2024-06-26 星期三
Vol-2024-153
1
. FBI与HHS联合发布医疗行业社会工程威胁警告
5. WordPress插件遭入侵,黑客创建恶意管理员账户
7. 法国票务系统Forum Sirius数据库被盗,590万条记录遭出售
8. BlackBasta勒索软件团伙攻击金融服务及医疗服装零售商
9. Meta Quest 3 VR耳机面临勒索软件攻击风险
10. 黑客利用Windows XSS漏洞在MMC控制台执行任意命令
11. PS4和PS5游戏机面临新的Webkit漏洞威胁
12. Linux内核零日漏洞威胁浮现:释放后使用漏洞带来高风险
13. 威胁者出售国际刑警组织和FBI登录页面漏洞
14. 新型攻击技术利用Microsoft管理控制台文件漏洞
15. 新网络威胁“Boolka”通过SQL注入攻击传播BMANAGER木马
16. Tor浏览器13.5版发布带来多项功能升级
1. FBI与HHS联合发布医疗行业社会工程威胁警告
美国联邦调查局(FBI)和卫生与公众服务部(HHS)发布了一份联合网络安全咨询,针对医疗保健行业面临的社会工程威胁分享了攻击指标和相关策略、技术和程序。警告指出,医疗组织由于规模大、技术依赖度高、能访问个人健康信息,且患者护理中断会造成严重后果,成为黑客的主要目标。自2023年8月以来,黑客使用VoIP号码进行鱼叉式网络钓鱼,获取医疗保健网络的登录凭据。攻击者利用社交工程或网络钓鱼技术获取凭证,进而访问网络,并通过电话确认身份,使用落地攻击技术(LOTL)进行隐蔽的恶意网络攻击,修改ACH付款路径,将资金转移到威胁者控制的账户。FBI-HHS的公告建议各组织采取多因素身份验证(MFA)、审计远程访问工具、培训IT帮助台员工等措施,以提高网络安全防护。
来源:https://industrialcyber.co/medical/fbi-and-hhs-release-joint-cybersecurity-advisory-on-social-engineering-threats-affecting-healthcare-sector/
加州隐私保护局(CPPA)与法国国家信息与自由委员会(CNIL)签署了合作协议,旨在加强数据隐私保护方面的国际合作。根据协议,双方将共同开展与新技术和数据保护相关的研究,分享最佳实践,并定期举行会议。CPPA强调隐私权是全球经济的商业现实,通过国际合作可以推进执法重点。此外,CPPA还与亚太隐私机构(APPA)、全球隐私大会和全球隐私执法网络(GPEN)等国际组织合作。CNIL主席Marie-Laure Denis表示,期待在共同研究项目上展开合作,交流良好做法或分享经验,以应对全球数据流通的挑战。
来源:https://therecord.media/california-cppa-france-cnil-partnership-data-privacy
最新草案的《美国隐私权法案》(APRA)因删除了针对人工智能偏见的保护措施而受到批评。这些措施原本旨在防止数据驱动的歧视,保护个人隐私。新草案的发布引发了民权和隐私权倡导者的愤怒,他们认为没有这些保护,法案将无法有效解决数据实践的歧视问题。此外,新草案还减少了对个人设备上收集数据的隐私保护。55个组织联合发声,要求恢复这些保护措施,否则将反对立法。法律专家表示,删除这些条款可能是政治妥协的结果,但随着对人工智能法律和政策的深入讨论,相关内容可能会在未来立法中再次出现。
来源:https://therecord.media/ai-bias-removed-data-privacy-law
法国警方关闭了聊天网站Coco,该网站被指允许犯罪分子协调包括儿童性虐待、强奸和杀人在内的严重犯罪。Coco被称为“巢穴”,引起了人权组织和儿童保护协会的担忧。调查发现,Coco服务器在德国被查封,运营者是一名法国公民。Coco属于保加利亚公司,但托管在根西岛,域名为.gg,无需注册即可访问,缺乏审核。过去三年,法国警方对Coco平台提起了2.3万多起司法诉讼,涉及480名受害者,包括儿童和性侵犯案件。
来源:https://therecord.media/coco-website-takedown-cybercrime-france
5. WordPress插件遭入侵,黑客创建恶意管理员账户
WordPress社区遭遇安全威胁,多个插件被曝植入后门,允许攻击者注入恶意代码并创建恶意管理员账户。Wordfence研究员Chloe Chamberland警告称,受影响插件包括Social Warfare、Blaze Widget等,涉及数万次安装。攻击者通过恶意软件创建如“Options”和“PluginAuth”等管理员账户,并将信息泄露。此外,还在网站中注入恶意JavaScript,用于SEO垃圾邮件。目前,相关插件已下架等待审核。WordPress用户需检查并删除可疑账户和恶意代码,以维护网站安全。
来源:https://thehackernews.com/2024/06/multiple-wordpress-plugins-compromised.html
美国国土安全部近日宣布已为其新成立的人工智能部队招募了首批10名专家,这是该部门自2月份启动的大规模招聘计划的一部分,旨在加强其运营中对新兴技术的应用。该部队计划今年招募共50名专家,以白宫的美国数字服务为模式运作,将专家派往各联邦机构协助技术项目实施。新招募的人工智能专家将在打击芬太尼贩运、网络儿童性剥削、提供移民服务、加强关键基础设施和提升网络安全等战略任务中发挥关键作用。这些专家来自谷歌、国防部、美国海军天文观象台、麦肯锡、普华永道等不同背景。国土安全部部长亚历杭德罗·马约卡斯对新团队表示欢迎,并期待未来几个月内人工智能部队的进一步扩大。
来源:https://www.nextgov.com/people/2024/06/dhs-hires-initial-cohort-10-join-its-ai-corps/397632/
7. 法国票务系统Forum Sirius数据库被盗,590万条记录遭出售
2024年6月25日,一名威胁者声称已入侵法国票务系统提供商Forum Sirius的数据库,并盗取了近600万条用户记录。该数据库包含用户ID、姓名、地址、电话号码、电子邮件等个人信息,总计5,986,188条记录,其中包括3,938,439封独立电子邮件和3,044,384个唯一电话号码。威胁者称于6月23日进行入侵,并尝试通过电子邮件([email protected])联系Forum Sirius,但未收到回复。当前,他们正以2000美元的价格出售该数据库,并声称只会卖给一个买家。同时,威胁者鼓励Sirius购买数据库以阻止其进一步传播。
来源:https://dailydarkweb.net/threat-actor-claims-to-sell-forum-sirius-database-containing-5-9-million-records/
8. BlackBasta勒索软件团伙攻击金融服务及医疗服装零售商
BlackBasta勒索软件团伙宣称对美国金融服务公司Key Benefit
Administrators和医疗服装零售商Scrubs
& Beyond发动了网络攻击,并声称已访问到两家公司的敏感数据。Key Benefit Administrators提供养老金、退休金、健康和福利基金管理服务,BlackBasta声称访问了该公司2.5TB的数据,包括客户、高管和员工信息。而Scrubs & Beyond作为美国最大的医疗服装零售商,该团伙声称已获取其600GB的敏感数据,包括人力资源、员工和部门文件。此前,该组织已攻击全球500多个组织,涉及16个关键基础设施部门中的12个,包括医疗保健和公共卫生部门。如果BlackBasta的说法属实,此次攻击可能会对相关公司及其客户和合作伙伴产生严重影响。
来源:https://thecyberexpress.com/blackbasta-ransomware-attack-us-organisations/#google_vignette
9. Meta Quest 3 VR耳机面临勒索软件攻击风险
研究人员Harish Santhanalakshmi Ganesan发现,利用社会工程学手段,可以在Meta的Quest 3 VR耳机上安装恶意软件,包括勒索软件。他通过探索发现,由于Quest 3使用的是Android开源项目(AOSP)的受限版本,可以像在Android手机上一样安装APK。Ganesan利用App Lab中的一个应用,成功安装了CovidLock勒索软件。这一发现突显了社会工程学带来的攻击面,而非技术漏洞。Ganesan警告说,攻击者可以利用类似方法诱使用户安装恶意应用。他建议VR用户提高警惕,避免侧载,以防范社会工程攻击。由于不涉及技术漏洞,可能不会有补丁发布。
来源:https://www.securityweek.com/metas-virtual-reality-headset-vulnerable-to-ransomware-attacks-researcher/
10. 黑客利用Windows XSS漏洞在MMC控制台执行任意命令
新型攻击技术GrimResource利用MSC文件中的apds.dll
XSS漏洞,在Windows系统的Microsoft管理控制台(MMC)中实现任意代码执行。攻击者通过恶意MSC文件,绕过宏需求和安全警告,获取初始访问权限。利用DotNetToJScript功能,攻击者可以提升权限,执行更高权限的代码。自定义的PASTALOADER
.NET加载器将最终有效负载注入到dllhost.exe进程中,实现隐身。安全团队可以通过监控特定模式和使用YARA规则来检测这种攻击,Elastic安全团队已经发现了这类攻击的实例。
来源:https://gbhackers.com/windows-xss-flaw-mmc-command-execution/
11. PS4和PS5游戏机面临新的Webkit漏洞威胁
2024年6月25日,发现PS4和PS5的Webkit引擎存在漏洞,可能被攻击者利用。Webkit漏洞源于PS4和PS5浏览器使用的共享代码库,这些漏洞在Safari和Chrome等浏览器中也存在。虽然Webkit漏洞本身不足以实现越狱,但与内核漏洞结合使用可能导致PS4和PS5被攻破。利用此漏洞,攻击者可以通过JavaScript引擎在网络浏览器中触发类型混淆,访问通常无法访问的属性。该漏洞影响固件版本包括PS4的10.00至11.02和PS5的6.00至8.60。用户可通过DNS重定向测试设备是否易受攻击。此次发现为未来可能的漏洞利用提供了途径,提醒用户关注系统安全更新。
来源:https://gbhackers.com/webkit-exploits-ps4-ps5/
12. Linux内核零日漏洞威胁浮现:释放后使用漏洞带来高风险
2024年6月25日,网络安全界发现一个针对Linux内核(版本6.6.15-amd64)的释放后使用(UAF)漏洞的零日威胁。一个名为Cas的攻击者在暗网论坛上宣称出售此漏洞,售价15万美元,支付方式为门罗币或比特币。该漏洞可使攻击者在受影响的系统上本地提升权限,甚至以root权限执行代码,对依赖Linux系统的用户和组织构成严重威胁。虽然缺乏公开证据,但另一名为IntelBroker的用户私下验证了该漏洞的概念验证(PoC),增加了其可信度。此前,类似的UAF漏洞(CVE-2024-36886)也曾被利用,显示出保护Linux环境的持续挑战。UAF漏洞发生在程序继续访问已释放内存时,可能导致程序崩溃或被攻击者操纵,执行任意代码或提升权限。
来源:https://thecyberexpress.com/use-after-free-vulnerability-in-linux-kernel/
13. 威胁者出售国际刑警组织和FBI登录页面漏洞
近日,一名网络威胁者声称发现并出售针对国际刑警组织和美国联邦调查局(FBI)登录页面的严重安全漏洞。这些漏洞包括XSS-DOM和原型污染漏洞,若被利用,可能导致账户被盗用和敏感信息泄露。该威胁者对国际刑警组织的漏洞定价3000美元,对FBI的漏洞定价4000美元,并强调其专注于销售漏洞本身,而非漏洞利用,同时提出可通过托管方式进行交易。若这些漏洞被证实并被恶意利用,可能会对国际刑警组织和FBI的网络安全构成重大风险,甚至产生严重后果。目前,尚不清楚这些漏洞的具体细节,也未有公开信息显示这些机构是否已经采取措施响应此次威胁。
来源:https://dailydarkweb.net/threat-actor-claims-to-sell-critical-vulnerabilities-in-interpol-and-fbi-login-pages/
14. 新型攻击技术利用Microsoft管理控制台文件漏洞
Elastic安全实验室识别出一种名为GrimResource的新型攻击技术,该技术通过特制的Microsoft管理控制台(MMC)文件执行恶意代码,利用了apds.dll库中的跨站点脚本(XSS)漏洞。这种攻击可以绕过ActiveX警告,结合DotNetToJscript使用,实现任意代码执行,可能导致未授权访问和系统接管。相关XSS漏洞自2018年报告以来未被修补,攻击者通过这种方式可以规避微软近年来增强的安全措施。安全研究人员指出,随着微软默认禁用来自互联网的Office文档中的宏,其他感染媒介如JavaScript、MSI文件等的流行度激增,但这些技术受到严格审查,而GrimResource提供了一种新的规避方法。
来源:https://thehackernews.com/2024/06/new-attack-technique-exploits-microsoft.html
15. 新网络威胁“Boolka”通过SQL注入攻击传播BMANAGER木马
2024年6月25日,Group-IB研究人员发现了一个名为Boolka的新威胁行为者,该组织通过SQL注入攻击和恶意JavaScript脚本入侵网站,传播BMANAGER模块化木马。自2022年以来,Boolka一直对多个国家的网站进行攻击,通过感染网站拦截用户输入数据,收集凭证和个人信息。JavaScript脚本向名为“boolka[.]tk”的服务器发送信号,并诱导用户下载植入BMANAGER木马的浏览器扩展程序。BMANAGER木马负责部署四个附加模块:BMBACKUP、BMHOOK、BMLOG和BMREADER,用于收集文件、记录击键和导出数据,同时通过计划任务在主机上设置持久性。Boolka利用的恶意软件交付框架基于BeEF框架,显示出其策略逐渐复杂化,从最初的机会性SQL注入攻击到开发复杂的恶意软件交付平台,反映了其日益增强的技术能力。
来源:https://thehackernews.com/2024/06/new-cyberthreat-boolka-deploying.html
16. Tor浏览器13.5版发布带来多项功能升级
2024年6月25日,Tor浏览器发布了13.5版本,为桌面和Android用户带来了多项功能升级。桌面版本改进包括Betterboxing(增强视觉效果和窗口控制)、改进的Bridge设置(更紧凑的Bridge Cards设计和多张共享功能)、优化的洋葱网站错误消息设计。Android版本提升了连接体验(自动连接功能和便捷的“配置连接”按钮)以及Tor日志(重新定位到“连接设置”菜单并提供复制功能)。Tor开发人员敦促用户尽快更新至最新版本以体验所有功能升级。
来源:https://latesthackingnews.com/2024/06/25/tor-browser-13-5-released-with-improved-bridges-feature-upgrades/
