月份曾发布一项指令,要求所有运行Ivanti产品的联邦机构断开Ivanti VPN设备的连接,并在重新连接到网络之前进行出厂重置。此外,CISA还提供了其他指导,包括持续的威胁狩猎,身份认证和身份管理服务监控,可能被感染的系统隔离,以及持续的特权级别访问账户审计。2023年8月,CISA警告称,Ivanti Endpoint Manager Mobile中发现的一个漏洞允许未经认证的访问特定的API路径。这使攻击者能够访问包括姓名、电话号码和其他移动设备详细信息在内的个人身份信息(PII)。攻击者还可以执行其他配置更改,如在注册设备上安装软件和修改安全配置文件。尽管CISA在1月份发布了这项指令,但据报道,这次入侵发生在2月份,这使人们对现有缓解措施的效果产生了质疑。
来源:
https://
securityintelligence.com/news/cisa-hackers-key-systems-offline/
网络钓鱼攻击:冒充美国税务局的新骗局
Tag:网络钓鱼, 社会安全号码
近期,网络安全研究人员发现了一种新的与税务相关的网络钓鱼骗局。
骗子可能会通过电子邮件告诉目标,让他们迅速访问某个网站,申请美国国税局(IRS)的雇主识别号(EIN)。
EIN 是美国税务局用来识别需要提交各种商业纳税申报的纳税人的编号。
骗子的目标很可能是自雇者和/或小型企业(SMB)的所有者。
骗子只需要少量信息就可以开始这个操作,例如在暗网的地下论坛上,一个自雇美国居民的有效电子邮件地址可能只需要几分钱。
骗子寻求的信息非常广泛,包括个人的社会安全号码(SSN)。
一旦社会安全号码被泄露,就会带来重大问题,因为SSN与银行和信用历史密切相关。
此外,骗子还会向受害者收取申请税务编号的费用,尽管IRS提供的EIN申请服务是免费的。
如果你收到了包含链接至irs-ein-gov.us域名的邮件或其他邀请,请告诉我们。
在这次钓鱼攻击中,攻击者利用电子邮件作为诱饵,引导目标用户访问他们设置的虚假网站,申请雇主识别号(EIN)。攻击者可能已经从数据经纪人那里获得或购买了一些符合特定条件(例如,自雇的美国居民)的电子邮件地址。攻击者在暗网的地下论坛上,只需花费几分钱就可以购买到一个自雇美国居民的有效电子邮件地址。攻击者寻求的信息非常广泛,包括个人的社会安全号码(SSN)。一旦社会安全号码被泄露,就会带来重大问题,因为SSN与银行和信用历史密切相关。此外,攻击者还会向受害者收取申请税务编号的费用,尽管IRS提供的EIN申请服务是免费的。攻击者在设置假网站时犯了一个错误,他们在复制隐私政策时忘记了做一处小修改,没有编辑原始域名。如果你收到了包含链接至irs-ein-gov.us域名的邮件或其他邀请,请告诉我们。
来源:
https://
www.malwarebytes.com/blog/uncategorized/2024/03/tax-scammer-goes-after-small-business-owners-and-self-employed-people
美国水系统遭受严重网络攻击,白宫发出警告
Tag:网络威胁, 网络安全实践
事件概述:
白宫近日发出警告,美国的水和废水系统正日益成为网络攻击的目标。这些关键基础设施对于向社区提供清洁、安全的饮用水至关重要,然而,它们现在正处于一场无声的网络战争的前线。来自伊朗和中国的网络威胁正在危害美国的水系统。首个威胁来自与伊朗政府伊斯兰革命卫队(IRGC)有关的行动者,他们一直在利用运营技术的弱点,特别是针对未更改默认制造商密码的水设施。第二个威胁来自中国的国家支持的网络组织Volt Typhoon,该组织一直在渗透多个关键基础设施的信息技术系统,包括饮用水的系统。
尽管饮用水和废水系统是生命线关键基础设施部门,但这些系统通常缺乏实施强大网络安全措施所需的必要资源和技术能力。美国环保署(EPA)作为总统政策指令21下的主导联邦机构,负责确保美国水部门对所有威胁和危险具有恢复力。白宫正在寻求州政府的支持,以确保他们管辖区内的水系统进行全面评估他们的网络安全实践。目标是识别漏洞,实施控制以降低风险,并制定强大的事件响应计划。白宫和EPA希望信中概述的倡议和未来的合作努力能够加强水系统对网络威胁的防御。
来源:
https://gbhackers.com/hackers-attacking-us-water-systems/
日产汽车澳新地区遭网络攻击,约10万个人信息泄露
Tag:网络攻击, 国家网络安全中心
事件概述:
2023年12月5日,日产汽车公司和日产金融服务在澳大利亚和新西兰地区的业务遭到网络攻击,黑客非法获取了本地IT服务器的访问权限。日产公司及时采取行动,遏制了数据泄露,并立即通知了相关政府部门,包括澳大利亚和新西兰的国家网络安全中心和隐私监管机构。攻击影响了一些日产的客户(包括我们的三菱、雷诺、天际线、英菲尼迪、LDV和RAM品牌的金融业务的客户)、经销商和一些现任和前任员工。日产预计将在未来几周内正式通知约10万个人关于网络攻击的情况。
此次网络攻击中,大约有10%的个人的某种形式的政府身份证明被泄露,包括大约4000张医疗卡、7500张驾驶执照、220本护照和1300个税务档案号。其余90%的被通知者的其他形式的个人信息也受到了影响,包括贷款账户的交易声明副本、就业或薪资信息或一般信息如出生日期等。日产已与IDCARE合作,为受影响的个人提供支持,包括免费的信用监控服务和身份证明替换等。此外,日产还建议受影响的个人采取一些措施来保护自己,如定期更新密码,使用强密码,不在多个账户中重复使用密码,启用多因素身份验证等。
来源:
https://www.nissan.com.au/website-update.html
PixPirate恶意软件的新隐藏技术
Tag:PixPirate, 金融远程访问木马
事件概述:
PixPirate是一种复杂的金融远程访问木马(RAT)恶意软件,主要利用反研究技术。它的感染路径基于两个恶意应用:下载器和下降器。这两个应用协同运作,执行欺诈行为。IBM Trusteer研究人员发现,该恶意软件主要攻击巴西的银行。PixPirate利用辅助功能服务获取RAT能力,监视受害者的活动,窃取受害者的在线银行凭证、信用卡详情和所有目标账户的登录信息。如果需要两因素身份验证(2FA)来完成欺诈交易,恶意软件还可以访问、编辑和删除受害者的SMS消息,包括银行发送的任何消息。
PixPirate恶意软件的感染流程主要包括一个下载器APK和下降器APK两个组件。下载器不仅负责下载和安装下降器,还负责运行和执行它。下载器在下降器的恶意活动中起着积极的作用,因为它们相互通信并发送命令执行。受害者通常通过WhatsApp或SMS钓鱼信息中的恶意链接下载PixPirate下载器。下载器模仿与银行相关的合法认证应用,诱使受害者下载。下载器请求受害者安装其更新版本,实际上就是PixPirate恶意软件(下降器)。PixPirate恶意软件利用了一种新的隐藏技术,该技术在所有Android版本中都能有效工作。为了隐藏恶意软件,PixPirate下降器没有主要活动,也就是说,它没有带有 “android.intent.action.MAIN”和“android.intent.category.LANUCHER”的活动。这种行为的改变意味着应用的图标在受害者设备的主屏幕上根本不存在。然而,这也带来了一个新的问题。如果下降器的图标在受害者的主屏幕上不存在,那么受害者如何首次启动应用呢?这种新技术需要恶意软件有两个应用:在这种情况下,下载器和下降器一起运行。下载器是运行的应用。然后,下载器运行下降器,否则由于其图标不存在,下降器将无法执行。
来源:
https://securityintelligence.com/posts/pixpirate-brazilian-financial-malware/
印度Android用户面临有组织的网络犯罪团伙的无情攻击
Tag:恶意软件即服务, ELVIA INFOTECH
事件概述:
据McAfee移动研究团队的新报告,印度的Android用户正面临一个高度有组织的网络犯罪团伙的无情攻击。这个利用“恶意软件即服务”模型的诈骗活动,在过去的一年中迅速发展,部署了数百个旨在模仿合法服务并欺骗用户的恶意应用。McAfee的研究人员精心追踪了恶意软件的发展,发现其活动和复杂性都有令人担忧的升级。这个活动,以其在开发、扩展和活动阶段的有条不紊的进展为特征,已经创建了超过800个恶意应用,感染了超过3700台设备,对无数个人的财务安全构成了重大威胁。
这个诈骗活动的运作方式是:恶意软件伪装成必要的服务,如假的客户支持应用、送货追踪、医院预约,甚至电费支付门户。受害者下载这些应用,然后登陆看起来逼真但是欺诈的网站,被欺骗输入他们的个人信息,包括银行账户详情和密码。恶意软件秘密地窃取短信,使攻击者能够截取银行发送的用于验证的一次性密码(OTP),绕过了一个重要的安全层。McAfee的报告揭示了这个活动背后的犯罪团伙ELVIA INFOTECH。他们运营一个“恶意软件即服务”(MaaS)模型,基本上通过Telegram群组为犯罪分子提供现成的网络钓鱼诈骗和恶意软件。这种方法使网络犯罪更容易,也加剧了威胁。保护自己的方法包括:对要求你下载应用的未经请求的消息保持怀疑,即使它们看起来是来自熟悉的公司;总是从官方的Google Play商店下载应用,并检查开发者的资质;仔细审查应用请求的权限,比如,一个送货应用是否需要访问你的短信?投资可信赖的移动安全软件,并保持更新,以获得实时保护。
来源:
https://
securityonline.info/cybercriminals-target-indian-android-users-with-sophisticated-malware-as-a-service-scam/
朝鲜Lazarus APT组织再次利用Tornado Cash洗钱
Tag:Lazarus APT组织, Tornado Cash
事件概述:
据报道,与朝鲜有关的Lazarus APT组织再次使用混合平台Tornado Cash洗钱,金额达2300万美元。区块链网络安全公司Elliptic将2023年11月从交易所HTX盗取的1.125亿美元与朝鲜团体联系起来。Elliptic报告称,过去一天,该团体通过Tornado Cash洗钱超过2300万美元。此外,尽管受到制裁,Tornado Cash从未中断过其运营。在对制裁的回应中,Lazarus转向了混合器Sinbad.io,但这项服务在2023年11月被美国当局查封。研究人员指出,混合器通过分散的区块链上的智能合约运行,使其免受查封和关闭的影响。
Lazarus APT组织现在似乎已经回归使用Tornado Cash作为大规模洗钱和掩盖交易轨迹的方式。自2024年3月13日以来,从HTX/HECO盗窃中得到的超过2300万美元的ETH已经被发送到Tornado Cash,超过60笔交易。这种行为的改变和回归使用Tornado Cash可能反映了现在运营的大规模混合器数量有限,这要归功于执法部门对Sinbad.io和Blender.io等服务的打击。建议加密货币交易所和金融机构使用诸如钱包筛选解决方案等工具,防止与Tornado Cash和Lazarus Group等受制裁实体进行交易。
来源:
https://securityaffairs.com/160525/breaking-news/lazarus-apt-returned-tornado-cash.html
俄罗斯APT28威胁行动者针对全球多地进行网络钓鱼攻击
Tag:APT28, 网络安全防护
事件概述:
据IBM X-Force最近的报告,与俄罗斯有关的威胁行动者APT28,正在进行多起钓鱼攻击活动,目标包括欧洲、南高加索、中亚以及北美和南美的政府和非政府组织。这些钓鱼诱饵包括内部文件、公开可获取的文件,以及与财务、关键基础设施、高级管理人员参与、网络安全、海洋安全、医疗保健、商业和国防工业生产相关的可能由行动者生成的文件。APT28还曾针对乌克兰政府实体和波兰组织发起钓鱼攻击,以部署定制植入物和信息窃取者,如MASEPIE、OCEANMAP和STEELHOOK。此外,APT28还利用Microsoft Outlook的安全漏洞(CVE-2023-23397,CVSS评分:9.8)窃取NT LAN Manager(NTLM)v2散列,可能会利用其他弱点窃取NTLMv2散列以进行中继攻击。
APT28的攻击手法多样,包括利用钓鱼邮件和伪装成各国实体的诱饵文件进行攻击,以及利用Microsoft Outlook的安全漏洞窃取敏感信息。其攻击目标广泛,包括政府和非政府组织,且涵盖多个领域,如财务、关键基础设施、高级管理人员参与、网络安全、海洋安全、医疗保健、商业和国防工业生产等。APT28还部署了定制植入物和信息窃取者,如MASEPIE、OCEANMAP和STEELHOOK,这些工具被设计用来窃取文件、运行任意命令和窃取浏览器数据。其中,OCEANMAP被视为CredoMap的更强大版本,CredoMap是该组织之前使用的另一种后门。APT28的攻击手法和工具的多样性和强大性,再次提醒我们,网络安全防护需要全方位、多层次的策略,包括多因素认证、威胁情报共享和自动化安全措施等。
来源:
https://thehackernews.com/2024/03/apt28-hacker-group-targeting-europe.html
ChatGPT插件存在严重漏洞,攻击者可通过此获得组织账户控制权
Tag:
网络安全分析师, OAuth漏洞
事件概述:
近日,Salt Labs的网络安全分析师发现了ChatGPT插件生态系统中的一些漏洞,这些漏洞可以被威胁行为者用于非法目的,如编写提示生成恶意代码、网络钓鱼诱饵和虚假信息内容。威胁行为者甚至可以利用ChatGPT的出色能力来制定和发起多种复杂且难以察觉的网络攻击。此外,他们还可以利用ChatGPT扩展或插件中的漏洞,未经授权地访问用户数据或外部系统。研究人员在ChatGPT插件生态系统中发现了一些缺陷,这些插件可以优化网络与外部源的交互。使用这些插件可能会无意中暴露敏感数据,从而允许访问用户的账户,如Google Drive和GitHub。研究揭示了三个漏洞,分别是ChatGPT用户的恶意插件安装、许多插件的关键或0点击账户接管、OAuth重定向操控。
研究人员揭示了一个OAuth漏洞,允许攻击者操纵受害者安装恶意的ChatGPT插件。这种攻击模仿了传统的OAuth重定向操纵,攻击者在身份验证流程中替换自己的凭据。当用户批准一个新的ChatGPT插件时,批准码会通过重定向URL返回给OpenAI。攻击者可以用自己的代码替换这个代码,欺骗ChatGPT代替受害者安装插件,并获取消息和数据的访问权限。此外,研究人员还揭示了一个账户接管漏洞,这个漏洞出现在许多使用PluginLab.AI构建的ChatGPT插件中,包括AskTheCode。当用户安装这些插件并授予像GitHub这样的服务访问权限时,插件会创建存储用户凭据的认证账户。攻击者可以利用身份验证绕过来获取PluginLab的“成员ID”,然后使用这个ID发出未经授权的请求,生成有效的授权码。有了这些代码,攻击者就可以在ChatGPT中劫持插件会话,并获得对连接的私人数据的完全访问权限,比如GitHub仓库。根本原因是PluginLab在身份验证流程中未能正确验证请求。
来源:
https://gbhackers.com/critical-chatgpt-plugins-flaw/
Apache CXF框架存在重要的服务器端请求伪造漏洞
Tag:
服务器端请求伪造(SSRF), CVE-2024-28752
事件概述:
Apache CXF,一款流行的开源web服务框架,发现存在一个服务器端请求伪造(SSRF)漏洞,已被追踪为CVE-2024-28752。该漏洞存在于4.0.4、3.6.3和3.5.8之前的版本中,被评为“重要”级别,如果不予处理,可能会产生重大后果。SSRF漏洞产生的原因是web服务未能正确验证用户提供的URL。攻击者可以利用这一点,制造恶意请求,迫使服务与内部或外部系统建立连接。这可能导致敏感数据泄露、恶意重定向,甚至在严重情况下,SSRF可以成为攻击者获取服务器远程代码执行的途径。此漏洞主要影响使用Aegis DataBinding处理传入请求的Apache CXF web服务。
Apache CXF框架的这次漏洞揭示了服务器端请求伪造(SSRF)的危害。SSRF漏洞产生的原因是web服务未能正确验证用户提供的URL。攻击者可以通过制造恶意请求,迫使服务与内部或外部系统建立连接,从而实现对系统的攻击。这种攻击方式可能导致敏感数据泄露,攻击者可以通过探测内部网络,可能揭示出机密信息。同时,服务可能被欺骗,将用户发送到有害的网站,从而促成网络钓鱼或恶意软件的分发。在严重的情况下,SSRF可以成为攻击者获取服务器远程代码执行的途径。这次的漏洞主要影响使用Aegis DataBinding处理传入请求的Apache CXF web服务,如果你的web服务使用不同的数据绑定,那么你就不会受到这个特定漏洞的影响。因此,对于使用Apache CXF框架的开发者来说,应立即进行版本更新,以防止被攻击。
来源:
https://securityonline.info/patch-now-cve-2024-28752-ssrf-vulnerability-impacts-apache-cxf-users/
