Channel: 猎豹扛封VPN 翻墙 飞机场 梯子/安全 稳定 招代理
德国政府警告不要使用俄罗斯的卡巴斯基杀毒软件
俄罗斯网络安全公司卡巴斯基周二回应了德国联邦信息安全办公室 (BSI) 发布的关于“怀疑制造商的可靠性”在该国使用该公司的安全解决方案的咨询意见。
该公司称该决定是基于“政治理由”做出的,表示将“继续向我们的合作伙伴和客户保证我们产品的质量和完整性,我们将与 BSI 合作澄清其决定,并为意味着解决其和其他监管机构的担忧。”
卡巴斯基的声明是在德国网络安全机构 Bundesamt für Sicherheit in der Informationstechnik aka BSI 发出警告后发表的,该机构建议“用替代产品替换卡巴斯基防病毒软件组合中的应用程序”,因为它们可能被俄罗斯用于网络攻击。攻击。
“具有特殊安全利益的公司和当局以及关键基础设施的运营商尤其处于危险之中,”BSI表示,并补充说,该公司的工具可能被用于攻击其自己的客户,或者在俄罗斯军事入侵的情况下被迫违背其意愿打击系统。乌克兰。
尽管不是彻底的禁令,但该公告增加了美国、英国和荷兰政府在 2017 年和 2018 年实施的类似限制,以逐步停止使用卡巴斯基实验室制造的防病毒软件。
然而,这家总部位于莫斯科的公司指出,它已于 2018 年将其与网络威胁相关的数据处理基础设施转移到瑞士苏黎世市,并且其数据服务和工程实践已经接受了独立的第三方评估。
本月早些时候,这家同名公司的首席执行官尤金·卡巴斯基(Eugene Kaspersky)采取了中立的态度,希望乌克兰和俄罗斯之间的谈判能够达成“妥协”,试图让该组织远离与俄罗斯站在一起的标签。
“我们相信和平对话是解决冲突的唯一可能工具,”卡巴斯基在 3 月 1 日发推文说,“战争对任何人都没有好处。”
俄罗斯网络安全公司卡巴斯基周二回应了德国联邦信息安全办公室 (BSI) 发布的关于“怀疑制造商的可靠性”在该国使用该公司的安全解决方案的咨询意见。
该公司称该决定是基于“政治理由”做出的,表示将“继续向我们的合作伙伴和客户保证我们产品的质量和完整性,我们将与 BSI 合作澄清其决定,并为意味着解决其和其他监管机构的担忧。”
卡巴斯基的声明是在德国网络安全机构 Bundesamt für Sicherheit in der Informationstechnik aka BSI 发出警告后发表的,该机构建议“用替代产品替换卡巴斯基防病毒软件组合中的应用程序”,因为它们可能被俄罗斯用于网络攻击。攻击。
“具有特殊安全利益的公司和当局以及关键基础设施的运营商尤其处于危险之中,”BSI表示,并补充说,该公司的工具可能被用于攻击其自己的客户,或者在俄罗斯军事入侵的情况下被迫违背其意愿打击系统。乌克兰。
尽管不是彻底的禁令,但该公告增加了美国、英国和荷兰政府在 2017 年和 2018 年实施的类似限制,以逐步停止使用卡巴斯基实验室制造的防病毒软件。
然而,这家总部位于莫斯科的公司指出,它已于 2018 年将其与网络威胁相关的数据处理基础设施转移到瑞士苏黎世市,并且其数据服务和工程实践已经接受了独立的第三方评估。
本月早些时候,这家同名公司的首席执行官尤金·卡巴斯基(Eugene Kaspersky)采取了中立的态度,希望乌克兰和俄罗斯之间的谈判能够达成“妥协”,试图让该组织远离与俄罗斯站在一起的标签。
“我们相信和平对话是解决冲突的唯一可能工具,”卡巴斯基在 3 月 1 日发推文说,“战争对任何人都没有好处。”
用于大数据的 ClickHouse OLAP 数据库系统中发现的多个缺陷
研究人员在一个名为ClickHouse的开源数据库管理系统解决方案中披露了七个新的安全漏洞,这些漏洞可能被武器化以使服务器崩溃、泄漏内存内容,甚至导致执行任意代码。
DevSecOps 公司 JFrog 的研究人员 Uriya Yavnieli 和 Or Peles在周二发布的一份报告中表示: “这些漏洞需要身份验证,但可以由任何具有读取权限的用户触发。”
“这意味着攻击者必须对特定的 ClickHouse 服务器目标执行侦察以获得有效的凭据。任何一组凭据都可以,因为即使是具有最低权限的用户也可以触发所有漏洞。”
攻击者可以通过使用特制的压缩文件使易受攻击的数据库服务器崩溃,从而利用上述任何缺陷。建议 ClickHouse 用户升级到“ v21.10.2.15-stable ”或更高版本以缓解问题。
一个月前,JFrog 披露了 Apache Cassandra 中的一个高严重性安全漏洞(CVE-2021-44521,CVSS 评分:8.4)的详细信息,如果不加以解决,可能会被滥用以获得受影响的远程代码执行 (RCE) 的详细信息。安装。
研究人员在一个名为ClickHouse的开源数据库管理系统解决方案中披露了七个新的安全漏洞,这些漏洞可能被武器化以使服务器崩溃、泄漏内存内容,甚至导致执行任意代码。
DevSecOps 公司 JFrog 的研究人员 Uriya Yavnieli 和 Or Peles在周二发布的一份报告中表示: “这些漏洞需要身份验证,但可以由任何具有读取权限的用户触发。”
“这意味着攻击者必须对特定的 ClickHouse 服务器目标执行侦察以获得有效的凭据。任何一组凭据都可以,因为即使是具有最低权限的用户也可以触发所有漏洞。”
攻击者可以通过使用特制的压缩文件使易受攻击的数据库服务器崩溃,从而利用上述任何缺陷。建议 ClickHouse 用户升级到“ v21.10.2.15-stable ”或更高版本以缓解问题。
一个月前,JFrog 披露了 Apache Cassandra 中的一个高严重性安全漏洞(CVE-2021-44521,CVSS 评分:8.4)的详细信息,如果不加以解决,可能会被滥用以获得受影响的远程代码执行 (RCE) 的详细信息。安装。
Facebook 在 2018 年因 12 次数据泄露而被 GDPR 罚款 1860 万美元
周二,爱尔兰数据保护委员会 (DPC) 对 Facebook 和 WhatsApp 所有者 Meta Platforms 处以 1700 万欧元(约合 1860 万美元)的罚款,原因是这些安全漏洞违反了欧盟在该地区的GDPR 法律。
“DPC 发现 Meta Platforms 未能采取适当的技术和组织措施,使其能够在十二次个人数据泄露的情况下,轻松展示其在实践中实施的
该决定是在监管机构对其在 2018 年 6 月 7 日至 12 月 4 日的六个月期间收到的12 份数据 泄露 通知进行调查之后做出的。
梅塔在与美联社分享的一份声明中说: “这项罚款是关于我们自 2018 年以来更新的记录保存做法,而不是未能保护人们的信息。” “我们认真对待 GDPR 规定的义务,并且随着我们流程的不断发展,将仔细考虑这一决定。”
该发展遵循 DPC 对 WhatsApp 施加的类似处罚,于 2021 年 9 月因未能履行其 GDPR 透明度义务而对消息服务处以 2.25 亿欧元的罚款。在裁决之后,WhatsApp调整了其隐私政策,以处理其如何处理欧洲用户的数据并与其母公司 Meta 共享该信息。
大约在同一时间,卢森堡国家数据保护委员会 (CNPD) 也在 2021 年 7 月对亚马逊处以 8.866 亿美元的罚款,原因是它不遵守数据处理法律。然后在今年早些时候,法国对 Meta 和谷歌都进行了罚款,原因是它们未能为用户提供拒绝 cookie 跟踪技术的简单选项,从而违反了欧盟的隐私规则。
周二,爱尔兰数据保护委员会 (DPC) 对 Facebook 和 WhatsApp 所有者 Meta Platforms 处以 1700 万欧元(约合 1860 万美元)的罚款,原因是这些安全漏洞违反了欧盟在该地区的GDPR 法律。
“DPC 发现 Meta Platforms 未能采取适当的技术和组织措施,使其能够在十二次个人数据泄露的情况下,轻松展示其在实践中实施的
该决定是在监管机构对其在 2018 年 6 月 7 日至 12 月 4 日的六个月期间收到的12 份数据 泄露 通知进行调查之后做出的。
梅塔在与美联社分享的一份声明中说: “这项罚款是关于我们自 2018 年以来更新的记录保存做法,而不是未能保护人们的信息。” “我们认真对待 GDPR 规定的义务,并且随着我们流程的不断发展,将仔细考虑这一决定。”
该发展遵循 DPC 对 WhatsApp 施加的类似处罚,于 2021 年 9 月因未能履行其 GDPR 透明度义务而对消息服务处以 2.25 亿欧元的罚款。在裁决之后,WhatsApp调整了其隐私政策,以处理其如何处理欧洲用户的数据并与其母公司 Meta 共享该信息。
大约在同一时间,卢森堡国家数据保护委员会 (CNPD) 也在 2021 年 7 月对亚马逊处以 8.866 亿美元的罚款,原因是它不遵守数据处理法律。然后在今年早些时候,法国对 Meta 和谷歌都进行了罚款,原因是它们未能为用户提供拒绝 cookie 跟踪技术的简单选项,从而违反了欧盟的隐私规则。
CaddyWiper:另一个针对乌克兰网络的数据擦除恶意软件
在针对乌克兰的攻击中传递的第二个数据擦除器菌株的详细信息出现两周后,在俄罗斯继续对该国进行军事入侵的情况下,又发现了另一种破坏性恶意软件。
斯洛伐克网络安全公司 ESET 将第三个擦除器称为“ CaddyWiper ”,它表示它于 3 月 14 日上午 9:38 左右首次观察到该擦除器。与可执行文件(“ caddy.exe ”)相关的元数据显示,该恶意软件是在 UTC 时间上午 7:19 编译的,比其部署早了两个多小时。
CaddyWiper 值得注意的是,它与之前在乌克兰发现的 Wiper 没有任何相似之处,包括HermeticWiper(又名 FoxBlade 或 KillDisk)和IsaacWiper(又名 Lasainraw),这两者已部署在属于政府和商业的系统中实体。
“攻击者的最终目标与 IsaacWiper 和 HermeticWiper相同:通过擦除用户数据和分区信息使系统无法使用,”ESET 威胁研究负责人 Jean-Ian Boutin 告诉 The Hacker News。“最近遭受雨刷攻击的所有组织都在政府部门或金融部门。”
与 CaddyWiper 不同的是,据说 HermeticWiper 和 IsaacWiper 恶意软件系列在发布前已经提前数月开发,已知最早的样本分别于 2021 年 12 月 28 日和 10 月 19 日编译。
但是新发现的擦除器与 HermeticWiper 有一个战术上的重叠,因为在一个实例中,恶意软件是通过 Windows 域控制器部署的,这表明攻击者已经控制了 Active Directory 服务器。
“有趣的是,CaddyWiper 避免了破坏域控制器上的数据,”该公司表示。“这可能是攻击者在干扰操作的同时将其访问权限保留在组织内部的一种方式。”
擦除器被编程为系统地销毁位于“C:\Users”中的所有文件,然后继续移动到下一个驱动器号并擦除文件,直到它到达“Z”驱动器,这意味着 CaddyWiper 还将尝试擦除任何网络映射驱动器附在系统上。
在针对乌克兰的攻击中传递的第二个数据擦除器菌株的详细信息出现两周后,在俄罗斯继续对该国进行军事入侵的情况下,又发现了另一种破坏性恶意软件。
斯洛伐克网络安全公司 ESET 将第三个擦除器称为“ CaddyWiper ”,它表示它于 3 月 14 日上午 9:38 左右首次观察到该擦除器。与可执行文件(“ caddy.exe ”)相关的元数据显示,该恶意软件是在 UTC 时间上午 7:19 编译的,比其部署早了两个多小时。
CaddyWiper 值得注意的是,它与之前在乌克兰发现的 Wiper 没有任何相似之处,包括HermeticWiper(又名 FoxBlade 或 KillDisk)和IsaacWiper(又名 Lasainraw),这两者已部署在属于政府和商业的系统中实体。
“攻击者的最终目标与 IsaacWiper 和 HermeticWiper相同:通过擦除用户数据和分区信息使系统无法使用,”ESET 威胁研究负责人 Jean-Ian Boutin 告诉 The Hacker News。“最近遭受雨刷攻击的所有组织都在政府部门或金融部门。”
与 CaddyWiper 不同的是,据说 HermeticWiper 和 IsaacWiper 恶意软件系列在发布前已经提前数月开发,已知最早的样本分别于 2021 年 12 月 28 日和 10 月 19 日编译。
但是新发现的擦除器与 HermeticWiper 有一个战术上的重叠,因为在一个实例中,恶意软件是通过 Windows 域控制器部署的,这表明攻击者已经控制了 Active Directory 服务器。
“有趣的是,CaddyWiper 避免了破坏域控制器上的数据,”该公司表示。“这可能是攻击者在干扰操作的同时将其访问权限保留在组织内部的一种方式。”
擦除器被编程为系统地销毁位于“C:\Users”中的所有文件,然后继续移动到下一个驱动器号并擦除文件,直到它到达“Z”驱动器,这意味着 CaddyWiper 还将尝试擦除任何网络映射驱动器附在系统上。
流行的 NPM 包更新为清除俄罗斯、白俄罗斯系统以抗议乌克兰入侵
在另一个破坏行为中,流行的“node-ipc”NPM 包背后的开发人员发布了一个新版本以抗议俄罗斯入侵乌克兰,引发了对开源和软件供应链安全性的担忧。
影响库的 10.1.1 和 10.1.2 版本,这些更改引入了其维护者 RIAEvangelist 的不良行为,针对 IP 地址位于俄罗斯或白俄罗斯的用户,并擦除任意文件内容并将其替换为心形表情符号。
Node-ipc 是一个突出的节点模块,用于本地和远程进程间通信,支持 Linux、macOS 和 Windows。它的每周下载量超过 110 万次。
Synk 研究员 Liran Tal在分析中表示: “如果调用该 NPM 软件包的任何系统与俄罗斯或白俄罗斯的地理位置相匹配,就会发生非常明显的滥用和严重的供应链安全事件。”
该问题的标识符为CVE-2022-23812,在 CVSS 漏洞评分系统中被评为 9.8 分(满分 10 分)。恶意代码更改于 3 月 7 日发布(版本 10.1.1),同一天 10 小时后发生第二次更新(版本 10.1.1)。
有趣的是,虽然破坏性负载已从版本 10.1.3 的库中删除,但在不到四个小时后推送了一个重大更新(版本 11.0.0),它导入了另一个名为“ peacenotwar ”的依赖项,也由 RIAEvangelist 发布为“对俄罗斯的侵略进行非暴力抗议。”
“任何时候调用 node-ipc 模块功能时,它都会向STDOUT打印一条从peacenotwar 模块中取出的消息,并在用户的桌面目录中放置一个文件,其中包含与俄罗斯和乌克兰当前战时局势有关的内容”塔尔解释道。
截至 2022 年 3 月 15 日,最新版本的 node-ipc – 11.1.0 – 将“peacenotwar”软件包版本从 9.1.3 升级到 9.1.5,并捆绑了“colors”NPM 库,同时还删除了 STDOUT 控制台消息.
值得注意的是,“colors”以及另一个名为“faker”的包都在今年 1 月初被其开发人员 Marak Squires 通过在源代码中引入无限循环故意破坏,从而有效地破坏了依赖于库的其他应用程序。
在另一个破坏行为中,流行的“node-ipc”NPM 包背后的开发人员发布了一个新版本以抗议俄罗斯入侵乌克兰,引发了对开源和软件供应链安全性的担忧。
影响库的 10.1.1 和 10.1.2 版本,这些更改引入了其维护者 RIAEvangelist 的不良行为,针对 IP 地址位于俄罗斯或白俄罗斯的用户,并擦除任意文件内容并将其替换为心形表情符号。
Node-ipc 是一个突出的节点模块,用于本地和远程进程间通信,支持 Linux、macOS 和 Windows。它的每周下载量超过 110 万次。
Synk 研究员 Liran Tal在分析中表示: “如果调用该 NPM 软件包的任何系统与俄罗斯或白俄罗斯的地理位置相匹配,就会发生非常明显的滥用和严重的供应链安全事件。”
该问题的标识符为CVE-2022-23812,在 CVSS 漏洞评分系统中被评为 9.8 分(满分 10 分)。恶意代码更改于 3 月 7 日发布(版本 10.1.1),同一天 10 小时后发生第二次更新(版本 10.1.1)。
有趣的是,虽然破坏性负载已从版本 10.1.3 的库中删除,但在不到四个小时后推送了一个重大更新(版本 11.0.0),它导入了另一个名为“ peacenotwar ”的依赖项,也由 RIAEvangelist 发布为“对俄罗斯的侵略进行非暴力抗议。”
“任何时候调用 node-ipc 模块功能时,它都会向STDOUT打印一条从peacenotwar 模块中取出的消息,并在用户的桌面目录中放置一个文件,其中包含与俄罗斯和乌克兰当前战时局势有关的内容”塔尔解释道。
截至 2022 年 3 月 15 日,最新版本的 node-ipc – 11.1.0 – 将“peacenotwar”软件包版本从 9.1.3 升级到 9.1.5,并捆绑了“colors”NPM 库,同时还删除了 STDOUT 控制台消息.
值得注意的是,“colors”以及另一个名为“faker”的包都在今年 1 月初被其开发人员 Marak Squires 通过在源代码中引入无限循环故意破坏,从而有效地破坏了依赖于库的其他应用程序。
DirtyMoe 僵尸网络在蠕虫模块中获得新的利用以迅速传播
最新研究发现,被称为DirtyMoe的恶意软件获得了新的类似蠕虫的传播能力,使其能够在不需要任何用户交互的情况下扩大其影响范围。“蠕虫模块针对较早的知名漏洞,例如EternalBlue和Hot Potato Windows 权限升级,”Avast 研究员 Martin Chlumecký在周三发布的一份报告中说。
“一个蠕虫模块每天可以生成和攻击数十万个私有和公共 IP 地址;许多受害者处于危险之中,因为许多机器仍然使用未打补丁的系统或弱密码。”
DirtyMoe 僵尸网络自 2016 年开始活跃,用于执行加密劫持和分布式拒绝服务 (DDoS) 攻击,并通过PurpleFox等外部漏洞利用工具包或 Telegram Messenger 的注入安装程序进行部署。
作为攻击序列的一部分,还使用了一个 DirtyMoe 服务,该服务触发启动两个额外的进程,即 Core 和 Executioner,用于加载用于 Monero 挖掘的模块并以类似蠕虫的方式传播恶意软件。
针对具有弱密码的 MS SQL Server、SMB 和 Windows Management Instrumentation (WMI) 服务的字典攻击
防止数据泄露“蠕虫模块的主要目标是在管理员权限下实现 RCE 并安装新的 DirtyMoe 实例,”Chlumecký 解释说,并补充说该组件的核心功能之一是根据地理位置生成要攻击的 IP 地址列表模块。
此外,发现另一个正在开发的蠕虫模块包含针对 PHP、Java 反序列化和 Oracle Weblogic 服务器的漏洞,这意味着攻击者正在寻求扩大感染范围。
“蠕虫目标 IP 是利用巧妙设计的算法生成的,该算法在全球范围内均匀生成 IP 地址,并且与蠕虫模块的地理位置相关,”Chlumecký 说。“此外,该模块针对本地/家庭网络。因此,公共 IP 甚至防火墙后面的私有网络都处于危险之中。”
最新研究发现,被称为DirtyMoe的恶意软件获得了新的类似蠕虫的传播能力,使其能够在不需要任何用户交互的情况下扩大其影响范围。“蠕虫模块针对较早的知名漏洞,例如EternalBlue和Hot Potato Windows 权限升级,”Avast 研究员 Martin Chlumecký在周三发布的一份报告中说。
“一个蠕虫模块每天可以生成和攻击数十万个私有和公共 IP 地址;许多受害者处于危险之中,因为许多机器仍然使用未打补丁的系统或弱密码。”
DirtyMoe 僵尸网络自 2016 年开始活跃,用于执行加密劫持和分布式拒绝服务 (DDoS) 攻击,并通过PurpleFox等外部漏洞利用工具包或 Telegram Messenger 的注入安装程序进行部署。
作为攻击序列的一部分,还使用了一个 DirtyMoe 服务,该服务触发启动两个额外的进程,即 Core 和 Executioner,用于加载用于 Monero 挖掘的模块并以类似蠕虫的方式传播恶意软件。
针对具有弱密码的 MS SQL Server、SMB 和 Windows Management Instrumentation (WMI) 服务的字典攻击
防止数据泄露“蠕虫模块的主要目标是在管理员权限下实现 RCE 并安装新的 DirtyMoe 实例,”Chlumecký 解释说,并补充说该组件的核心功能之一是根据地理位置生成要攻击的 IP 地址列表模块。
此外,发现另一个正在开发的蠕虫模块包含针对 PHP、Java 反序列化和 Oracle Weblogic 服务器的漏洞,这意味着攻击者正在寻求扩大感染范围。
“蠕虫目标 IP 是利用巧妙设计的算法生成的,该算法在全球范围内均匀生成 IP 地址,并且与蠕虫模块的地理位置相关,”Chlumecký 说。“此外,该模块针对本地/家庭网络。因此,公共 IP 甚至防火墙后面的私有网络都处于危险之中。”
TrickBot 恶意软件滥用 MikroTik 路由器作为命令和控制的代理
微软周三详细介绍了 TrickBot 恶意软件使用的一项先前未被发现的技术,该技术涉及使用受感染的物联网 (IoT) 设备作为与命令和控制 (C2) 服务器建立通信的中间人。
“通过使用 MikroTik 路由器作为其 C2 服务器的代理服务器并通过非标准端口重定向流量,TrickBot 添加了另一个持久层,帮助恶意 IP 逃避标准安全系统的检测,”微软物联网研究团队和威胁情报中心的后卫 ( MSTIC)说。
TrickBot 于 2016 年以银行木马的形式出现,现已演变成一种复杂而持久的威胁,其模块化架构使其能够调整策略以适应不同的网络、环境和设备,并提供访问即服务用于 Conti 勒索软件等下一阶段的有效载荷。
TrickBot 功能的扩展是在其基础设施离线的报道中出现的,尽管僵尸网络不断改进其功能以使其攻击框架持久耐用、规避逆向工程并保持其 C2 服务器的稳定性。
具体来说,MSTIC 确定的新方法涉及利用被黑客入侵的物联网设备(例如 MikroTik 的路由器)“在受 TrickBot 影响的设备和 C2 服务器之间创建一条通信线路”。
这还需要通过使用多种方法来入侵路由器,即默认密码、暴力攻击或利用 MikroTik RouterOS ( CVE-2018-14847 ) 中现已修补的漏洞,然后更改路由器的密码以保持访问权限.
在下一步中,攻击者随后发出网络地址转换 (NAT) 命令,该命令旨在重定向路由器中端口 449 和 80 之间的流量,为受 TrickBot 感染的主机建立与 C2 服务器通信的路径。
“随着传统计算设备的安全解决方案不断发展和改进,攻击者将探索破坏目标网络的替代方法,”研究人员说。“针对路由器和其他物联网设备的攻击尝试并不新鲜,而且如果不受管理,它们很容易成为网络中最薄弱的环节。”
微软周三详细介绍了 TrickBot 恶意软件使用的一项先前未被发现的技术,该技术涉及使用受感染的物联网 (IoT) 设备作为与命令和控制 (C2) 服务器建立通信的中间人。
“通过使用 MikroTik 路由器作为其 C2 服务器的代理服务器并通过非标准端口重定向流量,TrickBot 添加了另一个持久层,帮助恶意 IP 逃避标准安全系统的检测,”微软物联网研究团队和威胁情报中心的后卫 ( MSTIC)说。
TrickBot 于 2016 年以银行木马的形式出现,现已演变成一种复杂而持久的威胁,其模块化架构使其能够调整策略以适应不同的网络、环境和设备,并提供访问即服务用于 Conti 勒索软件等下一阶段的有效载荷。
TrickBot 功能的扩展是在其基础设施离线的报道中出现的,尽管僵尸网络不断改进其功能以使其攻击框架持久耐用、规避逆向工程并保持其 C2 服务器的稳定性。
具体来说,MSTIC 确定的新方法涉及利用被黑客入侵的物联网设备(例如 MikroTik 的路由器)“在受 TrickBot 影响的设备和 C2 服务器之间创建一条通信线路”。
这还需要通过使用多种方法来入侵路由器,即默认密码、暴力攻击或利用 MikroTik RouterOS ( CVE-2018-14847 ) 中现已修补的漏洞,然后更改路由器的密码以保持访问权限.
在下一步中,攻击者随后发出网络地址转换 (NAT) 命令,该命令旨在重定向路由器中端口 449 和 80 之间的流量,为受 TrickBot 感染的主机建立与 C2 服务器通信的路径。
“随着传统计算设备的安全解决方案不断发展和改进,攻击者将探索破坏目标网络的替代方法,”研究人员说。“针对路由器和其他物联网设备的攻击尝试并不新鲜,而且如果不受管理,它们很容易成为网络中最薄弱的环节。”
乌克兰特勤局逮捕帮助俄罗斯入侵者的黑客
乌克兰安全局(SBU)表示,已拘留一名“黑客”,他通过在乌克兰境内提供移动通信服务向入侵的俄罗斯军队提供技术援助。
据说这名匿名嫌疑人向包括安全官员和公务员在内的乌克兰官员发送了短信,建议他们投降并站在俄罗斯一边。此人还被指控将来自俄罗斯的电话转接到驻乌克兰的俄罗斯军队的手机。
“一天之内通过这个黑客拨打了多达一千个电话。其中许多来自敌军的最高领导层,”SBU声称,并补充说它没收了用于完成该行动的设备。
该机构称,除了暗示黑客帮助俄罗斯向其驻乌克兰的军队拨打匿名电话外,黑客还向不同的“俄罗斯入侵者”团体传递了命令和指示。
“他将对法律的所有严厉程度负责。因为上面有数十甚至数百名被杀害的乌克兰人的鲜血,”公告的翻译读到。
拘留的消息传出之际,在乌克兰有限数量的组织中,已经观察到第三种名为“ CaddyWiper ”的数据擦除恶意软件攻击了数十个系统,紧随HermeticWiper和IsaacWiper之后,恰逢俄罗斯入侵乌克兰上个月。
在另一起事件中,路透社上周报道称,在东部时间 2 月 24 日凌晨 5 点至 9 点之间,乌克兰的宽带卫星互联网接入中断,就在俄罗斯开始全面入侵该国的时间。数字破坏破坏了作为Viasat KA-SAT 网络一部分的卫星调制解调器。
乌克兰安全局(SBU)表示,已拘留一名“黑客”,他通过在乌克兰境内提供移动通信服务向入侵的俄罗斯军队提供技术援助。
据说这名匿名嫌疑人向包括安全官员和公务员在内的乌克兰官员发送了短信,建议他们投降并站在俄罗斯一边。此人还被指控将来自俄罗斯的电话转接到驻乌克兰的俄罗斯军队的手机。
“一天之内通过这个黑客拨打了多达一千个电话。其中许多来自敌军的最高领导层,”SBU声称,并补充说它没收了用于完成该行动的设备。
该机构称,除了暗示黑客帮助俄罗斯向其驻乌克兰的军队拨打匿名电话外,黑客还向不同的“俄罗斯入侵者”团体传递了命令和指示。
“他将对法律的所有严厉程度负责。因为上面有数十甚至数百名被杀害的乌克兰人的鲜血,”公告的翻译读到。
拘留的消息传出之际,在乌克兰有限数量的组织中,已经观察到第三种名为“ CaddyWiper ”的数据擦除恶意软件攻击了数十个系统,紧随HermeticWiper和IsaacWiper之后,恰逢俄罗斯入侵乌克兰上个月。
在另一起事件中,路透社上周报道称,在东部时间 2 月 24 日凌晨 5 点至 9 点之间,乌克兰的宽带卫星互联网接入中断,就在俄罗斯开始全面入侵该国的时间。数字破坏破坏了作为Viasat KA-SAT 网络一部分的卫星调制解调器。
CRI-O 引擎中的新漏洞让攻击者逃离 Kubernetes 容器
Kubernetes 容器引擎 CRI-O 中新披露的一个名为cr8escape的安全漏洞可能被攻击者利用来突破容器并获得对主机的 root 访问权限。“调用 CVE-2022-0811 可以让攻击者对目标执行各种操作,包括执行恶意软件、数据泄露和跨 pod 横向移动,”CrowdStrike 研究人员 John Walker 和 Manoj Ahuje在发表的分析中说星期。
作为 Docker 的轻量级替代品,CRI-O是 Kubernetes 容器运行时接口 (CRI) 的容器运行时实现,用于从注册表中提取容器映像并启动与开放容器倡议 ( OCI ) 兼容的运行时,例如 runC 以生成和运行容器进程。
该漏洞在 CVSS 漏洞评分系统中被评为 8.8,影响 CRI-O 1.19 及更高版本。在负责任的披露之后,已发布补丁以解决2022 年 3 月 15 日发布的1.23.2 版本中的漏洞。
CVE-2022-0811 源于 1.19 版中引入的代码更改,用于设置 pod 的内核选项,导致有权使用 CRI-O 运行时在 Kubernetes 集群上部署 pod 的不良行为者可以利用“ kernel.core_pattern ”参数以在集群中的任何节点上以root身份实现容器逃逸和任意代码执行。
参数“kernel.core_pattern”用于指定核心转储的模式名称,核心转储是一个包含程序在特定时间的内存快照的文件,通常在响应意外崩溃或进程异常终止时激活。
"如果模式的第一个字符是 '|' [管道],内核会将模式的其余部分视为要运行的命令。核心转储将写入该程序的标准输入而不是文件,“阅读Linux 内核文档。
因此,通过将此选项设置为指向恶意shell脚本并触发核心转储,漏洞导致脚本的调用,有效地实现远程代码执行并授予攻击者接管节点的能力。
“Kubernetes 没有必要调用 CVE-2022-8011,”研究人员指出。“安装了 CRI-O 的机器上的攻击者可以使用它自行设置内核参数。”
Kubernetes 容器引擎 CRI-O 中新披露的一个名为cr8escape的安全漏洞可能被攻击者利用来突破容器并获得对主机的 root 访问权限。“调用 CVE-2022-0811 可以让攻击者对目标执行各种操作,包括执行恶意软件、数据泄露和跨 pod 横向移动,”CrowdStrike 研究人员 John Walker 和 Manoj Ahuje在发表的分析中说星期。
作为 Docker 的轻量级替代品,CRI-O是 Kubernetes 容器运行时接口 (CRI) 的容器运行时实现,用于从注册表中提取容器映像并启动与开放容器倡议 ( OCI ) 兼容的运行时,例如 runC 以生成和运行容器进程。
该漏洞在 CVSS 漏洞评分系统中被评为 8.8,影响 CRI-O 1.19 及更高版本。在负责任的披露之后,已发布补丁以解决2022 年 3 月 15 日发布的1.23.2 版本中的漏洞。
CVE-2022-0811 源于 1.19 版中引入的代码更改,用于设置 pod 的内核选项,导致有权使用 CRI-O 运行时在 Kubernetes 集群上部署 pod 的不良行为者可以利用“ kernel.core_pattern ”参数以在集群中的任何节点上以root身份实现容器逃逸和任意代码执行。
参数“kernel.core_pattern”用于指定核心转储的模式名称,核心转储是一个包含程序在特定时间的内存快照的文件,通常在响应意外崩溃或进程异常终止时激活。
"如果模式的第一个字符是 '|' [管道],内核会将模式的其余部分视为要运行的命令。核心转储将写入该程序的标准输入而不是文件,“阅读Linux 内核文档。
因此,通过将此选项设置为指向恶意shell脚本并触发核心转储,漏洞导致脚本的调用,有效地实现远程代码执行并授予攻击者接管节点的能力。
“Kubernetes 没有必要调用 CVE-2022-8011,”研究人员指出。“安装了 CRI-O 的机器上的攻击者可以使用它自行设置内核参数。”
新的“B1txor20”Linux 僵尸网络使用 DNS 隧道并利用 Log4J 漏洞
已经观察到一个以前未记录的后门针对 Linux 系统,其目标是将机器限制在僵尸网络中,并充当下载和安装 rootkit 的渠道。
奇虎 360 的 Netlab 安全团队称其为B1txor20 , “基于它使用文件名 'b1t'、XOR 加密算法和 20 字节的 RC4 算法密钥长度进行传播”。该恶意软件于 2022 年 2 月 9 日首次观察到通过Log4j 漏洞传播,它利用一种称为 DNS 隧道的技术,通过在 DNS 查询和响应中编码数据来与命令和控制 (C2) 服务器建立通信通道。
B1txor20 虽然在某些方面也存在缺陷,但目前支持获取 shell、执行任意命令、安装 rootkit、打开SOCKS5 代理以及将敏感信息上传回 C2 服务器的功能。
一旦机器被成功入侵,恶意软件就会利用 DNS 隧道来检索和执行服务器发送的命令。
研究人员详细说明:“Bot 将窃取的敏感信息、命令执行结果和任何其他需要传递的信息,在使用特定编码技术隐藏后,作为 DNS 请求发送到 C2。”
“C2收到请求后,将payload发送给Bot端,作为对DNS请求的响应,这样Bot和C2就借助DNS协议实现了通信。”
一共实现了15条命令,主要是上传系统信息、执行任意系统命令、读写文件、启动和停止代理服务、创建反向shell。
已经观察到一个以前未记录的后门针对 Linux 系统,其目标是将机器限制在僵尸网络中,并充当下载和安装 rootkit 的渠道。
奇虎 360 的 Netlab 安全团队称其为B1txor20 , “基于它使用文件名 'b1t'、XOR 加密算法和 20 字节的 RC4 算法密钥长度进行传播”。该恶意软件于 2022 年 2 月 9 日首次观察到通过Log4j 漏洞传播,它利用一种称为 DNS 隧道的技术,通过在 DNS 查询和响应中编码数据来与命令和控制 (C2) 服务器建立通信通道。
B1txor20 虽然在某些方面也存在缺陷,但目前支持获取 shell、执行任意命令、安装 rootkit、打开SOCKS5 代理以及将敏感信息上传回 C2 服务器的功能。
一旦机器被成功入侵,恶意软件就会利用 DNS 隧道来检索和执行服务器发送的命令。
研究人员详细说明:“Bot 将窃取的敏感信息、命令执行结果和任何其他需要传递的信息,在使用特定编码技术隐藏后,作为 DNS 请求发送到 C2。”
“C2收到请求后,将payload发送给Bot端,作为对DNS请求的响应,这样Bot和C2就借助DNS协议实现了通信。”
一共实现了15条命令,主要是上传系统信息、执行任意系统命令、读写文件、启动和停止代理服务、创建反向shell。
数百个 GoDaddy 托管的网站,短时间内被部署了后门
网络安全研究员透漏,感染后门的网站允许攻击者从 C2 中获取垃圾邮件链接模板,用于将恶意网页注入到用户搜索结果中,进行虚假宣传,诱导受害者购买假冒产品。
Bleeping Computer 网站披露,网络安全分析师发现 GoDaddy 管理服务器上托管的部分 WordPress 网站,被部署了大量后门,所有网站都具有相同的后门有效载荷。
据悉,这次网络攻击可能影响到许多互联网服务经销商,已知的包括 MediaTemple、tsoHost、123Reg、Domain Factory、Heart Internet和Host Europe Managed WordPress 等。
2022 年 2 月 11 日,Wordfenc 安全团队首次观察到此次恶意活动。经过一段时间追踪,发现 24 小时内约有 298 个网站感染后门,其中 281 个网站托管在 GoDaddy。
网络安全研究员透漏,感染后门的网站允许攻击者从 C2 中获取垃圾邮件链接模板,用于将恶意网页注入到用户搜索结果中,进行虚假宣传,诱导受害者购买假冒产品。
此外,攻击者还能够通过更改网站内容等明显违规行为,损害网站声誉,但这些似乎都不是威胁者最终目的。
糟糕的是,这种模式的网络攻击发生在服务器上而不是浏览器上,很难从用户端检测到和阻止,因此本地网络安全工具不会检测到任何可疑的东西。
此次网络攻击的入侵载体还没有得到确定,虽然看起来很接近供应链攻击,但目前不能证实。
网络安全研究员透漏,感染后门的网站允许攻击者从 C2 中获取垃圾邮件链接模板,用于将恶意网页注入到用户搜索结果中,进行虚假宣传,诱导受害者购买假冒产品。
Bleeping Computer 网站披露,网络安全分析师发现 GoDaddy 管理服务器上托管的部分 WordPress 网站,被部署了大量后门,所有网站都具有相同的后门有效载荷。
据悉,这次网络攻击可能影响到许多互联网服务经销商,已知的包括 MediaTemple、tsoHost、123Reg、Domain Factory、Heart Internet和Host Europe Managed WordPress 等。
2022 年 2 月 11 日,Wordfenc 安全团队首次观察到此次恶意活动。经过一段时间追踪,发现 24 小时内约有 298 个网站感染后门,其中 281 个网站托管在 GoDaddy。
网络安全研究员透漏,感染后门的网站允许攻击者从 C2 中获取垃圾邮件链接模板,用于将恶意网页注入到用户搜索结果中,进行虚假宣传,诱导受害者购买假冒产品。
此外,攻击者还能够通过更改网站内容等明显违规行为,损害网站声誉,但这些似乎都不是威胁者最终目的。
糟糕的是,这种模式的网络攻击发生在服务器上而不是浏览器上,很难从用户端检测到和阻止,因此本地网络安全工具不会检测到任何可疑的东西。
此次网络攻击的入侵载体还没有得到确定,虽然看起来很接近供应链攻击,但目前不能证实。
研究人员发现一款恶意软件伪装成安全工具对乌克兰网军进行钓鱼攻击。
2月,乌克兰政府向全球招募黑客志愿者(IT网军)对俄罗斯实体机构发起网络攻击和DDoS攻击。多名黑客志愿者积极响应,对俄罗斯网络发起攻击,包括俄罗斯政府在内的多个官网出现暂时性无法访问的情况。
近日,研究人员发现一款伪装成可以发起DDoS攻击工具的恶意软件——虚假的Liberator,主要向IT网军进行推介,主要攻击目标是俄罗斯。作为一款类钓鱼软件,该恶意软件会安装密码和信息窃取木马。
从Liberator真实网站下载的版本是纯净的,但是需要授权才可以使用。而Telegram上传播的隐藏了恶意软件payload的Liberator与真实的Liberator在执行前是无法区分的。
Telegram上推介虚假Liberator的帖子中说该工具中已经写入了从服务器中获取的俄罗斯目标列表,只需要简单安装和执行就可以对软件中内置的俄罗斯目标发起攻击。简单易用的目的可能是为了吸引支持乌克兰但又不懂技术的人们。
该恶意软件在受害者系统上执行前会首先执行反调试检查,然后执行进程注入在内存中加载Phoenix 信息窃取器。
2019年夏天,Phoenix信息窃取器在黑市出售,价格为每个月15美元或80美元终身有效。Phoenix可以从web浏览器、VPN工具、Discord、加密货币钱包中收集数据,并发送给一个IP为俄罗斯的远程服务器地址。
鉴于近期与俄罗斯和乌克兰冲突有关的钓鱼攻击和恶意软件频发,研究人员建议用户不要过度关注与俄罗斯和乌克兰冲突有关的帖子,尤其是不要安装相关工具攻击乌克兰和俄罗斯网络,不要点击邮箱中与俄罗斯和乌克兰冲突有关的邮件的链接,做好自身网络安全防护。
2月,乌克兰政府向全球招募黑客志愿者(IT网军)对俄罗斯实体机构发起网络攻击和DDoS攻击。多名黑客志愿者积极响应,对俄罗斯网络发起攻击,包括俄罗斯政府在内的多个官网出现暂时性无法访问的情况。
近日,研究人员发现一款伪装成可以发起DDoS攻击工具的恶意软件——虚假的Liberator,主要向IT网军进行推介,主要攻击目标是俄罗斯。作为一款类钓鱼软件,该恶意软件会安装密码和信息窃取木马。
从Liberator真实网站下载的版本是纯净的,但是需要授权才可以使用。而Telegram上传播的隐藏了恶意软件payload的Liberator与真实的Liberator在执行前是无法区分的。
Telegram上推介虚假Liberator的帖子中说该工具中已经写入了从服务器中获取的俄罗斯目标列表,只需要简单安装和执行就可以对软件中内置的俄罗斯目标发起攻击。简单易用的目的可能是为了吸引支持乌克兰但又不懂技术的人们。
该恶意软件在受害者系统上执行前会首先执行反调试检查,然后执行进程注入在内存中加载Phoenix 信息窃取器。
2019年夏天,Phoenix信息窃取器在黑市出售,价格为每个月15美元或80美元终身有效。Phoenix可以从web浏览器、VPN工具、Discord、加密货币钱包中收集数据,并发送给一个IP为俄罗斯的远程服务器地址。
鉴于近期与俄罗斯和乌克兰冲突有关的钓鱼攻击和恶意软件频发,研究人员建议用户不要过度关注与俄罗斯和乌克兰冲突有关的帖子,尤其是不要安装相关工具攻击乌克兰和俄罗斯网络,不要点击邮箱中与俄罗斯和乌克兰冲突有关的邮件的链接,做好自身网络安全防护。
调查发现,近来Google Play已被多款恶意应用渗透
这些发现来自Dr. Web,在今年1月份启动的调查中,他们发现这些应用大多属于具有诈骗性质的恶意软件,通常会导致用户的经济损失及个人敏感信息的泄露。
据Bleeping Computer消息,追踪移动应用生态系统的安全研究人员注意到,最近Google Play 商店的木马渗透率激增,其中一款应用的下载安装量超过了50万次。
这些发现来自Dr. Web,在今年1月份启动的调查中,他们发现这些应用大多属于具有诈骗性质的恶意软件,通常会导致用户的经济损失及个人敏感信息的泄露。
Dr. Web 的分析师在Google Play上发现的恶意应用包括加密货币管理程序、社会福利救助工具、照片编辑器、以IOS15为主题的启动器及Gasprom投资软件的克隆版。对于虚假的投资类应用,通常都会提示受害者创建一个新账户并存入资金用于交易,但这些资金只是转移到诈骗者的银行账户。其他应用则试图诱使用户注册昂贵的订阅内容。
目前,Dr. Web 报告的大多数应用程序都已从Google Play商店中删除,但Bleeping Computer仍然找到了一款未被清理的恶意应用,如导航软件Top Navigation,其下载安装量超过了50万次。顺着查阅该应用的开发者Tsaregorotseva,Bleeping Computer发现了第二款恶意应用Advice Photo Power,下载量超过 10万次。
该应用下的用户差评揭示了类似于订阅诈骗的策略,通过诱骗受害者输入他们的电话号码后,加载附属服务网站并通过 Wap Click 技术启用付费订阅。
根据Dr. Web 的报告,自1月以来发现的主要威胁是名为GBWhatsApp、OBWhatsApp 或 WhatsApp Plus等非官方 WhatsApp模组的木马化版本,这些模组提供阿拉伯语支持、主屏幕小部件、单独的底栏、隐藏状态选项、呼叫阻止以及自动保存收到的媒体等原版 WhatsApp 中没有的附加功能,因而受到不少用户青睐。但在这些木马化版本中,捆绑的恶意软件会尝试通过 Flurry stat 服务从 Google Play 应用商店和 Samsung Galaxy 应用商店程序中获取通知。
这些发现来自Dr. Web,在今年1月份启动的调查中,他们发现这些应用大多属于具有诈骗性质的恶意软件,通常会导致用户的经济损失及个人敏感信息的泄露。
据Bleeping Computer消息,追踪移动应用生态系统的安全研究人员注意到,最近Google Play 商店的木马渗透率激增,其中一款应用的下载安装量超过了50万次。
这些发现来自Dr. Web,在今年1月份启动的调查中,他们发现这些应用大多属于具有诈骗性质的恶意软件,通常会导致用户的经济损失及个人敏感信息的泄露。
Dr. Web 的分析师在Google Play上发现的恶意应用包括加密货币管理程序、社会福利救助工具、照片编辑器、以IOS15为主题的启动器及Gasprom投资软件的克隆版。对于虚假的投资类应用,通常都会提示受害者创建一个新账户并存入资金用于交易,但这些资金只是转移到诈骗者的银行账户。其他应用则试图诱使用户注册昂贵的订阅内容。
目前,Dr. Web 报告的大多数应用程序都已从Google Play商店中删除,但Bleeping Computer仍然找到了一款未被清理的恶意应用,如导航软件Top Navigation,其下载安装量超过了50万次。顺着查阅该应用的开发者Tsaregorotseva,Bleeping Computer发现了第二款恶意应用Advice Photo Power,下载量超过 10万次。
该应用下的用户差评揭示了类似于订阅诈骗的策略,通过诱骗受害者输入他们的电话号码后,加载附属服务网站并通过 Wap Click 技术启用付费订阅。
根据Dr. Web 的报告,自1月以来发现的主要威胁是名为GBWhatsApp、OBWhatsApp 或 WhatsApp Plus等非官方 WhatsApp模组的木马化版本,这些模组提供阿拉伯语支持、主屏幕小部件、单独的底栏、隐藏状态选项、呼叫阻止以及自动保存收到的媒体等原版 WhatsApp 中没有的附加功能,因而受到不少用户青睐。但在这些木马化版本中,捆绑的恶意软件会尝试通过 Flurry stat 服务从 Google Play 应用商店和 Samsung Galaxy 应用商店程序中获取通知。
黑客使用新的 Rootkit 攻击银行网络以从 ATM 机中窃取资金
观察到一个出于经济动机的威胁行为者部署了一个以前未知的以 Oracle Solaris 系统为目标的 rootkit,其目标是破坏自动柜员机 (ATM) 交换网络,并使用欺诈性卡在不同的银行进行未经授权的现金提取。
威胁情报和事件响应公司 Mandiant 正在跟踪名为 UNC2891 的集群,该组织的一些策略、技术和程序与另一个名为UNC1945的集群共享重叠。
Mandiant 研究人员在本周发布的一份新报告中表示,攻击者发起的入侵涉及“高度的 OPSEC,并利用公共和私人恶意软件、实用程序和脚本来删除证据并阻碍响应工作” 。
更令人担忧的是,在某些情况下,攻击跨越数年,在整个过程中,攻击者通过利用名为 CAKETAP 的 rootkit 仍未被发现,该 rootkit 旨在隐藏网络连接、进程和文件。
Mandiant 能够从其中一台受害的 ATM 交换机服务器中恢复内存取证数据,并指出内核 rootkit 的一种变体具有特殊功能,使其能够拦截卡和 PIN 验证消息并使用被盗数据执行欺诈性现金从 ATM 终端取款。
还使用了两个称为 SLAPSTICK 和 TINYSHELL 的后门,它们都归因于 UNC1945,用于通过 rlogin、telnet 或 SSH 获得对关键任务系统的持久远程访问以及 shell 执行和文件传输。
“根据该组织对基于 Unix 和 Linux 的系统的熟悉程度,UNC2891 经常使用伪装成合法服务的值命名和配置他们的 TINYSHELL 后门,这些值可能会被调查人员忽略,例如 systemd (SYSTEMD)、名称服务缓存守护进程 (NCSD) ,以及 Linux at daemon (ATD),”研究人员指出。
观察到一个出于经济动机的威胁行为者部署了一个以前未知的以 Oracle Solaris 系统为目标的 rootkit,其目标是破坏自动柜员机 (ATM) 交换网络,并使用欺诈性卡在不同的银行进行未经授权的现金提取。
威胁情报和事件响应公司 Mandiant 正在跟踪名为 UNC2891 的集群,该组织的一些策略、技术和程序与另一个名为UNC1945的集群共享重叠。
Mandiant 研究人员在本周发布的一份新报告中表示,攻击者发起的入侵涉及“高度的 OPSEC,并利用公共和私人恶意软件、实用程序和脚本来删除证据并阻碍响应工作” 。
更令人担忧的是,在某些情况下,攻击跨越数年,在整个过程中,攻击者通过利用名为 CAKETAP 的 rootkit 仍未被发现,该 rootkit 旨在隐藏网络连接、进程和文件。
Mandiant 能够从其中一台受害的 ATM 交换机服务器中恢复内存取证数据,并指出内核 rootkit 的一种变体具有特殊功能,使其能够拦截卡和 PIN 验证消息并使用被盗数据执行欺诈性现金从 ATM 终端取款。
还使用了两个称为 SLAPSTICK 和 TINYSHELL 的后门,它们都归因于 UNC1945,用于通过 rlogin、telnet 或 SSH 获得对关键任务系统的持久远程访问以及 shell 执行和文件传输。
“根据该组织对基于 Unix 和 Linux 的系统的熟悉程度,UNC2891 经常使用伪装成合法服务的值命名和配置他们的 TINYSHELL 后门,这些值可能会被调查人员忽略,例如 systemd (SYSTEMD)、名称服务缓存守护进程 (NCSD) ,以及 Linux at daemon (ATD),”研究人员指出。
专家发现 BlackMatter 的一些附属公司正在传播 BlackCat 勒索软件
对两次勒索软件攻击的分析发现,BlackCat 和 BlackMatter 之间的策略、技术和程序 (TTP) 存在重叠,这表明这两个组织之间存在密切联系。
虽然勒索软件组织通常会重新命名其运营以响应对其攻击的可见性增加,但 BlackCat(又名 Alphv)标志着一个新的前沿,因为网络犯罪卡特尔是由其他勒索软件即服务(RaaS ) 操作。
BlackCat 于 2021 年 11 月首次出现,并在过去几个月中针对全球多个组织。它被称为与 BlackMatter 相似,BlackMatter是一个源自DarkSide的短命勒索软件家族,因 2021 年 5 月对Colonial Pipeline的高调攻击而声名狼藉。
在上个月接受 Recorded Future 的 The Record 采访时,BlackCat 的一位代表驳斥了有关这是 BlackMatter 品牌重塑的谣言,同时指出它由与其他 RaaS 团体相关的附属公司组成。
“在某种程度上,我们都与 gandrevil [GandCrab / REvil]、blackside [BlackMatter / DarkSide]、mazegreggor [Maze / Egregor]、lockbit 等有联系,因为我们是广告(又名附属公司),”未具名的代表被引述正如所说。“我们借鉴了他们的优势,消除了他们的劣势。”
“BlackCat 似乎是垂直业务扩张的一个案例,”思科 Talos 研究人员 Tiago Pereira 和 Caitlin Huey 说。“从本质上讲,这是一种控制上游供应链的方式,通过使对他们的业务(RaaS 运营商)至关重要的服务更适合他们的需求并增加另一个收入来源来实现。”
此外,这家网络安全公司表示,它观察到 2021 年 9 月的 BlackMatter 攻击与 2021 年 12 月的 BlackCat 攻击之间存在许多共性,包括使用的工具和文件名以及用于保持对目标网络。
这种对同一命令和控制地址的重叠使用增加了使用 BlackMatter 的附属公司可能是 BlackCat 的早期采用者之一的可能性,两次攻击都需要 15 天以上才能达到加密阶段。
对两次勒索软件攻击的分析发现,BlackCat 和 BlackMatter 之间的策略、技术和程序 (TTP) 存在重叠,这表明这两个组织之间存在密切联系。
虽然勒索软件组织通常会重新命名其运营以响应对其攻击的可见性增加,但 BlackCat(又名 Alphv)标志着一个新的前沿,因为网络犯罪卡特尔是由其他勒索软件即服务(RaaS ) 操作。
BlackCat 于 2021 年 11 月首次出现,并在过去几个月中针对全球多个组织。它被称为与 BlackMatter 相似,BlackMatter是一个源自DarkSide的短命勒索软件家族,因 2021 年 5 月对Colonial Pipeline的高调攻击而声名狼藉。
在上个月接受 Recorded Future 的 The Record 采访时,BlackCat 的一位代表驳斥了有关这是 BlackMatter 品牌重塑的谣言,同时指出它由与其他 RaaS 团体相关的附属公司组成。
“在某种程度上,我们都与 gandrevil [GandCrab / REvil]、blackside [BlackMatter / DarkSide]、mazegreggor [Maze / Egregor]、lockbit 等有联系,因为我们是广告(又名附属公司),”未具名的代表被引述正如所说。“我们借鉴了他们的优势,消除了他们的劣势。”
“BlackCat 似乎是垂直业务扩张的一个案例,”思科 Talos 研究人员 Tiago Pereira 和 Caitlin Huey 说。“从本质上讲,这是一种控制上游供应链的方式,通过使对他们的业务(RaaS 运营商)至关重要的服务更适合他们的需求并增加另一个收入来源来实现。”
此外,这家网络安全公司表示,它观察到 2021 年 9 月的 BlackMatter 攻击与 2021 年 12 月的 BlackCat 攻击之间存在许多共性,包括使用的工具和文件名以及用于保持对目标网络。
这种对同一命令和控制地址的重叠使用增加了使用 BlackMatter 的附属公司可能是 BlackCat 的早期采用者之一的可能性,两次攻击都需要 15 天以上才能达到加密阶段。
谷歌发现与 Conti Ransomware Gang 合作的“初始访问代理”
谷歌的威胁分析小组 (TAG) 揭开了一个新的初始访问代理的面纱,称该代理与一个因其 Conti 和 Diavol 勒索软件操作而臭名昭著的俄罗斯网络犯罪团伙密切相关。
被称为 Exotic Lily,已观察到出于经济动机的威胁参与者利用 Microsoft Windows MSHTML 平台 ( CVE-2021-40444 ) 中现已修补的关键漏洞作为广泛的网络钓鱼活动的一部分,该活动涉及发送不少于 5,000 封以商业提案为主题的电子邮件每天针对全球 650 个目标组织。
TAG 研究人员 Vlad Stolyarov 和 Vlad Stolyarov说: “初始访问经纪人是安全界的机会主义锁匠,这是一份全职工作。 ” “这些团体专门破坏目标,以便为出价最高的恶意行为者打开大门或窗户。”
Exotic Lily 于 2021 年 9 月首次被发现,据说参与了数据泄露和人为操作的 Conti 和Diavol勒索软件的部署,这两种病毒都与名为 Wizard Spider 的俄罗斯网络犯罪集团有重叠,该集团也以运营TrickBot而闻名、BazarBackdoor和Anchor。
威胁参与者的社会工程诱饵从欺骗性电子邮件帐户发送,特别针对 IT、网络安全和医疗保健部门,尽管在 2021 年 11 月之后,攻击变得更加不分青红皂白,针对各种组织和行业。
除了使用虚构的公司和身份作为与目标实体建立信任的手段外,Exotic Lily 还利用 WeTransfer、TransferNow 和 OneDrive 等合法文件共享服务来提供BazarBackdoor 有效负载,以逃避检测机制。
这些流氓角色经常伪装成亚马逊等公司的员工,并在 LinkedIn 上拥有欺诈性的社交媒体资料,其中包含虚假的 AI 生成的个人资料图片。据说该组织还通过从 RocketReach 和 CrunchBase 等社交媒体和商业数据库中提取个人数据来冒充真正的公司员工。
谷歌的威胁分析小组 (TAG) 揭开了一个新的初始访问代理的面纱,称该代理与一个因其 Conti 和 Diavol 勒索软件操作而臭名昭著的俄罗斯网络犯罪团伙密切相关。
被称为 Exotic Lily,已观察到出于经济动机的威胁参与者利用 Microsoft Windows MSHTML 平台 ( CVE-2021-40444 ) 中现已修补的关键漏洞作为广泛的网络钓鱼活动的一部分,该活动涉及发送不少于 5,000 封以商业提案为主题的电子邮件每天针对全球 650 个目标组织。
TAG 研究人员 Vlad Stolyarov 和 Vlad Stolyarov说: “初始访问经纪人是安全界的机会主义锁匠,这是一份全职工作。 ” “这些团体专门破坏目标,以便为出价最高的恶意行为者打开大门或窗户。”
Exotic Lily 于 2021 年 9 月首次被发现,据说参与了数据泄露和人为操作的 Conti 和Diavol勒索软件的部署,这两种病毒都与名为 Wizard Spider 的俄罗斯网络犯罪集团有重叠,该集团也以运营TrickBot而闻名、BazarBackdoor和Anchor。
威胁参与者的社会工程诱饵从欺骗性电子邮件帐户发送,特别针对 IT、网络安全和医疗保健部门,尽管在 2021 年 11 月之后,攻击变得更加不分青红皂白,针对各种组织和行业。
除了使用虚构的公司和身份作为与目标实体建立信任的手段外,Exotic Lily 还利用 WeTransfer、TransferNow 和 OneDrive 等合法文件共享服务来提供BazarBackdoor 有效负载,以逃避检测机制。
这些流氓角色经常伪装成亚马逊等公司的员工,并在 LinkedIn 上拥有欺诈性的社交媒体资料,其中包含虚假的 AI 生成的个人资料图片。据说该组织还通过从 RocketReach 和 CrunchBase 等社交媒体和商业数据库中提取个人数据来冒充真正的公司员工。
针对华硕路由器的俄罗斯 Cyclops Blink 僵尸网络的新变种
华硕路由器已成为一个名为Cyclops Blink的新兴僵尸网络的目标,近一个月后,该恶意软件被发现滥用 WatchGuard 防火墙设备作为获得对被破坏网络的远程访问权限的垫脚石。
根据趋势科技发布的一份新报告,僵尸网络的“主要目的是为进一步攻击高价值目标构建基础设施”,因为受感染的主机都不属于“关键组织或具有明显价值的组织”关于经济、政治或军事间谍活动。”
来自英国和美国的情报机构将Cyclops Blink 描述为 VPNFilter 的替代框架,VPNFilter是另一种利用网络设备的恶意软件,主要是小型办公室/家庭办公室 (SOHO) 路由器和网络附加存储 (NAS) 设备。
VPNFilter 和 Cyclops Blink 都被归咎于被追踪为 Sandworm(又名 Voodoo Bear)的俄罗斯国家支持的演员,该演员也与一些备受瞩目的入侵有关,包括 2015 年和 2016 年对乌克兰电力公司的攻击格、2017 年 NotPetya 攻击和 2018 年冬奥会奥运会毁灭者攻击。
Cyclops Blink 除了使用 OpenSSL 加密与其命令和控制 (C2) 服务器的通信外,还集成了可以从设备的闪存读取和写入的专用模块,使其能够实现持久性和恢复出厂设置。
自 2019 年 6 月以来,据说该恶意软件已经影响了位于美国、印度、意大利、加拿大和俄罗斯的 WatchGuard 设备和华硕路由器。部分受影响的主机属于欧洲的一家律师事务所、一家为南欧的牙医生产医疗设备的中型实体以及美国的一家管道公司
由于修补频率低且缺乏安全软件,物联网设备和路由器成为利润丰厚的攻击面,趋势科技警告说,这可能导致“永恒的僵尸网络”的形成。
研究人员说:“一旦物联网设备感染了恶意软件,攻击者就可以不受限制地访问互联网,下载和部署更多阶段的恶意软件,以进行侦察、间谍活动、代理或其他攻击者想做的事情。”
“在 Cyclops Blink 的案例中,我们已经看到设备连续 30 多个月(大约两年半)被入侵,并被设置为其他机器人的稳定命令和控制服务器。”
华硕路由器已成为一个名为Cyclops Blink的新兴僵尸网络的目标,近一个月后,该恶意软件被发现滥用 WatchGuard 防火墙设备作为获得对被破坏网络的远程访问权限的垫脚石。
根据趋势科技发布的一份新报告,僵尸网络的“主要目的是为进一步攻击高价值目标构建基础设施”,因为受感染的主机都不属于“关键组织或具有明显价值的组织”关于经济、政治或军事间谍活动。”
来自英国和美国的情报机构将Cyclops Blink 描述为 VPNFilter 的替代框架,VPNFilter是另一种利用网络设备的恶意软件,主要是小型办公室/家庭办公室 (SOHO) 路由器和网络附加存储 (NAS) 设备。
VPNFilter 和 Cyclops Blink 都被归咎于被追踪为 Sandworm(又名 Voodoo Bear)的俄罗斯国家支持的演员,该演员也与一些备受瞩目的入侵有关,包括 2015 年和 2016 年对乌克兰电力公司的攻击格、2017 年 NotPetya 攻击和 2018 年冬奥会奥运会毁灭者攻击。
Cyclops Blink 除了使用 OpenSSL 加密与其命令和控制 (C2) 服务器的通信外,还集成了可以从设备的闪存读取和写入的专用模块,使其能够实现持久性和恢复出厂设置。
自 2019 年 6 月以来,据说该恶意软件已经影响了位于美国、印度、意大利、加拿大和俄罗斯的 WatchGuard 设备和华硕路由器。部分受影响的主机属于欧洲的一家律师事务所、一家为南欧的牙医生产医疗设备的中型实体以及美国的一家管道公司
由于修补频率低且缺乏安全软件,物联网设备和路由器成为利润丰厚的攻击面,趋势科技警告说,这可能导致“永恒的僵尸网络”的形成。
研究人员说:“一旦物联网设备感染了恶意软件,攻击者就可以不受限制地访问互联网,下载和部署更多阶段的恶意软件,以进行侦察、间谍活动、代理或其他攻击者想做的事情。”
“在 Cyclops Blink 的案例中,我们已经看到设备连续 30 多个月(大约两年半)被入侵,并被设置为其他机器人的稳定命令和控制服务器。”
流行的 NPM 包更新为清除俄罗斯、白俄罗斯系统以抗议乌克兰入侵
这是一种蓄意破坏行为,流行的“node-ipc”NPM 软件包背后的开发人员发布了一个新的篡改版本,以谴责俄罗斯入侵乌克兰,引发了对开源和软件供应链安全性的担忧。
影响该库的 10.1.1 和 10.1.2 版本,其维护者 RIAEvangelist 引入的更改通过针对 IP 地址位于俄罗斯或白俄罗斯的用户,并擦除任意文件内容并用心形表情符号替换它们,带来了不良行为。
Node-ipc 是一个突出的节点模块,用于本地和远程进程间通信 ( IPC ),支持 Linux、macOS 和 Windows。它的每周下载量超过 110 万次。Synk 研究员 Liran Tal在分析中表示: “如果调用该 NPM 软件包的任何系统与俄罗斯或白俄罗斯的地理位置相匹配,那么将发生非常明显的滥用和严重的供应链安全事件。”
该问题的标识符为CVE-2022-23812,在 CVSS 漏洞评分系统中被评为 9.8 分(满分 10 分)。恶意代码更改于 3 月 7 日发布(版本 10.1.1),同一天 10 小时后发生第二次更新(版本 10.1.1)。
有趣的是,虽然破坏性修改已从 10.1 版的库中删除,但在不到四个小时后推送了一个重大更新(11.0.0 版),它导入了另一个名为“ peacenotwar ”的依赖项,也由 RIAEvangelist 作为一种形式发布“对俄罗斯的侵略进行非暴力抗议。”
“每当调用 node-ipc 模块功能时,它都会向STDOUT打印一条从peacenotwar 模块中取出的消息,并在用户的桌面目录中放置一个文件,其中包含与俄罗斯和乌克兰当前战时局势有关的内容”塔尔解释道。
截至 2022 年 3 月 15 日,最新版本的 node-ipc – 11.1.0 – 将“peacenotwar”软件包版本从 9.1.3 升级到 9.1.5,并捆绑了“colors”NPM 库,同时还删除了 STDOUT 控制台消息.
这是一种蓄意破坏行为,流行的“node-ipc”NPM 软件包背后的开发人员发布了一个新的篡改版本,以谴责俄罗斯入侵乌克兰,引发了对开源和软件供应链安全性的担忧。
影响该库的 10.1.1 和 10.1.2 版本,其维护者 RIAEvangelist 引入的更改通过针对 IP 地址位于俄罗斯或白俄罗斯的用户,并擦除任意文件内容并用心形表情符号替换它们,带来了不良行为。
Node-ipc 是一个突出的节点模块,用于本地和远程进程间通信 ( IPC ),支持 Linux、macOS 和 Windows。它的每周下载量超过 110 万次。Synk 研究员 Liran Tal在分析中表示: “如果调用该 NPM 软件包的任何系统与俄罗斯或白俄罗斯的地理位置相匹配,那么将发生非常明显的滥用和严重的供应链安全事件。”
该问题的标识符为CVE-2022-23812,在 CVSS 漏洞评分系统中被评为 9.8 分(满分 10 分)。恶意代码更改于 3 月 7 日发布(版本 10.1.1),同一天 10 小时后发生第二次更新(版本 10.1.1)。
有趣的是,虽然破坏性修改已从 10.1 版的库中删除,但在不到四个小时后推送了一个重大更新(11.0.0 版),它导入了另一个名为“ peacenotwar ”的依赖项,也由 RIAEvangelist 作为一种形式发布“对俄罗斯的侵略进行非暴力抗议。”
“每当调用 node-ipc 模块功能时,它都会向STDOUT打印一条从peacenotwar 模块中取出的消息,并在用户的桌面目录中放置一个文件,其中包含与俄罗斯和乌克兰当前战时局势有关的内容”塔尔解释道。
截至 2022 年 3 月 15 日,最新版本的 node-ipc – 11.1.0 – 将“peacenotwar”软件包版本从 9.1.3 升级到 9.1.5,并捆绑了“colors”NPM 库,同时还删除了 STDOUT 控制台消息.
华硕警告针对路由器的 Cyclops Blink 恶意软件攻击
Cyclops Blink能在目标设备上建立与攻击者的持久性链接,使他们能够远程访问受感染的网络。由于Cyclops Blink具有模块化特性,能够轻松更新以针对新的设备。
据Bleeping Computer网站消息,多款华硕路由器型号容易受到名为Cyclops Blink的恶意软件威胁,并被曝与一个俄罗斯黑客组织Sandworm存在关联,该组织历来针对WatchGuard Firebox和其他SOHO网络设备。
Cyclops Blink能在目标设备上建立与攻击者的持久性链接,使他们能够远程访问受感染的网络。由于Cyclops Blink具有模块化特性,能够轻松更新以针对新的设备。
在由趋势科技协调披露的调查中,发现该恶意软件具有 一个专门针对多个华硕路由器的模块,允许恶意软件读取闪存以收集有关关键文件、可执行文件、数据和库的信息,并在闪存中并建立持久性命令,即使恢复出厂设置也不会擦除。
由于Cyclops Blink与 Sandworm黑客组织存在关联,后者曾参与或主导了多起大型网络攻击事件,比如在2015年至2016年,利用恶意软件BlackEnergy和 NotPetya攻击了乌克兰的电力系统,因此在未来可能会出现攻击者开始针对其他路由器制造商。
华硕已于3月17日发布了安全公告,公布了受影响的路由器型号和固件版本,暂未发布新的固件更新以阻止 Cyclops Blink,但已发布可用于保护设备的缓解措施:
缓解措施:
将设备重置为出厂默认设置:登录 Web GUI,进入管理 → 恢复/保存/上传设置,单击“初始化所有设置并清除所有数据日志”,然后单击“恢复”按钮;
更新到最新的可用固件;
确保默认管理员密码已更改为更安全的密码;
禁用远程管理(默认禁用,只能通过高级设置启用)。
如果用户使用的是老旧的不再受支持的型号,因而不会收到任何更新,华硕建议停止使用,并更换为较新的设备。
Cyclops Blink能在目标设备上建立与攻击者的持久性链接,使他们能够远程访问受感染的网络。由于Cyclops Blink具有模块化特性,能够轻松更新以针对新的设备。
据Bleeping Computer网站消息,多款华硕路由器型号容易受到名为Cyclops Blink的恶意软件威胁,并被曝与一个俄罗斯黑客组织Sandworm存在关联,该组织历来针对WatchGuard Firebox和其他SOHO网络设备。
Cyclops Blink能在目标设备上建立与攻击者的持久性链接,使他们能够远程访问受感染的网络。由于Cyclops Blink具有模块化特性,能够轻松更新以针对新的设备。
在由趋势科技协调披露的调查中,发现该恶意软件具有 一个专门针对多个华硕路由器的模块,允许恶意软件读取闪存以收集有关关键文件、可执行文件、数据和库的信息,并在闪存中并建立持久性命令,即使恢复出厂设置也不会擦除。
由于Cyclops Blink与 Sandworm黑客组织存在关联,后者曾参与或主导了多起大型网络攻击事件,比如在2015年至2016年,利用恶意软件BlackEnergy和 NotPetya攻击了乌克兰的电力系统,因此在未来可能会出现攻击者开始针对其他路由器制造商。
华硕已于3月17日发布了安全公告,公布了受影响的路由器型号和固件版本,暂未发布新的固件更新以阻止 Cyclops Blink,但已发布可用于保护设备的缓解措施:
缓解措施:
将设备重置为出厂默认设置:登录 Web GUI,进入管理 → 恢复/保存/上传设置,单击“初始化所有设置并清除所有数据日志”,然后单击“恢复”按钮;
更新到最新的可用固件;
确保默认管理员密码已更改为更安全的密码;
禁用远程管理(默认禁用,只能通过高级设置启用)。
如果用户使用的是老旧的不再受支持的型号,因而不会收到任何更新,华硕建议停止使用,并更换为较新的设备。
新型的攻击方式可以使亚马逊设备攻击自己
研究人员发现了如何通过亚马逊Echo自身的扬声器来远程操控它。
来自伦敦大学和卡塔尼亚大学的研究人员发现了如何将亚马逊Echo设备对自己造成破坏。
这种攻击方式被称为 "Alexa vs. Alexa",它利用了研究人员所发现的 "命令自发漏洞",通过预先录制信息,当该信息在第三代或第四代
智能音箱在白天会处于休眠状态,一直在等待用户发出特定的激活短语:即 "嘿,谷歌"、"嘿,科塔娜",或者对于亚马逊Echo来说,"Alexa",或者简单地说,"Echo"。当然,通常情况下,是设备的主人发出这种命令。
然而,研究人员发现,当设备本身发出的音频中包含一个语音命令时,Echo设备的自我激活也会启动。 而且,即使该设备为了执行该命令,要求用户进行二次确认。攻击者只需要在发出请求后大约六秒钟内附加上一个'是'字,就可以确保命令成功执行。
为了能够让设备播放攻击者制作的录音,攻击者需要一个在蓝牙配对范围内的智能手机或笔记本电脑。与基于互联网的攻击不同,这种情况下需要接近目标设备进行攻击。研究人员指出,一旦配对成功,蓝牙设备就可以随时与Echo连接或者断开,不需要再次执行配对过程,这也就克服了物理空间上的障碍。因此,实际的攻击可能会发生在蓝牙配对的几天后。
报告称,攻击者也可以使用互联网电台,像命令和控制服务器一样向目标Echo发出信号。这种方法可以进行远程操作,并可同时控制多个设备,但需要其他额外的操作,比如诱使目标用户将恶意的Alexa应用程序下载到亚马逊设备中。
利用Alexa对Alexa进行攻击,攻击者可以篡改下载到设备上的应用程序,进而拨打电话、在亚马逊上下订单、窃听用户信息、控制用户家中的其他连接设备等等。
报告说,这种攻击行为大大威胁到了用户的人身安全。例如,利用攻击可以在晚上或夜间关灯,打开智能微波炉,将暖气设置在很高的温度,甚至解开前门的智能锁。
在他们的多次攻击测试中,攻击者能够在90%的情况下远程关闭他们自己家中的灯。
研究人员发现了如何通过亚马逊Echo自身的扬声器来远程操控它。
来自伦敦大学和卡塔尼亚大学的研究人员发现了如何将亚马逊Echo设备对自己造成破坏。
这种攻击方式被称为 "Alexa vs. Alexa",它利用了研究人员所发现的 "命令自发漏洞",通过预先录制信息,当该信息在第三代或第四代
智能音箱在白天会处于休眠状态,一直在等待用户发出特定的激活短语:即 "嘿,谷歌"、"嘿,科塔娜",或者对于亚马逊Echo来说,"Alexa",或者简单地说,"Echo"。当然,通常情况下,是设备的主人发出这种命令。
然而,研究人员发现,当设备本身发出的音频中包含一个语音命令时,Echo设备的自我激活也会启动。 而且,即使该设备为了执行该命令,要求用户进行二次确认。攻击者只需要在发出请求后大约六秒钟内附加上一个'是'字,就可以确保命令成功执行。
为了能够让设备播放攻击者制作的录音,攻击者需要一个在蓝牙配对范围内的智能手机或笔记本电脑。与基于互联网的攻击不同,这种情况下需要接近目标设备进行攻击。研究人员指出,一旦配对成功,蓝牙设备就可以随时与Echo连接或者断开,不需要再次执行配对过程,这也就克服了物理空间上的障碍。因此,实际的攻击可能会发生在蓝牙配对的几天后。
报告称,攻击者也可以使用互联网电台,像命令和控制服务器一样向目标Echo发出信号。这种方法可以进行远程操作,并可同时控制多个设备,但需要其他额外的操作,比如诱使目标用户将恶意的Alexa应用程序下载到亚马逊设备中。
利用Alexa对Alexa进行攻击,攻击者可以篡改下载到设备上的应用程序,进而拨打电话、在亚马逊上下订单、窃听用户信息、控制用户家中的其他连接设备等等。
报告说,这种攻击行为大大威胁到了用户的人身安全。例如,利用攻击可以在晚上或夜间关灯,打开智能微波炉,将暖气设置在很高的温度,甚至解开前门的智能锁。
在他们的多次攻击测试中,攻击者能够在90%的情况下远程关闭他们自己家中的灯。
HTML Embed Code: